wordpress不允许编辑主题文件(外观–编辑)
wordpress禁止用户进入主题编辑界面
wordpress的后台非常方便,除了有非常多的设置面板之外,还可以直接在后台编辑主题的代码,这个界面需要管理员权限登录之后,在wordpress的后台–外观–编辑进入:
这样的编辑模式可以切换到任意的后台安装的主题(默认进入的是当前启用的主题)
这样的功能可以很方便的修改我们的主题源码,但是也会带来一些问题。
为什么需要关闭wordpress的主题编辑功能
首先是安全性的问题,如果你的wordpress管理员账号被破解了,那么入侵者很容易通过主题编辑功能添加一些木马跳转代码,直接编辑你的主题header.php或者footer.php等共用文件,就能在你的全站输出一个跳转代码,因此这也是我们多次强调,管理员账号密码的安全问题。
在一个是如果你是给你的客户使用,而不希望客户误操作了主题编辑,对于代码完全不懂的朋友来谁,某些文件可能修改一个字或者添加一个字符就会出错或者报错,导致出现问题。
我们在这里还是要重复说一下wordpress管理员安全性的问题。
首先,管理员绝对不要用admin作为账号,因为绝大多数的后台默认管理员账号就是admin,因此一定要修改掉以admin为登陆名的账号,其次,密码不要是简单的,比如很多人图方便设置123456这样的密码,这无疑是告诉别人,我的网站完全是不设防的。
其次,管理员账号和编辑账号分开,设置好复杂的管理员账号和密码之后,将他们保存在可靠的地方,如手写记在你的笔记本上,记录在你的手机上,或者放在一个文档中。
然后增加一个编辑账号,wordpress的编辑账号只能是管理文章等内容,主题管理、插件管理和一些wordpress基础设置等等内容是无法看到的,因此设置一个专门编辑内容的账号,并且作为你的网站维护主要的账号,而管理员账号有需要再登陆就行了,这里不要图方便,多一层保障,你的网站多一份安全。
设置好了之后,我们还可以完全关闭wordpress的主题编辑功能,即使是管理员也无法编辑主题。
通过代码关闭wordpress的编辑功能
wordpress的编辑功能关闭很简单,进入你的网站空间或者ftp,进入网站根目录,找到wordpress的配置文件: wp-config.php
打开这个文件,在最后一行添加如下代码:
//禁止在线编辑主题和插件
define( 'DISALLOW_FILE_EDIT', true );
这样你的主题和插件的编辑器就被关闭掉了,连管理员都无法进入。
如果你只想关闭某个用户的编辑器权限(这在对于交付给你的客户wordpress网站项目时,给客户生成的管理员账号可以使用如下代码,保证客户不会看到这个界面而发生误操作的问题,而你自己保留的管理员账号则不会受到影响):
function wpdax_remove_editor_menu() {
remove_action('admin_menu', '_add_themes_utility_last', 101);
}
global $remove_submenu_page, $current_user;
get_currentuserinfo();
if($current_user->user_login == 'admin') { //请修改这里的 admin 为要限制的用户名称
add_action('admin_menu', 'wpdax_remove_editor_menu', 1);
}
将上面的admin改为你想要的账号及即可,这段代码可以放入你的function.php中最后一行的php收尾 ?>之前即可,如果没有收尾那就是最后一行就行了(主题公园的付费用户请放入function/function_z.php或者widget.php均可)
您好!请登录