Sapevi che WordPress include un editor di temi e plugin integrato? Questo semplice editor di codice ti permette di modificare i file del tuo tema e dei tuoi plugin direttamente dalla bacheca di WordPress.
Sebbene questo possa sembrare molto utile, abbiamo visto come la possibilità di modificare direttamente i file in questo modo possa portare a problemi come il malfunzionamento del tuo sito. Può persino introdurre potenziali problemi di sicurezza se combinato con altre vulnerabilità.
In questo articolo, ti mostreremo come disabilitare gli editor di temi e plugin dall'area di amministrazione di WordPress e spiegheremo perché è un'idea intelligente.
Perché disabilitare gli editor di temi e plugin in WordPress?
WordPress include un editor di codice integrato che ti permette di modificare i file dei temi e dei plugin di WordPress direttamente dall'area di amministrazione.
L'editor di temi si trova nella pagina Aspetto » Editor file tema. Per impostazione predefinita, mostrerà i file del tuo tema attualmente attivo.
Allo stesso modo, l'editor dei plugin si trova nella pagina Plugin » Editor file plugin. Per impostazione predefinita, ti mostrerà uno dei plugin installati sul tuo sito che compare per primo in ordine alfabetico.
Se visiti la pagina dell'editor di temi o plugin per la prima volta, WordPress ti avviserà che l'uso dell'editor può causare il malfunzionamento del tuo sito web.
In WordPress 4.9, gli editor di temi e plugin sono stati aggiornati per proteggere gli utenti dal causare accidentalmente il malfunzionamento del loro sito web. Nella maggior parte dei casi, l'editor rileverà un errore fatale e annullerà le modifiche.
Tuttavia, ciò non è garantito e del codice potrebbe comunque passare inosservato e potresti finire per perdere l'accesso all'area di amministrazione di WordPress.
Il problema più grande con l'editor di file integrato è che fornisce pieno accesso per aggiungere qualsiasi tipo di codice al tuo sito web.
Se un hacker è entrato nella tua area di amministrazione di WordPress, può utilizzare l'editor integrato per ottenere l'accesso a tutti i tuoi dati di WordPress.
Gli hacker possono anche usarlo per distribuire malware o lanciare attacchi DDOS dal tuo sito web WordPress.
Per migliorare la sicurezza di WordPress, si consiglia di rimuovere completamente gli editor di file integrati.
Detto questo, vediamo come disabilitare facilmente gli editor di temi e plugin in WordPress.
Come disabilitare gli editor di temi e plugin in WordPress
Disabilitare gli editor di temi e plugin in WordPress è piuttosto facile. Ma richiede l'aggiunta di codice in WordPress. Se non l'hai mai fatto prima, consulta la nostra guida su come inserire snippet dal web in WordPress.
Dovrai aggiungere questa riga di codice al file functions.php del tuo tema, a un plugin specifico per il sito, o utilizzando un plugin per snippet di codice.
define( 'DISALLOW_FILE_EDIT', true ); Ti consigliamo di utilizzare il plugin WPCode perché è gratuito, facile da usare e non danneggerà il tuo sito web in caso di problemi.
Nota: Esiste anche una versione premium di WPCode che include funzionalità avanzate come revisioni del codice, pixel di conversione automatici, snippet pianificati e altro ancora.
Per prima cosa, dovrai installare e attivare il plugin gratuito WPCode. Per istruzioni dettagliate, consulta la nostra guida su come installare un plugin di WordPress.
Una volta attivato il plugin, vai su Snippet di codice » Aggiungi snippet dalla tua bacheca di WordPress.
Quindi, passa il mouse sopra l'opzione 'Aggiungi il tuo codice personalizzato (Nuovo snippet)' e fai clic sul pulsante '+ Aggiungi snippet personalizzato'.
Successivamente, ti verrà chiesto di scegliere il tipo di codice per il tuo snippet. Seleziona l'opzione 'Snippet PHP'.
Dopo di che, puoi aggiungere un titolo per il tuo snippet e incollare il codice sopra nella casella 'Anteprima codice'.
Infine, semplicemente sposta l'interruttore da 'Inattivo' ad 'Attivo' e fai clic sul pulsante 'Salva snippet'.
Tutto qui, gli editor di plugin e temi scompariranno ora dai menu dei temi e dei plugin nell'area di amministrazione di WordPress.
In alternativa, puoi anche modificare il tuo file wp-config.php e incollare il codice sopra appena prima della riga che dice 'Tutto qui, smetti di modificare! Buona pubblicazione':
Quindi, salva le modifiche e carica nuovamente il file sul tuo sito web.
Se non vuoi modificare i file direttamente, puoi installare il plugin Sucuri WordPress che offre la funzionalità di hardening con 1 clic.
Modo corretto per modificare i file di temi e plugin di WordPress
Molti utenti utilizzano effettivamente gli editor di temi e plugin di WordPress per cercare il codice, aggiungere CSS personalizzato o modificare il codice nei loro temi child.
Se desideri solo aggiungere CSS personalizzato al tuo tema, puoi farlo utilizzando il personalizzatore del tema situato sotto Aspetto » Personalizza.
Per maggiori dettagli, consulta la nostra guida su come aggiungere CSS personalizzato in WordPress senza compromettere il tuo sito.
Se desideri cercare il codice in un plugin, puoi farlo utilizzando un client FTP.
Per una migliore gestione dei file e l'evidenziazione della sintassi, puoi utilizzare uno di questi editor di codice per la modifica di file WordPress sul tuo computer.
Ultimo ma non meno importante, puoi anche creare un tema WordPress personalizzato senza scrivere alcun codice.
Speriamo che questo articolo ti abbia aiutato a imparare come disabilitare facilmente gli editor di temi e plugin dal pannello di amministrazione di WordPress. Potresti anche voler consultare la nostra guida definitiva per migliorare le prestazioni e la velocità di WordPress o le nostre scelte esperte del miglior software di web design.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Moinuddin Waheed
Per motivi di sicurezza e per garantire il corretto funzionamento dei plugin e dei temi, questa è una modifica indispensabile da apportare.
La maggior parte dei miei clienti non ha un background tecnico e non fa queste cose, ma non consentire di apportare tali modifiche in primo luogo è un'idea saggia.
Grazie mille per questa guida passo passo così semplice.
Jiří Vaněk
Grazie per il tutorial. Ho usato il file wp-config.php e funziona benissimo. Soprattutto per i siti dei clienti, questa opzione mi sembra molto buona, in modo che non modifichino il codice del sito e anche in termini di sicurezza.
Alla fine, ho scelto principalmente il file wp-config in modo che questa funzione non potesse essere semplicemente disattivata dall'amministrazione, dove non aveva alcun senso per me.
Supporto WPBeginner
Makes sense
Amministratore
Bob Putnak
Questo non porterà a nulla di buono in questi giorni.
1) Utilizzando la soluzione CODE SNIPPETS, se l'hacker ha accesso al pannello di amministrazione, andrà semplicemente al pannello CODE SNIPPETS e DISABILITERÀ lo snippet.
2) Allo stesso modo, se l'avessi aggiunto al file wp-config, non vedo alcun motivo per cui qualcuno con accesso al pannello di amministrazione non possa semplicemente INSTALLARE il plugin CODE SNIPPETS, attivarlo, quindi impostare una regola per:
define( ‘DISALLOW_FILE_EDIT’, true );
Mi sembra che se l'hacker ha accesso al pannello di amministrazione, non ci sia assolutamente alcuna soluzione a questo problema.
Se non sei d'accordo, per favore spiega perché. Il mio login sembra sicuro al 100%.
Supporto WPBeginner
Se qualcuno ha accesso a livello di amministratore al tuo sito, potrebbe cercare di aggiungere un plugin per aggirare il problema. Ci sono altri ruoli utente che hanno accesso a queste sezioni del tuo sito ma non la capacità di aggiungere plugin e questo può aiutarti a proteggerti da un non amministratore che ha questo livello di accesso dall'entrare nei tuoi file.
Amministratore
Robin Hood
Grazie per aver condiviso questo post. Utile e informativo.
Supporto WPBeginner
You’re welcome, glad our content could be helpful
Amministratore
isabella
Ciao! Ho il problema opposto, devo aggiungere un codice CSS nell'editor MA l'editor è scomparso.
Hai qualche suggerimento?
Grazie mille
Saluti
Mike Sawyer
Grazie per tutti i consigli e i suggerimenti utili. Questo è il mio punto di riferimento in caso di difficoltà. Grazie.
Raj
Sfortunatamente questo non sta funzionando per me, ho aggiornato il file wp-config.php ma l'opzione editor è ancora presente nella mia dashboard wp, puoi suggerirmi qualcosa?
Dave
Ciao Raj,
Ho avuto lo stesso problema, ma sono riuscito a risolverlo. Non sono sicuro se sia il tuo stesso problema, ma mi sono reso conto che quando si copia/incolla da un post su internet, a volte le virgolette singole/doppie (‘ ‘) o (” “) possono essere virgolette curve invece di dritte. Prova a eliminare le virgolette singole e a riscriverle.
Spero che questo aiuti!
-Dave
William Marques
È possibile disabilitare l'opzione di salvataggio per tutti? Voglio mostrare il pannello di controllo ai miei clienti, ma non voglio che salvino le modifiche.
Bella
Un trilione di grazie!!
Questo piccolo pezzo di codice ha rivoluzionato il mio mondo!
Come ho fatto a non incontrarti prima??
Continua a sorridere – Bella
Jimit Shah
Ciao
Voglio disabilitare il comando di incolla (tramite mouse e ctr+v) nel mio file php nell'editor del tema. In modo da poter scrivere codice e non copiare codice dall'esterno. Voglio dare accesso alla scrittura manuale del codice. Per favore, aiutami.
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); questa funzione funzionerà su themes/functions.php se incollo il codice in WordPress
Pramod Kumar
Funziona, grazie.
John McNamara
Ciao, mi stavo chiedendo se qualcuno ha trovato un modo per aggirare questo problema senza accesso, dato che abbiamo pagato $1800 per qualcuno che impostasse un sito web che è solo un tema senza modifiche apportate e vuole essere pagato di più per sbloccare l'editor per noi.
Per favore, aiutateci!!
Supporto WPBeginner
Se hai accesso FTP, o accesso al pannello di controllo dell'hosting, allora puoi facilmente modificare il file wp-config.php e rimuovere il codice:
1-click Use in WordPress
Amministratore
Graham Peckham
Ciao, beh, sono stato hackerato ieri da qualcuno che ha installato il plugin MonsterInsights sul mio sito web, MA, la riga di codice che suggerisci era già installata su wp-config.
Quindi, qualche suggerimento per fermare questi attacchi?
Saluti
Supporto WPBeginner
Ciao Graham,
Se sospetti che il tuo sito web possa essere stato hackerato, consulta la nostra guida su come recuperare un sito WordPress hackerato. Potresti anche voler seguire la nostra guida completa alla sicurezza di WordPress per proteggere il tuo sito web in futuro.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
This one disable the editor for complete pages. I need to disable only for home page and for particular user(for Ex: Editor) . Coz I used page builder. My clients are not intrested to look over that..
Can any one help me ….
Mark Corder
I can also confirm that this works when the line is added to a Site-Specific Plugin – which you’ll also find the recipe for here on WPBeginner…
… so Thanks to you folks for all of it!
Melissa
Hey there! My cheeky developer has done this to me and I need access… is there a way to “undo” this clever trick without having FTP access?
I am also a developer and able to edit the files without any issues, but my contracted developer wants to charge me to access the code… so I am hoping I can jump in somehow!
Mel
Al Klein
Hai stipulato un contratto per ‘tutte le consegne’? Se sì, fagli consegnare la password FTP – è una consegna. (È un contratto, quindi può essere fatto rispettare da un tribunale. Potresti non essere in grado di fare causa per un'azione specifica, ma puoi fare causa per quanto costerà far creare a un altro sviluppatore un nuovo sito esattamente come quello vecchio [che probabilmente manderà in bancarotta il tuo sviluppatore esistente – quindi lo renderà propenso a cederti tutto].)
Se non avevi ‘tutte le consegne’ incluse nel contratto, o non hai un contratto firmato, consideralo una lezione legale economica. (La facoltà di giurisprudenza costa molto di più.)
Bill
Ottimo suggerimento.
C'è un modo per disabilitare un editor specifico (ad esempio Elementor) per un tipo di post (pagina) specifico, pur consentendo l'accesso all'editor classico?
Spero che questo possa essere fatto nel file delle funzioni del child.
Suresh Khanal
leggendo questo post mi chiedevo perché qualcuno avrebbe bisogno di nascondere il link dell'editor nell'amministrazione di WordPress perché solo gli amministratori hanno accesso a quei link e se non ottengono il permesso di fare le cose richieste, a cosa serve? ovunque mi rendo conto che è buono con esso utile quando si impostano blog per i propri clienti. Grazie per i buoni suggerimenti.
Mark Corder
Questo è un ottimo suggerimento – e ha funzionato bene per me aggiungendo la riga al file functions.php nella cartella del mio twentytwelve-child-theme. Vedo ancora opzioni per personalizzare il tema (intestazione, sfondo, ecc.) – ma i link “editor” ora sono spariti. (Ho dovuto premere CTRL-R per forzare un ricaricamento della pagina per farli scomparire.)
Cerco sempre di rimuovere tutto dal backend con cui un cliente non dovrebbe davvero armeggiare, e quegli editor di plugin e temi sono solo un invito al disastro! È meraviglioso poterli rimuovere con una singola riga di codice…
Apprezzo molto questi suggerimenti che modificano le funzioni e i file del child-theme per ottenere qualcosa, piuttosto che raccomandare semplicemente un altro plugin – anche se mi rendo conto che questo si discosta un po' dalle cose per principianti.
E se non avete già ricevuto questa richiesta mille volte, mi piacerebbe vedervi aprire un sito "WPAdvanced" per noi appassionati!
Staff editoriale
Grazie per il feedback Mark. Sì, abbiamo ricevuto la richiesta per WPAdvanced in passato. Per ora il nostro obiettivo è continuare a migliorare WPBeginner (non ci siamo ancora arrivati).
-Syed
Amministratore
Gray Ayer
Un problema riscontrato con questa tecnica è che impedisce anche a chiunque di aggiornare i plugin obsoleti. Avete idee a riguardo, oltre a disabilitare l'aggiunta al file wp-config, aggiornare e poi ripristinare la sicurezza rafforzata?
Staff editoriale
È interessante. Abbiamo questo codice in esecuzione sul nostro sito e possiamo eseguire aggiornamenti con 1 clic.
Amministratore
joanpique
Ciao, grazie per il suggerimento, sì, funziona nel file functions.php.
Ma questo codice mi ha disattivato la pagina delle opzioni del tema :(..., c'è qualche altro codice che nasconde solo gli editor o qualcosa da mettere nella pagina delle opzioni per evitare di nascondere?
Renan Santos
Tutto quello che devi fare è aprire il tuo file wp-config.php e incollare il codice!
Devin Walker
Il 99% dei miei clienti non è tecnico