WordPress Plugin & Theme-Editor via Konstante deaktivieren

Es kann sehr riskant sein, den Editor für Plugins und Themes aktiv zu lassen; eine einfache Lösung diese zu deaktivieren stellt die Nutzung von Konstanten dar, die von WordPress vorgegeben werden.

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 6 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

WordPress ist bekannt dafür, dass diverse Konstanten im Core schlummern und oft schnelle Lösungen schaffen. Im Zusammenhang des Editors im Backend von WordPress oder dem Updaten des Systems gib es ebenso solche Konstanten, die mir neulich bei Arbeiten an dieser Stelle des Core untergekommen sind. Daher zwei kleine Strings, die schnell ein Lösung herbei schaffen können. So weit mir bekannt, sind alle hier genannten Konstanten seit Version 3.0 im System.

Die erste Konstante nimmt die Editoren aus dem Backend und verbietet den Zugang dahin. Damit ist das Editieren von Theme und Plugin-Dateien aus dem Backend mit Standard-Lösungen nicht möglich.


// for enabling/disabling theme/plugin editor
define( 'DISALLOW_FILE_EDIT', TRUE );

Die zweite hier vorgestellte Konstante verbietet das Editieren, Modifizieren bzw. Ändern von Dateien aus dem Core, Plugins oder Themes. In dem Zusammenhang sind auch die Menueinträge im Backend nicht sichtbar bzw. nutzbar. Damit ist auch das Update nicht so einfach machbar und Kunden und nicht authentifizierte User sind schnell geblockt.


// Disallow anything that creates, deletes, or edits core, plugin, or theme files.
// Files in uploads are excepted.
define( 'DISALLOW_FILE_MODS', TRUE );

In dem Zusammenhang gibt es zwei weitere Konstanten, die ab und an nützlich sind.
Die erste ist immer mal wieder in den Schlagzeilen, da damit diverse Abfragen konsolidieren. IN diversen Umfeldern ist es aber sehr nützlich, dass alle User der Installation die Möglichkeit haben: ungefiltertes HTML zu schreiben, in allen Aspekten und dies kann ebenso einfach via Konstante realisiert werden.


// Disallow unfiltered_html for all users, even admins and super admins
DISALLOW_UNFILTERED_HTML

Ähnliches gibt es im Umfeld der Uploads.


// Allow uploads of filtered file types to users with administrator role
ALLOW_UNFILTERED_UPLOADS

Die Konstanten gehören in die wp-config.php der Installation.

Kommentare sind geschlossen.