WordPress: Änderungen an Theme- und Plugin-Dateien verhindern

Symbolbild: no

Theme- und Plugin-Dateien zu bearbeiten, gehört zur regelmäßigen Arbeit von Administratoren einer WordPress-Installation. Anpassungen an Theme-Dateien sollten zudem grundsätzlich nur im Child-Theme vorgenommen werden, denn jede Änderung wird bei einem Update des Themes überschrieben. Für Plugin-Dateien gibt es das Prinzip “Child” nicht, hier sollten keine Anpassungen vorgenommen werden. Ausnahmen mag es natürlich geben, aber in so einem Fall muss die Anpassungen gut dokumentiert werden, damit sie nach einem Update des Plugins erneut vorgenommen werden kann.

Falls also Änderungen vorgenommen werden (müssen), sollte man dies zudem im Idealfall so machen, dass man sich die entsprechende Datei via FTP vom Server herunterlädt, sie in einem Editor bearbeitet und dann wieder hochlädt. Ist man ganz vorsichtig, speichert man zudem ein Backup der Datei. Sollte etwas schiefgehen oder einfach nicht so wie gewünscht funktionieren, kann man die Anpassung rückgängig machen oder sogar die gespeicherte Backup-Datei innerhalb von kürzester Zeit wieder auf den Webspace hochladen.

Trotzdem ist es in einer WordPress-Umgebung standardmäßig für Nutzer mit Administrationsrechen möglich, sich den Code der Theme- und Plugin-Dateien anzeigen zu lassen und auch zu bearbeiten. Es genügt dafür der Aufruf der Menüpunkte Desgin/Theme-Datei-Editor bzw. Plugin/Plugin-Datei-Editor.

Bei der Nutzung eines Full Site Editing-Themes sind die Menüpunkte an einen anderen Platz gerückt. Sie sind über den Menüpunkt Werkzeuge erreichbar.

WordPress warnt zwar vor einer Bearbeitung, aber es ist doch sehr verlockend kleine (“wirklich nur klitzekleine”) Anpassungen direkt hier im Code-Editor im WordPress-Backend vorzunehmen. Die Gefahr hierbei ist allerdings, dass bei einem Fehler die Korrektur wesentlich länger benötigt, denn im Zweifelsfall ist auch das Backend der WordPress-Installation nicht mehr erreichbar. Und dann hilft nur der Zugriff über den FTP-Server. Wenn man großes Pech hat, war die Anpassung doch nicht so klitzeklein und ein Backup der betroffenen Datei ist nicht vorhanden.

Um den Zugriff sowohl auf den Theme-Datei-, als auch den Plugin-Datei-Editor zu deaktivieren bzw. zu verhindern ist nicht viel Aufwand notwendig. Man muss lediglich den Code

define( 'DISALLOW_FILE_EDIT', true );

in die wp-config.php einfügen.

Die Menüpunkte werden so entfernt und ein direkter Zugriff per URL blockiert.

Screenshot von der Fehlermeldung: Du bist leider nicht berechtigt, auf diese Seite zuzugreifen.
Warnung über nicht erlaubten Zugriff auf den Editor.

Nur so kann man sicher sein, dass Anpassungen nur durch Nutzer vorgenommen werden, die auch Zugriff auf den FTP-Server haben.

Image(s) licensed by Ingram Image/adpic.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge: