WordPress如何禁止安裝、升級或編輯主題和插件

WordPress後台安全真的不容忽視，有些閒得慌的朋友看上了某些站點的主題或插件，於是乎想盡各種辦法登錄別人的後台，企圖盜走主題或插件。

一般破解後台管理員登錄以後，預設情況下，他們是可以直接看到和編輯你的WordPress主題或插件的某些原始碼的，甚至他們可以安裝某些插件（例如文件夾打包插件 、備份插件等）來打包你網站的文件。

那麼，我們要如何禁止所有使用者（包括最高權限的管理員）安裝、升級或編輯主題和外掛呢？

停用WordPress主題與外掛程式的線上編輯器

在網站根目錄下的 wp-config.php 檔案加入下面代碼即可：

1
2

//禁止線上編輯主題和插件
define( 'DISALLOW_FILE_EDIT', true );

禁止升級/安裝/編輯WordPress主題與外掛

同樣在網站根目錄下的 wp-config.php 檔案加入下面代碼即可：

1
2

//禁止安裝/升級/編輯主題與插件
define('DISALLOW_FILE_MODS',true);

提示：

1.新增後面第二種程式碼以後，就連主題的設定選項都不能修改，所以請先設定好主題的選項後再加入程式碼。

2.如果增加了第二種代碼，就沒必要再增加第一種了。

3.如果你安裝了某些可以備份網站檔案的插件，請自己想辦法隱藏那些插件，不讓所有使用者（包括最高權限的管理員）進行操作，否則，別人還是可以透過這類插件來取得 你網站的文件的。

4.這類方法只能一定程度上增加WordPress的安全性，但是如果人家連 wp-config.php 都可以存取到，那上面的一切都是枉然！