disallow_file_edit 是什么？一行代码关闭 WordPress 后台文件编辑

你的WordPress 站点安全吗？那可能只是还没被盯上，真正危险的地方是主题/插件文件编辑器。只要拿到管理员账号（密码泄露、弱口令、木马、插件漏洞提权都可能），就能直接在后台改 PHP 文件，几秒内把后门写进你的网站。disallow_file_edit 就是用来解决这个风险的：通过一行代码，直接关闭 WordPress 后台的“文件编辑”入口，让后台不再提供在线改代码的能力，从源头减少被插后门的机会。

1. disallow_file_edit 是什么？它到底关掉了什么

在 WordPress 后台里，通常会有两个入口：

• 外观 → 主题文件编辑器（Theme File Editor）
• 插件 → 插件文件编辑器（Plugin File Editor）

这些编辑器允许你直接编辑服务器上的主题/插件文件，比如：

• functions.php
• header.php
• footer.php
• 某个插件的主文件（包含 PHP 逻辑）

这类入口对新手来说“方便”，但对攻击者来说是“直通车”。disallow_file_edit 做的事情很简单：只关闭这两个编辑器入口，让后台看不到、用不了“在线编辑文件”的功能。

要点：

• ✅ 关闭的是“后台编辑文件”能力
• ✅ 不影响网站正常运行
• ✅ 不影响你用 FTP/服务器文件管理/SSH 去改文件
• ❌ 不是防火墙，不会自动修复漏洞
• ❌ 不是万能安全方案，但属于“必做的基础加固”

2. 为什么要关后台文件编辑？真实风险是什么

很多站长误以为：“我不用这个功能，留着也没事。”实际情况是：你不用，但攻击者会用。

常见的攻击链路是这样的：

1. 站点安装了某个存在漏洞的插件/主题（或者账号被撞库）
2. 攻击者拿到了管理员权限（或能执行后台操作）
3. 进入后台文件编辑器
4. 在 functions.php、插件文件中插入一段后门代码（webshell）
5. 后门一旦存在，哪怕你改了密码、删了漏洞插件，站点仍可能被反复控制

所以，关闭后台编辑器的意义是：

• 减少攻击者“落地写后门”的路径
• 降低误操作风险（自己或同事在后台乱改文件导致白屏）
• 让网站更符合“最小权限原则”（不该在后台做的事就关掉）

3. 一行代码怎么写？放哪里最正确

3.1 推荐做法：写在 wp-config.php

你只需要在 wp-config.php 中加入这一行：

define('DISALLOW_FILE_EDIT', true);

放置位置建议：
放在 /* That's all, stop editing! Happy publishing. */ 这行的上面（也就是文件末尾但在注释之前），示例：

define('DISALLOW_FILE_EDIT', true);/* That's all, stop editing! Happy publishing. */

这样 WordPress 在加载配置时就会读取到它。

3.2 为什么建议放 wp-config.php 而不是 functions.php

• wp-config.php 是全局配置，优先级更稳定
• 不依赖主题（换主题也不会丢）
• 不会因为主题报错导致配置失效

如果你把它写在 functions.php，一旦主题切换或主题文件损坏，这个设置可能就没了。

4. 开启后会发生什么？怎么确认生效

开启后最直观的变化是：

• 后台 外观 里不再出现“主题文件编辑器”
• 后台 插件 页面也不再出现“插件文件编辑器”

不同版本/不同语言可能显示为：

• Theme File Editor / Theme Editor
• Plugin File Editor / Plugin Editor

4.1 快速确认方法（最简单）

1. 进入后台
2. 看“外观”和“插件”菜单
3. 如果找不到“文件编辑器”，基本就是生效了

4.2 如果你仍然看到编辑器入口，通常原因是：

• 代码没有加成功（位置不对、文件没保存）
• 站点有缓存/OPcache（少见，但有可能延迟）
• 你编辑的不是当前站点使用的 wp-config.php（多站点/多环境常见）

5. 常见问题：开启后会影响我更新主题/插件吗？

不会。DISALLOW_FILE_EDIT 只关“编辑器”，不关“更新”。
你仍然可以：

• 正常更新插件
• 正常更新主题
• 正常上传插件/主题
• 正常用 Elementor、Gutenberg 编辑页面内容

你不能做的是：

• 在后台直接打开某个 PHP 文件并修改它

这正是我们希望的：把“改代码”从后台拿掉，改用更可控的方式。

6. 如果我真的需要改代码怎么办？替代方法有哪些

关闭后台编辑器后，改代码的推荐路径是：

6.1 用子主题

你要改主题功能/样式，优先用子主题：

• 不会被主题更新覆盖
• 改动更可控

6.2 用 Code Snippets 或自建小插件

如果你只是加一些功能代码，不想动主题文件：

• 用 Code Snippets 插件（注意选择靠谱版本）
• 或写一个小功能插件，把代码放进去

6.3 用 FTP/服务器文件管理器

需要改文件时：

• 用 FTP（FileZilla）
• 或主机面板文件管理器（cPanel/1Panel 等）
• 或 SSH（更专业）

这样做的好处是：你能留痕、能回滚、能备份，不会在后台“随手一改就炸站”。

7. disallow_file_edit 和 DISALLOW_FILE_MODS 区别是什么

很多人会混淆这两个常量：

7.1 DISALLOW_FILE_EDIT

• ✅ 只禁止后台编辑主题/插件文件
• ✅ 不影响更新与安装

7.2 DISALLOW_FILE_MODS

• ✅ 禁止安装/更新/删除插件与主题
• ✅ 适合“强管控”环境（比如客户站、企业站）

简单理解：

• 你只想关编辑器：用 DISALLOW_FILE_EDIT
• 你想把后台“装插件、更新插件”也锁死：用 DISALLOW_FILE_MODS

多数普通站点：先从 DISALLOW_FILE_EDIT 做起就够了。

8. 配套建议

如果你做网站安全只想先做 3 个动作，我会把它排在第一梯队：

1. ✅ 开启 DISALLOW_FILE_EDIT
2. ✅ 强密码 + 管理员账号减少 + 开启 2FA（能开就开）
3. ✅ 定期更新插件主题 + 删除不用的插件主题

原因很简单：关闭后台编辑器 = 直接砍掉一个高危入口，成本极低，收益很高。

结语

disallow_file_edit 是 WordPress 安全加固里最“省事但有效”的设置之一：一行代码就能把后台文件编辑入口关掉，让攻击者即使拿到后台权限，也少了一条最快插后门的路。它不会影响你正常更新、发布内容，也不会影响 WooCommerce 或 Elementor 运行。

联系我们
教程看不懂？联系我们为您免费解答！免费助力个人，小企站点！	客服微信
① 电话：020-2206-9892
② QQ咨询：1025174874
③ 邮件：info@361sale.com
④ 工作时间：周一至周五，9:30-18:30，节假日休息