DISALLOW_FILE_EDITを有効にして、悪意のあるコード編集を排除する。

まず、なぜウェブサイトのセキュリティに注意を払う必要があるのか。

多くの人が良いものを作るワードプレスウェブサイトを開設した後、まずはテーマを選び、プラグインをインストールしてページを美しくする。しかし、ウェブサイトのコンテンツや訪問者数が増えるにつれて、セキュリティ上のリスクが徐々に現れてくる。攻撃者は、ウェブサイトのバックエンドにあるテーマやプラグインのエディタを利用する可能性がある。 PHP 悪意のあるコードをファイルに挿入し、ウェブサイトの改ざんや異常なアクセスを引き起こすこと。

一般的な結果は以下の通り：

ページが改ざんされ、違法サイトやスパムサイトにバウンスされる；
検索順位は下がり、検索エンジンはそのサイトを危険なサイトとしてマークする；
ホスティングプロバイダーによってサイトがブロックされ、アクセスが中断される。

多くの場合、こうした問題は技術的スキルの不足が原因ではなく、むしろバックエンドの文書編集機能が制御されていないことが原因である。
ファイル編集禁止 重要なポイントでウェブサイトの保護を強化し、攻撃を受けるリスクを低減することができます。

次に、ワードプレスのバックグラウンド・ファイル・エディターとは何か。

WordPressでは、デフォルトで管理者がバックエンドでウェブサイトのファイルを直接修正することができます。
アクセスパスは

外観」→「」。テーマエディター"
"プラグイン" → "プラグインエディタ"

これらの編集者は次のように述べている。 .php 機能やインターフェイスを調整するために直接修正できるドキュメントのソースコード。

これは便利だが、隠れたセキュリティ・リスクがある。バックグラウンドの権限を持つ人なら誰でもシステムファイルを変更できるし、ハッカーはバックグラウンドでトロイの木馬のスクリプトを挿入してサイト全体をコントロールすることさえできる。これは、サイトのコア・エリアに「スペア・キー」を置いておくことと同じであり、リスクを増大させる。

III.DISALLOW_FILE_EDITとは何ですか？

ファイル編集禁止 は、バックグラウンドでのファイル編集を無効にするWordPress組み込みのセキュリティ定数です。

有効な場合：

バックエンドのメニューから "Theme Editor "が消えた；
プラグインエディター」が表示されなくなりました；
ウェブサイトのファイルをバックエンドで直接修正することはできません。

簡単に言えば、コード行を追加することで、バックエンドのエディタを通してウェブサイトのファイルを改ざんすることを防ぐことができる。
ほとんどのプロの開発者は、特に複数の人が管理するサイトの場合、サイトが公開される前にこの設定を追加する。

IV.DISALLOW_FILE_EDITを正しく追加する。

ステップ1： wp-config.phpファイルを見つける

wp-config.php はWordPressのルートディレクトリにあります。 wpコンテンツ 歌で応える wp-admin 同じレベルだ。

以下の方法でアクセスできる：

サーバー管理パネルを使用する。 1パネル(パゴダ）でファイルマネージャーにアクセスする。
FileZillaなどのFTPユーティリティを使ってサーバーに接続し、ファイルをダウンロードします。
直接操作には、ホストが提供するファイルマネージャを使用する。

ステップ2：コードの追加

ファイルから探してください：

/* 編集は以上です！ハッピー・パブリッシング。

上に追加：

define('DISALLOW_FILE_EDIT', true)；

保存してアップロードすると、元のファイルが上書きされます。

ステップ3：設定が有効になったか確認する

バックエンドにログインし、"外観 "メニューを開くと、"テーマ・エディター "が消えており、"プラグイン "メニューに "プラグイン・エディター "が表示されていない。プラグイン "メニューに "プラグインエディター "が表示されなくなった。
この時点で、バックグラウンドでのファイル編集機能はオフになっており、改ざんのリスクを効果的に低減している。

V. バックグラウンド編集を無効にした後の文書編集の代替方法

バックエンドエディタを閉じた後も、コードは安全な方法で変更することができます：

方法1：FTPまたはサーバーパネルを使用する

とおすファイル転送プロトコルあるいは、ウェブディレクトリにパネルアクセスし、ローカルで編集してからファイルをアップロードすれば、操作は安全であり、ファイルのバックアップをとっておけばリスクを減らすことができる。

方法2：サブトピックを使う子テーマ)

子テーマは、親テーマが更新されたときにカスタムの変更を保持することができ、更新によって変更されたファイルが上書きされるのを防ぎます。
テーマファイルを頻繁に微調整するユーザーに最適。

方法3：Code Snippetsプラグインを使う（コード・スニペット）

このプラグインを使えば、PHPファイルを直接修正することなく、バックエンドでカスタムスニペットを管理することができます。

DISALLOW_FILE_EDITを使用する際の注意事項

FTPやパネルツールなど、ファイルアクセス方法が利用可能であることを確認する。
コードを挿入するときは文法的な整合性に注意し、セミコロンや逆カンマを省略しないようにして、ウェブサイトの空白ページを防いでください。
このコード行はサイトを完全に保護するものではないので、マッチさせる必要がある：
- WordPress、テーマ、プラグインの定期的なアップデート
- 強力なパスワードと二重認証
- セキュリティ・プラグインとデータのバックアップ

まとめ

ウェブサイトのセキュリティは建物の基礎のようなもので、基礎が強固であればあるほど、その後の問題は少なくなる。

define('DISALLOW_FILE_EDIT', true)； バックグラウンドのファイル編集ポータルを閉じて、悪用や潜在的な攻撃のリスクを減らすことができます。

この操作をマスターして、ウェブサイトにさらなる保護レイヤーを追加しましょう。このコードの行は、複数の人が管理するサイトや、セキュリティ要件があるサイトにとって基本的かつ必要な保護です。

WordPressのセキュリティ最適化のヒントやサイト構築の経験については、こちらをご覧ください。 361sale公式サイト実践的なチュートリアルとセキュリティ・ソリューションで、あなたのウェブサイトをより安定したものにしましょう。

お問い合わせ
チュートリアルが読めない？無料でお答えします！個人サイト、中小企業サイトのための無料ヘルプ！	カスタマーサービス WeChat
① 電話：020-2206-9892
② QQ咨询：1025174874
三 Eメール：info@361sale.com
④ 勤務時間: 月～金、9:30～18:30、祝日休み