آموزش غیرفعال کردن ویرایشگر تم و افزونه در وردپرس (افزایش امنیت)

چرا باید ویرایشگر تم و افزونه وردپرس را غیرفعال کنیم؟

وردپرس به‌صورت پیش‌فرض یک ویرایشگر کد داخلی دارد که از طریق پیشخوان مدیریت (بخش نمایش و افزونه‌ها) قابل دسترسی است. این ویرایشگر به مدیران سایت اجازه می‌دهد فایل‌های PHP قالب و افزونه‌ها را مستقیماً از داخل پیشخوان ویرایش کنند.

اگرچه این قابلیت در نگاه اول مفید به نظر می‌رسد، اما یک ریسک امنیتی جدی محسوب می‌شود. اگر هکری موفق به دسترسی به حساب ادمین وردپرس شود، می‌تواند از طریق این ویرایشگر کد مخرب را مستقیماً در فایل‌های سایت تزریق کند و بدون نیاز به دسترسی FTP یا SSH، کنترل کامل سایت و حتی سرور را به دست بگیرد.

به همین دلیل، غیرفعال کردن ویرایشگر داخلی وردپرس یکی از اولین اقدامات امنیتی است که هر مدیر سایت وردپرسی باید انجام دهد.

روش غیرفعال کردن ویرایشگر فایل در وردپرس

روش اول: از طریق فایل wp-config.php (توصیه‌شده)

ساده‌ترین و مطمئن‌ترین روش، اضافه کردن یک خط کد به فایل wp-config.php است. این فایل در پوشه اصلی (root) وردپرس قرار دارد.

از طریق FTP یا فایل منیجر هاست خود، فایل wp-config.php را باز کنید و خط زیر را قبل از عبارت That's all, stop editing! اضافه کنید:

define('DISALLOW_FILE_EDIT', true);

پس از ذخیره فایل، اگر به بخش نمایش یا افزونه‌ها بروید، دیگر گزینه “ویرایشگر” را نخواهید دید.

روش دوم: غیرفعال کردن کامل ویرایش فایل‌ها

اگر می‌خواهید علاوه بر ویرایشگر، امکان نصب و به‌روزرسانی افزونه‌ها و قالب‌ها از طریق پیشخوان را هم غیرفعال کنید، از کد زیر استفاده کنید:

define('DISALLOW_FILE_MODS', true);

توجه مهم: این تنظیم بسیار محدودکننده‌تر است و حتی به‌روزرسانی خودکار وردپرس، قالب‌ها و افزونه‌ها را هم غیرفعال می‌کند. فقط در صورتی از این گزینه استفاده کنید که تمام به‌روزرسانی‌ها را از طریق FTP یا SSH انجام می‌دهید.

روش سوم: استفاده از افزونه امنیتی

افزونه‌های امنیتی محبوب مانند Wordfence، Sucuri و iThemes Security گزینه‌ای برای غیرفعال کردن ویرایشگر فایل در تنظیمات خود دارند. اگر قبلاً یکی از این افزونه‌ها را نصب کرده‌اید، می‌توانید از طریق تنظیمات امنیتی افزونه این کار را انجام دهید.

سایر اقدامات امنیتی ضروری وردپرس

غیرفعال کردن ویرایشگر فایل فقط یکی از مراحل امن‌سازی وردپرس است. برای محافظت کامل از سایت وردپرسی خود، اقدامات زیر را نیز انجام دهید.

تغییر پیشوند جداول دیتابیس از wp_ به یک پیشوند تصادفی، محدود کردن تعداد تلاش‌های ناموفق ورود (Login Attempts)، فعال‌سازی احراز هویت دوعاملی (2FA)، غیرفعال کردن اجرای PHP در پوشه uploads، تنظیم مجوزهای صحیح فایل‌ها (644 برای فایل‌ها و 755 برای پوشه‌ها)، و مخفی کردن نسخه وردپرس از کدهای سایت از جمله مهم‌ترین این اقدامات هستند.

نقش هاست در امنیت وردپرس

بخش بزرگی از امنیت سایت وردپرسی به زیرساخت هاستینگ بستگی دارد. یک هاست وردپرس حرفه‌ای باید فایروال سطح سرور، مانیتورینگ بدافزار، بکاپ خودکار و ایزوله‌سازی حساب‌ها را ارائه دهد.

هاست وردپرس میهن هاستینگ با استفاده از وب‌سرور LiteSpeed، فایروال CSF و مانیتورینگ ۲۴ ساعته، لایه‌های امنیتی متعددی را در سطح سرور فراهم می‌کند که حتی اگر یک افزونه آسیب‌پذیر داشته باشید، سرور و سایت شما محافظت می‌شوند.

همچنین اگر سرور اختصاصی یا سرور مجازی دارید و نیاز به پیکربندی امنیتی حرفه‌ای دارید، تیم فنی میهن هاستینگ در خدمات کانفیگ سرور تمام تنظیمات امنیتی شامل فایروال، آنتی‌ویروس و hardening سرور را برای شما انجام می‌دهد.

🔒 هاست وردپرس امن

امنیت سایت وردپرسی شما با LiteSpeed، فایروال CSF و مانیتورینگ ۲۴ ساعته در هاست وردپرس میهن هاستینگ تضمین می‌شود.

مشاهده هاست وردپرس ←