WordPressの運用・保守対策の一環として
私がお客様に納品するサイトに
行なっている設定(※)を教えちゃいますね^^
(※ご希望によります)
それは・・・
WordPressの管理画面から
テーマとプラグインの編集機能を
消しちゃう方法です。
こういうことです。
↓ ↓
テーマの編集を消した場合
プラグインの編集を消した場合
なぜ編集機能を消す必要があるの?
「テーマの編集」と「プラグインの編集」というメニューは
それぞれ、テーマを構成するファイル、
プラグインを構成するファイルを
WordPressの管理画面から編集できる機能です。
通常、ファイルを書き換える時は
「FTPソフト」を使って、書き換えたファイルを
アップロードして上書きする、という手順が必要ですが
この編集機能があれば、FTPソフトを使わなくても
WordPressにログインさえできれば
ファイルが編集できてしまうんです。
画像はテーマの編集画面です。
できて「しまう」って
できる方が不便なの??
そのままでもいいんじゃないの?
うん、残念ながら便利さより、
大きなトラブルの元になることが多いんだ
・サイトを壊してしまう場合がある
よくカスタマイズする人には、手軽な機能なのですが、
恐ろしいことに、上書き保存してしまうと
元に戻すことができません。
>や;一つ間違えただけでも、
そのファイルが読み込めなくなってしまい、
WordPressのレイアウトが崩れたり、一部表示されなくなったりします。
さらに最悪の場合、管理画面にログインできなくなり
いじったところを直そうと思っても、
修正することもできなくなります。
その時はFTPソフトを使わなければなりませんが
その時になってはじめて、FTPソフトを使おうとしたら
FTPソフトをインストールして・・から始まるので本当に大変です。
普段からテーマやプラグインを編集しない方は
有効にしておく必要が全然ないんです。
それどころか、セキュリティのリスクにもなりうるんです。
・サイトを改ざんされる原因になる
本来、Webサイトにウィルスを埋め込んでやろう、とか
改ざんしてやろう、とかする場合は
FTPソフトでファイルを書き換えないといけないので
サーバーのFTP接続アドレス、ID、パスワードがわからないと
そんなことはもちろんできません。
ですが、この編集機能が有効になっていれば
WordPressにログインするだけでサイトを改変することができるんです。
実際、被害に遭われるケースは
IDとパスワードの管理が甘くて、ログインされて
ここから書き換えられるケースが殆どなんです。
それも、この編集機能をオフにしてしまえば
防ぐことができる、というわけです。
編集機能をオフにする方法
ちょっと専門的なお話になりますが、
WordPressのファイルの中に
「wp-config」というファイルがあります。
このファイルに、
define(‘DISALLOW_FILE_EDIT’,true);
というコードを書きたしてあげるだけです。
こちらはWordPressのオンラインマニュアル
WordPressCodexから教えていただきました。
https://wpdocs.osdn.jp/wp-config.php_%E3%81%AE%E7%B7%A8%E9%9B%86
かなり下の方にこんな記載がありました。
ちょっと編集は難しいですが、こんなことができるんだということを
まずはご承知おきいただければ^^
ぜひこの設定をやりたい、という方は
FTPが使える方にこのページを見せていただければすぐにわかると思います。
FTPの使い方もまた追ってアップしますね!