【運用・保守】テーマ・プラグインを編集できなくする方法【セキュリティ対策】

WordPressの運用・保守対策の一環として

私がお客様に納品するサイトに
行なっている設定(※)を教えちゃいますね^^
(※ご希望によります)

 

それは・・・

WordPressの管理画面から
テーマとプラグインの編集機能を
消しちゃう方法です。

こういうことです。

 ↓ ↓

テーマの編集を消した場合

 

プラグインの編集を消した場合

なぜ編集機能を消す必要があるの?

「テーマの編集」と「プラグインの編集」というメニューは
それぞれ、テーマを構成するファイル、
プラグインを構成するファイルを
WordPressの管理画面から編集できる機能です。

通常、ファイルを書き換える時は
「FTPソフト」を使って、書き換えたファイルを
アップロードして上書きする、という手順が必要ですが

この編集機能があれば、FTPソフトを使わなくても
WordPressにログインさえできれば
ファイルが編集できてしまうんです。

画像はテーマの編集画面です。

 


あび

できて「しまう」って
できる方が不便なの??

そのままでもいいんじゃないの?

 


村重

うん、残念ながら便利さより、
大きなトラブルの元になることが多いんだ

 

・サイトを壊してしまう場合がある

 

よくカスタマイズする人には、手軽な機能なのですが、
恐ろしいことに、上書き保存してしまうと

元に戻すことができません。

>や;一つ間違えただけでも、
そのファイルが読み込めなくなってしまい、
WordPressのレイアウトが崩れたり、一部表示されなくなったりします。

さらに最悪の場合、管理画面にログインできなくなり
いじったところを直そうと思っても、
修正することもできなくなります。

その時はFTPソフトを使わなければなりませんが
その時になってはじめて、FTPソフトを使おうとしたら
FTPソフトをインストールして・・から始まるので本当に大変です。

普段からテーマやプラグインを編集しない方は
有効にしておく必要が全然ないんです。

それどころか、セキュリティのリスクにもなりうるんです。

 

・サイトを改ざんされる原因になる

本来、Webサイトにウィルスを埋め込んでやろう、とか
改ざんしてやろう、とかする場合は

FTPソフトでファイルを書き換えないといけないので
サーバーのFTP接続アドレス、ID、パスワードがわからないと
そんなことはもちろんできません。

ですが、この編集機能が有効になっていれば
WordPressにログインするだけでサイトを改変することができるんです。

実際、被害に遭われるケースは
IDとパスワードの管理が甘くて、ログインされて
ここから書き換えられるケースが殆どなんです。

それも、この編集機能をオフにしてしまえば
防ぐことができる、というわけです。

 

編集機能をオフにする方法

ちょっと専門的なお話になりますが、
WordPressのファイルの中に
「wp-config」というファイルがあります。

このファイルに、

define(‘DISALLOW_FILE_EDIT’,true);

というコードを書きたしてあげるだけです。

こちらはWordPressのオンラインマニュアル
WordPressCodexから教えていただきました。

https://wpdocs.osdn.jp/wp-config.php_%E3%81%AE%E7%B7%A8%E9%9B%86

かなり下の方にこんな記載がありました。

ちょっと編集は難しいですが、こんなことができるんだということを
まずはご承知おきいただければ^^

ぜひこの設定をやりたい、という方は
FTPが使える方にこのページを見せていただければすぐにわかると思います。

FTPの使い方もまた追ってアップしますね!

 

WordPressに関するご質問にお答えします。
こちらのフォームから
お気軽にお寄せください^^
https://wp-firststep.com/questionbox/