Den Theme- und Plugin-Editor in WordPress deaktivieren

Im Admin-Backend befindet sich standardmäßig ein Editor, mit dessen Hilfe man den Code von Plugins und Themes bearbeiten kann. Das klingt auf den ersten Blick praktisch für User. Birgt aber vor allem Gefahr, wenn der User keine Ahnung hat was er tut. Daher möchte man unter Umständen beide Editoren deaktivieren.

In diesem Artikel erkläre ich dir, warum es sinnvoll ist, den Editor zu deaktivieren, und zeige zwei Möglichkeiten, wie das Ganze umgesetzt werden kann — per Code und mit dem Plugin Solid Security (früher iThemes Security). Abschließend gebe ich dir Hinweise, wie man nach der Deaktivierung Änderungen über FTP vornehmen kann.

Warum den Editor deaktivieren?

Sicherheitsrisiko

Wenn ein Angreifer Zugriff auf das WordPress-Dashboard erhält, kann er mit dem Editor Schadcode direkt in Theme- oder Plugin-Dateien einfügen. Selbst wenn kein Zugriff auf anderem Wege existiert (zB per FTP oder direkter Zugriff über das Hoster Backend).

Fehleranfälligkeit

Unvorsichtige Änderungen an den Dateien können zu schwerwiegenden Fehlern führen, die die Website lahmlegen.

Best Practice

Änderungen sollten vorzugsweise in einer Entwicklungsumgebung vorgenommen und über FTP oder ein Versionskontrollsystem hochgeladen werden. Das wäre der Best Practice, den leider so gut wie niemand praktiziert.

So deaktivierst du den internen Editor in WP

In der wp-config.php (befindet sich im Hauptverzeichnis der Installation) erstellst du folgende Kostante und schiebst unerwünschten Änderungen an Themes und Plugins im Backend somit einen Riegel vor:

define('DISALLOW_FILE_EDIT', true);

Bearbeite die Datei mit einem geeigneten Editor (z. B. Notepad++ oder VS Code). Füge den Code irgendwo ein vor der Zeile

define('DISALLOW_FILE_EDIT', true);

Speichere die Änderung und lade die Datei gegebenenfalls per FTP zurück auf den Server. Nach diesem Schritt sind die Editoren im WordPress-Dashboard deaktiviert.

Möglichkeit 2: Deaktivierung mit Solid Security

Das Plugin Solid Security macht es besonders einfach, Sicherheitsfunktionen wie die Deaktivierung des Editors zu aktivieren.

Schritt 1: Plugin installieren und aktivieren

• Gehe zu Plugins > Installieren und suche nach „Solid Security“.
• Installiere und aktiviere das Plugin. Nun gehst du in der Regel den Installations Wizard durch, danach:

Schritt 2: Sicherheitseinstellungen konfigurieren

• Gehe zu Security > Einstellungen > Erweitert.
• Aktiviere die Option Datei-Editor deaktivieren („Disable File Editor“).
• Speichere die Änderungen.

Das Plugin sorgt nun dafür, dass der Theme- und Plugin-Editor deaktiviert bleibt.

Über Solid Security kannst du den internen Theme Editor in WordPress deaktivieren

Zugriff auf Dateien über FTP

Nach der Deaktivierung des Editors erfolgt die Bearbeitung von Dateien über FTP oder SFTP. Dies ist sicherer (weil du auch sicher bist, dass nur du diese Änderungen durchführen kannst und nicht jeder berechtigte oder unberechtigte User im WordPress Dashboard) und ermöglicht es dir, Änderungen mit einem lokalen Editor vorzunehmen.

Was wird benötigt?

• FTP-Client: Verwende Programme wie FileZilla, Cyberduck oder WinSCP.
• FTP-Zugangsdaten: Diese findest du in der Regel im Hosting-Dashboard deines Anbieters.

So richtest du den FTP-Zugang ein:

1. Melde dich im Hosting-Dashboard an und navigiere zu den FTP-Einstellungen.
2. Erstelle ggf. einen neuen Benutzer oder verwende die vorhandenen Zugangsdaten.
3. Verbinde dich mit einem FTP-Client, indem du die Zugangsdaten (Host, Benutzername, Passwort, Port) eingibst.
4. Navigiere zum entsprechenden Verzeichnis deiner WordPress-Installation.

Tipp:

Nutze SFTP anstelle von FTP, da es die Übertragung durch Verschlüsselung absichert. Die meisten Hoster bieten diese Option an.