Você sabia que o WordPress vem com um editor de temas e plugins integrado? Este editor de código simples permite que você edite seus arquivos de tema e plugin diretamente do painel do WordPress.
Embora isso possa parecer muito útil, já vimos como abrir a capacidade de editar arquivos diretamente assim pode levar a problemas como quebrar seu site. Isso pode até introduzir potenciais problemas de segurança quando combinado com outras vulnerabilidades.
Neste artigo, mostraremos como desativar os editores de tema e plugin da área de administração do WordPress e explicaremos por que é uma ideia inteligente.
Por que Desativar Editores de Tema e Plugin no WordPress?
O WordPress vem com um editor de código integrado que permite editar arquivos de tema e plugin do WordPress diretamente da área de administração.
O editor de tema está localizado na página Aparência » Editor de Arquivos de Tema. Por padrão, ele mostrará os arquivos do seu tema ativo no momento.
Da mesma forma, o editor de plugin pode ser visto na página Plugins » Editor de Arquivos de Plugin. Por padrão, ele mostrará um dos plugins instalados do seu site que aparece primeiro em ordem alfabética.
Se você visitar a página do editor de tema ou plugin pela primeira vez, o WordPress o avisará que usar o editor pode quebrar seu site.
No WordPress 4.9, os editores de tema e plugin foram atualizados para proteger os usuários de quebrar acidentalmente seus sites. Na maioria dos casos, o editor detectará um erro fatal e reverterá as alterações.
No entanto, isso não é garantido e algum código ainda pode passar despercebido, resultando em perder o acesso à área administrativa do WordPress.
O maior problema com o editor de arquivos integrado é que ele oferece acesso total para adicionar qualquer tipo de código ao seu site.
Se um hacker invadiu sua área administrativa do WordPress, ele pode usar o editor integrado para obter acesso a todos os seus dados do WordPress.
Hackers também podem usá-lo para distribuir malware ou lançar ataques DDOS a partir do seu site WordPress.
Para melhorar a segurança do WordPress, recomendamos remover completamente os editores de arquivos integrados.
Dito isso, vamos ver como desabilitar facilmente os editores de temas e plugins no WordPress.
Como Desabilitar Editores de Temas e Plugins no WordPress
Desabilitar editores de temas e plugins no WordPress é bastante fácil. No entanto, requer a adição de código no WordPress. Se você nunca fez isso antes, consulte nosso guia sobre colar trechos da web no WordPress.
Você precisará adicionar esta linha de código ao arquivo functions.php do seu tema, a um plugin específico do site, ou usando um plugin de snippet de código.
define( 'DISALLOW_FILE_EDIT', true );
Recomendamos o uso do plugin WPCode porque ele é gratuito, fácil de usar e não quebrará seu site se algo der errado.
Observação: Existe também uma versão premium do WPCode que vem com recursos avançados como revisões de código, pixels de conversão automáticos, snippets agendados e muito mais.
Primeiro, você precisará instalar e ativar o plugin gratuito WPCode. Para instruções detalhadas, consulte nosso guia sobre como instalar um plugin do WordPress.
Assim que o plugin for ativado, vá para Code Snippets » Add Snippet no seu painel do WordPress.
Em seguida, passe o mouse sobre a opção ‘Add Your Custom Code (New Snippet)’ e clique no botão ‘+ Add Custom Snippet’.
Em seguida, você será solicitado a escolher o tipo de código para seu snippet. Selecione a opção ‘PHP Snippet’.
Depois disso, você pode adicionar um título para seu snippet e colar o código acima na caixa ‘Code Preview’.
Por último, basta alternar o interruptor de ‘Inactive’ para ‘Active’ e clicar no botão ‘Save Snippet’.
Isso é tudo, os editores de plugin e tema agora desaparecerão dos menus de temas e plugins na área de administração do WordPress.
Como alternativa, você também pode editar seu arquivo wp-config.php e colar o código acima pouco antes da linha que diz ‘That’s all, stop editing! Happy publishing’ :
Em seguida, salve suas alterações e faça o upload do arquivo de volta para o seu site.
Se você não quiser editar os arquivos diretamente, pode instalar o plugin Sucuri WordPress, que oferece o recurso de hardening com 1 clique.
Maneira Correta de Editar Arquivos de Tema e Plugin do WordPress
Muitos usuários realmente usam os editores de temas e plugins do WordPress para consultar o código, adicionar CSS personalizado ou editar o código em seus temas filhos.
Se você deseja apenas adicionar CSS personalizado ao seu tema, pode fazer isso usando o personalizador de temas localizado em Aparência » Personalizar.
Para mais detalhes, veja nosso guia sobre como adicionar CSS personalizado no WordPress sem quebrar seu site.
Se você quiser consultar o código em um plugin, pode fazer isso usando um cliente FTP.
Para melhor gerenciamento de arquivos e destaque de sintaxe, você pode usar um destes editores de código para editar arquivos do WordPress em seu computador.
Por último, mas não menos importante, você também pode criar um tema personalizado do WordPress sem escrever nenhum código.
Esperamos que este artigo tenha ajudado você a aprender como desabilitar facilmente os editores de temas e plugins do painel de administração do WordPress. Você também pode querer ver nosso guia definitivo para melhorar o desempenho e velocidade do WordPress ou nossas escolhas de especialistas do melhor software de design web.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Moinuddin Waheed
Por motivos de segurança e para manter os plugins e temas funcionando como deveriam, esta é uma alteração obrigatória a ser feita.
A maioria dos meus clientes não tem formação técnica e não faz esse tipo de coisa, mas não permitir fazer tais alterações em primeiro lugar é uma ideia sensata.
Muito obrigado por este guia de passos fáceis.
Jiří Vaněk
Obrigado pelo tutorial. Usei o arquivo wp-config.php e funcionou muito bem. Especialmente para sites de clientes, essa opção me parece muito boa, para que eles não modifiquem os códigos do site e também em termos de segurança.
No final, escolhi o arquivo wp-config principalmente para que essa função não pudesse ser simplesmente desativada pela administração, o que não fazia sentido para mim.
WPBeginner Support
Makes sense
Admin
Bob Putnak
Isso não vai adiantar nada hoje em dia.
1) Usando a solução de FRAGMENTOS DE CÓDIGO, se o hacker tiver acesso ao painel de administração, ele simplesmente irá ao painel de FRAGMENTOS DE CÓDIGO e DESATIVARÁ o fragmento.
2) Da mesma forma, se você o adicionou ao arquivo wp-config, não vejo nenhuma razão pela qual alguém com acesso ao painel de Administração não possa simplesmente INSTALAR o plugin SNIPPETS DE CÓDIGO, ativá-lo e, em seguida, definir uma regra para:
define( ‘DISALLOW_FILE_EDIT’, true );
Parece-me que se o hacker tem acesso ao painel de administração, não há absolutamente nenhuma solução para este problema.
Se você discorda, por favor, explique por quê. Meu login parece 100% seguro.
WPBeginner Support
Se alguém tiver acesso de nível de administrador ao seu site, poderá procurar adicionar um plugin para contornar o problema. Existem outras funções de usuário que têm acesso a essas seções do seu site, mas não a capacidade de adicionar plugins, e isso pode ajudar a protegê-lo de um não administrador que tenha esse nível de acesso de entrar em seus arquivos.
Admin
Robin Hood
Obrigado por compartilhar este post. Útil e informativo.
WPBeginner Support
You’re welcome, glad our content could be helpful
Admin
isabella
Olá! Tenho o problema oposto, preciso adicionar um código CSS no editor, MAS o editor desapareceu.
Você tem alguma sugestão?
Muito obrigado
Abraços
Mike Sawyer
Obrigado por todas as dicas e conselhos úteis. Este é o meu recurso caso eu fique preso. Obrigado.
Raj
Infelizmente, isso não está funcionando para mim, atualizei o arquivo wp-config.php, mas a opção de editor ainda está lá no meu painel do wp, você pode me sugerir algo?
Dave
Olá Raj,
Eu tive o mesmo problema, mas consegui corrigi-lo. Não tenho certeza se este é o seu mesmo problema, mas percebi que ao copiar e colar de uma postagem da internet, às vezes as aspas simples/duplas (‘ ‘) ou (” “) podem ser uma aspa curva em vez de uma aspa reta. Tente excluir as aspas simples e digitá-las novamente.
Espero que isso ajude!
-Dave
William Marques
É possível desabilitar a opção de salvar para todos? Quero mostrar o painel de controle para meus clientes, mas não quero que eles salvem as alterações.
Bella
Um trilhão de agradecimentos!!
Essa pequena linha de código mudou minha vida!
Como eu não te encontrei antes??
Continue sorrindo – Bella
Jimit Shah
Olá
Quero desativar o comando de colar (através do mouse e ctrl+v) no meu arquivo php no editor de temas. Assim, posso escrever código e não copiar nenhum código de fora. Quero dar acesso à escrita manual de código. Por favor, ajude-me.
Raja Dileep Kumar
define(‘DISALLOW_FILE_EDIT’, true); esta função funcionará em themes/functions.php se eu colar o código no wordpress
Pramod Kumar
Funciona, obrigado.
John McNamara
Olá, estou apenas imaginando se alguém encontrou uma maneira de contornar isso sem acesso, pois pagamos US$ 1800 para que alguém configurasse um site que é apenas um tema sem nenhuma alteração feita nele e quer ser pago mais para desbloquear o editor para nós.
Por favor, ajude!!
WPBeginner Support
Se você tiver acesso FTP, ou acesso ao painel de controle de hospedagem, então você pode facilmente editar o arquivo wp-config.php e remover o código:
1-click Use in WordPress
Admin
Graham Peckham
Olá, fui hackeado ontem por alguém que instalou o plugin MonsterInsights no meu site, MAS, a linha de código que você sugere já estava instalada no wp-config.
Alguma sugestão para parar isso?
Abraços
WPBeginner Support
Olá Graham,
Se você suspeita que seu site pode ter sido hackeado, consulte nosso guia sobre recuperar um site WordPress hackeado. Você também pode seguir nosso guia completo de segurança do WordPress para proteger seu site no futuro.
Prasath
define( ‘DISALLOW_FILE_EDIT’, true );
Este desabilita o editor para páginas completas. Preciso desabilitar apenas para a página inicial e para um usuário específico (por exemplo: Editor). Pois eu uso um construtor de páginas. Meus clientes não estão interessados em ver isso..
Alguém pode me ajudar....
Mark Corder
Também posso confirmar que isso funciona quando a linha é adicionada a um Plugin Específico do Site – que você também encontrará a receita aqui no WPBeginner...
... então Obrigado a vocês por tudo isso!
Melissa
Olá! Meu desenvolvedor atrevido fez isso comigo e preciso de acesso… existe alguma maneira de "desfazer" esse truque inteligente sem ter acesso FTP?
Eu também sou desenvolvedor e consigo editar os arquivos sem problemas, mas meu desenvolvedor contratado quer me cobrar para acessar o código… então espero conseguir resolver de alguma forma!
Mel
Al Klein
Você contratou por 'todos os entregáveis'? Se sim, peça a ele para entregar a senha FTP – é um entregável. (É um contrato, então pode ser executado por um tribunal. Você pode não conseguir processar por ação específica, mas pode processar pelo custo de ter outro desenvolvedor criando um novo site exatamente como o antigo [o que provavelmente levará seu desenvolvedor atual à falência – então isso o tornará propenso a entregar tudo a você].)
Se você não incluiu 'todos os entregáveis' no contrato, ou não tem um contrato assinado, considere isso uma lição legal barata. (A faculdade de direito custa muito mais.)
Bill
Ótima dica.
Existe uma maneira de desativar um editor específico (por exemplo, Elementor) para um tipo de postagem (página) específico, permitindo ainda o acesso ao editor clássico?
Espero que isso possa ser feito no arquivo de funções filho.
Suresh Khanal
enquanto lia este post, eu estava me perguntando por que alguém precisaria esconder o link do editor no Admin do WordPress, pois é apenas aos administradores que se tem acesso a esses links e se eles não tiverem permissão para fazer as coisas necessárias, qual o uso? de qualquer forma, percebo que é bom com isso, útil quando você está configurando blogs para seus clientes. Obrigado pelas boas dicas.
Mark Corder
Esta é uma dica excelente – e funcionou bem para mim adicionando a linha ao arquivo functions.php na pasta do meu twentytwelve-child-theme. Ainda vejo opções para personalizar o tema (cabeçalho, plano de fundo, etc.) – mas os links "editor" agora sumiram. (Tive que pressionar CTRL-R para forçar uma recarga da página para fazê-los desaparecer.)
Eu sempre tento remover tudo do backend com o qual um cliente realmente não deveria mexer, e esses editores de plugins e temas são um convite ao desastre! É maravilhoso poder removê-los com uma única linha de código...
Eu realmente aprecio essas dicas que editam as funções e arquivos do tema filho para realizar algo, em vez de apenas recomendar outro plugin – embora eu perceba que isso se afasta um pouco das coisas para “iniciantes”.
E se você ainda não recebeu essa solicitação mil vezes, adoraria ver vocês abrirem um site “WPAdvanced” para nós, o pessoal mais experiente!
Equipe Editorial
Obrigado pelo feedback, Mark. Sim, já recebemos a solicitação para o WPAdvanced no passado. Por enquanto, nosso foco é continuar a melhorar o WPBeginner (ainda não chegamos lá).
-Syed
Admin
Gray Ayer
Um problema encontrado com esta técnica é que ela também impede que qualquer pessoa atualize os plugins desatualizados. Alguma ideia sobre isso, além de desativar a adição ao arquivo wp-config, atualizar e depois restaurar a segurança reforçada?
Equipe Editorial
Isso é interessante. Temos este código rodando em nosso site e podemos fazer atualizações com 1 clique.
Admin
joanpique
Olá, obrigado pela dica, sim, funciona no arquivo functions.php.
Mas este código me desativou a página de opções do meu tema :(..., existe algum outro código que apenas oculte os editores ou algo para colocar na página de opções para evitar que sejam ocultados?
Renan Santos
Tudo o que você precisa fazer é abrir seu arquivo wp-config.php e colar o código!
Devin Walker
99% dos meus clientes não são técnicos