Waarom je de WordPress online editor niet moet gebruiken

Categorie: Veiligheid
Tags: 2FA, 2factor, bewerker, editor

Inhoudsopgave van: Waarom je de WordPress online editor niet moet gebruiken

WordPress Core heeft standaard een editor om plugins en thema's te bewerken. Heel fijn! Maar er zitten nogal wat addertjes onder het gras.

Er is uiteraard een handeiding van de online bestands-bewerker te vinden op de WordPress Codex. Bezoeken we deze wikipagina ..  dan zien we dat hij eigenlijk helemaal vol staat met waarschuwingen als:

En onderaan aan de pagina staat een hele lange lijst van alternatieven die beter en veiliger zijn. Want iedereen die een fout maakt of een hack krijgt kan met deze editor de hele site infecteren met malware of andere nare zaken veroorzaken. Dit is trouwens ook een van de redenen waarom wij standaard een 2 factor login op ons platform hebben.

Schakel de WordPress editor altijd uit

Onze conclusie kan dan ook niet anders zijn dat deze functionaliteit nooit gebruikt mag worden en daarom staat de editor uit op ons platform.
Als klanten ons vragen waarom dat is dan hebben we daar de volgende uitleg voor:

  1. Veiligheid.
    Mocht uw account onverhoopt gehacked/misbruikt worden dan kan een aanvaller malafide en onveilige code in uw thema of plugins zetten.
  2. Probleem preventie.
    Hoewel de editor functionaliteit standaard in WordPress Core zit .. is een online editor niet de beste manier om bestanden te bewerken om (onder andere) de volgende redenen:
    – Er is geen syntax highlighting
    – Als u onverhoopt een PHP (syntax) fout maakt .. kan uw hele site foutmeldingen vertonen of " witte pagina's". Hierdoor kunnen uw bezoekers de site niet of slecht bezoeken en kunt u ook niet meer op uw site inloggen om de fout te herstellen.

U kunt het beste een teksteditor, notepad, PHP-eclipse, Netbeans of een ander open source programma gebruiken en middels (s)FTP werken om bij uw bestanden te komen.

We hebben het wel mogelijk gemaakt om de editor weer aan te zetten voor klanten die het persee willen gebruiken.

Geen klant bij ons?
Geen probleem, installeer bijvoorbeeld deze plugin of zet het volgende in uw wp-config.php bestand:
define( 'DISALLOW_FILE_EDIT', true );

Kies voor een WordPress webhost die echt om de veiligheid van uw site geeft


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *



Als je dit artikel leuk vond, dan moet je deze speciaal geselecteerde artikelen ook het lezen!


Ervaringen van anderen

?>