WordPress Core heeft standaard een editor om plugins en thema's te bewerken. Heel fijn! Maar er zitten nogal wat addertjes onder het gras.

Er is uiteraard een handeiding van de online bestands-bewerker te vinden op de WordPress Codex. Bezoeken we deze wikipagina ..  dan zien we dat hij eigenlijk helemaal vol staat met waarschuwingen als:

  • Maak altijd eerst een backup
  • Veiligheidsrisico's en problemen

En onderaan aan de pagina staat een hele lange lijst van alternatieven die beter en veiliger zijn. Want iedereen die een fout maakt of een hack krijgt kan met deze editor de hele site infecteren met malware of andere nare zaken veroorzaken. Dit is trouwens ook een van de redenen waarom wij standaard een 2 factor login op ons platform hebben.

Schakel de WordPress editor altijd uit

Onze conclusie kan dan ook niet anders zijn dat deze functionaliteit nooit gebruikt mag worden en daarom staat de editor uit op ons platform.
Als klanten ons vragen waarom dat is dan hebben we daar de volgende uitleg voor:

  1. Veiligheid.
    Mocht uw account onverhoopt gehacked/misbruikt worden dan kan een aanvaller malafide en onveilige code in uw thema of plugins zetten.
  2. Probleem preventie.
    Hoewel de editor functionaliteit standaard in WordPress Core zit .. is een online editor niet de beste manier om bestanden te bewerken om (onder andere) de volgende redenen:
    – Er is geen syntax highlighting
    – Als u onverhoopt een PHP (syntax) fout maakt .. kan uw hele site foutmeldingen vertonen of " witte pagina's". Hierdoor kunnen uw bezoekers de site niet of slecht bezoeken en kunt u ook niet meer op uw site inloggen om de fout te herstellen.

U kunt het beste een teksteditor, notepad, PHP-eclipse, Netbeans of een ander open source programma gebruiken en middels (s)FTP werken om bij uw bestanden te komen.

We hebben het wel mogelijk gemaakt om de editor weer aan te zetten voor klanten die het persee willen gebruiken.

Geen klant bij ons?
Geen probleem, installeer bijvoorbeeld deze plugin of zet het volgende in uw wp-config.php bestand:
define( 'DISALLOW_FILE_EDIT', true );

Kies voor een WordPress webhost die echt om de veiligheid van uw site geeft


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Ervaringen van anderen

Lees ook

  • WordPress Veiligheid: 2 Factor Login

    Veiligheid

    Wij vinden veiligheid erg belangrijk. Zo belangrijk dat we je WordPress site standaard al extra beveiligen met een 2 factor login (2FA).

  • Patched: PHPMailer exploit in WordPress

    Veiligheid

    Eind december 2016 blijkt er in de open source PHPMailer-bouwblok software die WordPress gebruikt een lek te zitten. Op WordPress zelf is het een critical external-library melding: https://core.trac.wordpress.org/ticket/37210 Door het lek in PHPMailer https://threatpost.com/phpmailer-bug-leaves-millions-of-websites-open-to-attack/122775/ is het mogelijk om code uit te voeren op de webserver waar PHPMailer draait. PHPMailer is een veelgebruikt software bouwblok om te kunnen mailen vanaf […]

  • Stoppen met WordPress backups!

    Veiligheid

    We zien met regelmaat dat er plugins gebruikt worden om WordPress backups te maken. Wat ons betreft: meteen mee stoppen, tenzij er geen enkele andere manier is om backups te (laten) maken.