Alasan risiko keamanan adalah alasan kuat untuk menonaktifkan file editor pada WordPress. Karena meskipun sangat nyaman bisa mengakses fitur ini dan melakukan proses edit langsung dari halaman admin, fitur ini memiliki risiko keamanan yang tinggi.
Fungsi file editor (theme & plugin editor) menyediakan akses yang tidak terbatas ke file tema dan plugin Anda. Akan sangat berbahaya jika pengguna yang kurang paham tentang kode menggunakan fitur ini. Dampak buruknya bisa dari mulai tampilan website yang kacau hingga website tidak bisa diakses.
Kenapa Anda Sebaiknya Menonaktifkan File Editor
Misalnya Anda adalah seorang developer yang membuatkan website untuk seorang klien. Wajar saja jika Anda memberikan user account dengan hak akses administrator ke website mereka sendiri. Dan dengan hak akses administrator, fungsi file editor secara default dapat diakses. Maka akan ada kemungkinan secara tidak sengaja mereka menggunakan fitur ini untuk mengedit kode plugin dan tema tanpa tahu dampak buruk yang dapat terjadi.
Akan lebih aman jika akses ke fitur ini dinonaktifkan saja. Dan pastikan bahwa pengguna yang memiliki pengetahuan tentang kode dan berhak untuk mengedit file, hanya melakukannya melalui FTP / SFTP.
Nonaktifkan File Editor Dengan Kode
Saya lebih memilih menggunakan metode ini. Karena lebih baik dan lebih mudah untuk menambahkan sebaris kode daripada harus menginstal plugin lain lagi. Lebih sedikit plugin lebih baik bagi performa keseluruhan website.
Berikut langkahnya:
1. Login ke server hosting Anda.
2. Temukan file wp-config.php di root folder WordPress Anda.
3. Buka file untuk melakukan proses edit. Paste kode di bawah ini sebelum baris yang berbunyi ‘That’s all, stop editing! Happy publishing’ untuk menonaktifkan fitur theme editor di website Anda. Dan terakhir simpan perubahan yang Anda buat.
define('DISALLOW_FILE_EDIT', true);
Nah, gambar di bawah menunjukkan bahwa proses menonaktifkan file editor sudah berhasil. Jadi pengguna tidak dapat melakukan modifikasi file tema dari halaman admin langsung.
Kalaupun pengguna nanti mencoba akses fungsi tersebut dengan cara mengetik URL http://namadomain.com/wp-admin/theme-editor.php secara langsung, akan muncul peringatan seperti di bawah ini.
Nonaktifkan File Editor Dengan Plugin
Memasang plugin keamanan adalah hal yang wajib. Plugin keamanan yang saya bahas di sini adalah iThemes Security.
Pada plugin iThemes Security sudah ada fungsi untuk menonaktifkan file editor WordPress. Jadi Anda tidak perlu menambahkan kode atau plugin lagi.
Berikut langkahnya:
1. Buka menu Security > Settings di sidebar halaman admin.
2. Scroll ke bawah, cari module WordPress Tweaks, klik Configure Setting.
3. Centang pilihan Disable File Editor.
4. klik Save Setting untuk menyimpan perubahan.
5. Proses menonaktifkan file editor selesai.
Mungkin fitur ini ada juga di plugin keamanan WordPress yang lain. Namun saya belum sempat mencoba, karena saya sendiri selalu menggunakan iThemes Security sebagai plugin keamanan.
Saya harap dengan artikel ini Anda lebih paham tentang bagaimana menonaktifkan file editor WordPress.
