WordPressの管理者権限でログインしても管理画面からテーマ編集やプラグイン編集を無効化する方法

こんにちは。コワーキングスペース7Fの星野邦敏です。

WordPressの管理画面について、管理者権限でログインすると、いわゆる何でも出来てしまいます。これは便利ではありますが、レンタルサーバーを使っている場合、基本的には管理画面からもテーマやプラグインを編集できてしまうため、自分以外の人に管理者権限を渡したり、また、何か不測の事態で権限が乗っ取られた場合などに、意図しない編集が行われてしまって、PHPエラーになってしまったり、悪意のあるコードが埋め込まれたりしてしまうケースもあると思います。

そこで、管理者権限でログインした場合でも、管理画面の以下の部分、「テーマ編集」や「プラグイン編集」を無効化する方法をご紹介します。

行なうことは１点、サーバーから入って、WordPressの入っているフォルダ階層の一番上にwp-config.phpがあると思いますので、このwp-config.phpファイルの

// 編集が必要なのはここまでです ! WordPress でブログをお楽しみください。

より上部分に、

// 「プラグインの編集」や「テーマの編集」を無効化
define('DISALLOW_FILE_EDIT',true);

と記述して上書きする、ということです。

これにより、WordPressの管理者権限で管理画面に入ってもテーマ編集やプラグイン編集を無効化することができます。

特に最近、アタックを受けて悪意のある第三者に管理画面に入られて管理画面が乗っ取られるケースがまた増えているようです。
脆弱性を突かれたり、サーバーから入られた時には意味が無いので、セキュリティ対策として盤石ではありませんが、少なくとも管理者権限で管理画面に入られても、テーマ編集とプラグイン編集はされなくなりますので、原因の切り分けはできるのかなと思います。
この設定を行った場合、自分で編集する場合には、サーバーから行なうようになります。
この設定を行った後でも、テーマやプラグインを新規追加したり削除したりは行えます。

以上となります。
テーマ編集やプラグイン編集を管理画面から行なう場合は少ないかなと思いますので、こういう設定がwp-config.phpから出来るということを知っておくと、便利な場合もあると思います。