wordpress

Disable File Edit ปิดระบบแก้ไขไฟล์ใน WordPress

Disable file edit หรือการ ไม่อนุญาติ ให้มีสมาชิก เข้าแก้ไขไฟล์ได้ ภายในระบบของ wordpress หลายๆคนอาจจะมองว่า ไม่น่าจะเป็นเรื่อง จำเป็น แต่การที่ ยอมให้ใครก็ได้ ที่เข้าถึงระบบหลังบ้าน ของเราได้ สามารถแก้ไขไฟล์ได้ เหมือนกับ ตัวเราเอง อันนี้ผมว่า เป็นเรื่องของ ความปลอดภัย เลยทีเดียว งั้นเรามาดูวิธีการปิด การแก้ไขไฟล์กันครับ

Disable file edit ห้ามแก้ไขไฟล์ในหลังบ้าน

เรื่องที่เรากำลังจะพูดถึงกันนี้ ไม่ใช่เป็นการพูดถึง การกำหนดสิทธิ Permission ของการแก้ไขไฟล์ ผ่านทางระบบ File บน Server หรือระบบอื่นๆนะครับ อันนี้เรากำลังจะพูดถึง ปัญหาของ เมื่อผู้บุกรุก หรือสมาชิก คนใดคนหนึ่งในระบบ ที่สามารถ เข้าหลังบ้านได้ แต่เราไม่ต้องการให้แก้ไขไฟล์ได้ เท่านั้นเอง

File Edit คืออะไร ก่อนอื่นเลย เรามาทำความรู้จักกับ เรื่องของ editor มากความสามารถ ที่ทาง wordpress เตรียมไว้ให้เราได้ใช้งานกันก่อนครับ

Disable Editor

Editor

หน้านี้คือ Editor ที่เรากำลังพูดถึงกันอยู่ครับ มันจะถูกเก็บ Link ไว้ตรง Appearance แล้วก็ Editor ถ้าเปิดขึ้นมาก็จะเจอแบบนี้ ซึ่งมันจะเป็นเหมือน กล่อง Text area เอาไว้ให้เรา แก้ไขข้อความ หรือปรับแต่ง Source Code ของเราได้จากทาง ระบบหลังบ้านกัน เลยทีเดียว ซึ่งไฟล์ที่เราจะสามารถแก้ไขได้ ผ่านทาง Editor นี้จะมีเพียงแค่ Theme เท่านั้น และนั้นแหละครับ ที่ว่าน่าเป็นห่วง คือ… แก้ไขได้หมดทั้ง Theme กันเลยทีเดียว

Theme

Theme

ด้านบนขวามือครับ จะมีช่องให้เราเลือก Theme ที่เราใช้งาน หรือต้องการแก้ไขอยู่ เราสามารถ เลือก theme ที่เราจะแก้ ผ่านทางช่องนี้ พอเลือกแล้ว มันก็จะไปเอา file ที่เป็น source code ต่างๆที่อยู่ใน theme นั้นๆ ออกมาให้เราแก้ไข แต่มันจะมองไปที่ไฟล์ PHP กับ CSS เท่านั้นนะครับ พวก Javascript ต่างๆไม่ได้เอาออกมาด้วย (ค่อยยังชั่วหน่อย)

function

function

ถ้าเป็นไฟล์แบบ PHP มันจะมีช่อง ให้เลือก function แสดงขึ้นมาด้านล่าง เพื่อให้เราเลือก function ที่ต้องการแก้ไข ได้ง่ายๆ สะดวกดีครับ มันจะแสดง เป็นชื่อของ function ทั้งหลาย แต่ถ้าเป็น File แบบ CSS จะไม่มีส่วนนี้แสดง

เมื่อเราทำการแก้ไขไฟล์ ในตัวของ Editor นี้กันไป แล้วทำการ กดปุ่ม Update File ทีนี้เจ้าไฟล์นี้จริงๆ ที่อยู่บน Server เรา ก็จะถูกเปลี่ยนด้วย เพราะเรากำลังทำงานเหมือนกัน Text editor ที่เรา เอาไว้สำหรับ เขียนเว็บกันอยู่ นั้นเองแหละครับ

เอาละครับ พอเราเข้าใจ เรื่องการใช้งาน editor กันแล้ว  คราวนี้มาดูวิธีปิด ความสามารถนี้กัน เพราะค่านี้ เป็นค่า Default ที่ทาง wordpress มอบให้เรามาไว้ใช้ แต่ถ้าเราต้องการปิด มันก็มีวิธีครับ wordpress เค้าเตรียมไว้ให้ในส่วนของ wp-config แล้วเรียบร้อย เราแค่กำหนดมันลงไป ในไฟล์ wp-config.php ของเราเท่านั้นเอง

คำสั่งที่ใช้ในการปิด


define('DISALLOW_FILE_EDIT', true);

close

Close

มีแค่บรรทัดเดียวนี้เองละครับ ใส่ไว้ในไฟล์ wp-config.php ซึ่งเป็นไฟล์ สำหรับตั้งค่าต่างๆของระบบ บน wordpress ซึ่งอันที่จริง ไฟล์นี้ เป็นไฟล์ที่ต้อง ระวังมากๆนะครับ เพราะว่า มีรหัสผ่าน สำหรับเชื่อมต่อกับ Database ของเราอยู่ ไว้โอกาสหน้า มาดูวิธีการซ่อน wp-config กัน

ตอนนี้เท่านี้ก็ไม่มีโอกาสมาหน้านี้ได้แล้ว Link จะถูกซ่อนออกไป และ User ทั้งหมดจะไม่สามารถเข้าถึงสิทธิ์ การใช้งาน ในหน้านี้ทันที

  • Edit CSS อันนั้น เป็นส่วนของ Child Theme ที่ผมดึงมาใช้นะครับ เป็นคนละอัน กับที่เราพูดถึง

อ้าว….. แล้ว ถ้าต้องการแก้ไขไฟล์ละ จะทำอย่างไร FTP ครับ ใช้งานได้อยู่ปรกตินี่ เราไม่ได้ไปปิดอะไร ย้ายไปใช้ตรงนั้นดีกว่าครับ แล้วหลังจากปิด Editor ก็ยังสามารถ กำหนดสิทธิต่างๆ ของการเข้าถึงไฟล์ จากหลังบ้าน ที่เป็น FTP ได้อีกด้วย แบบนี้น่าจะเพิ่ม ความปลอดภัยไปได้อีกหน่อย

ตอนนี้มีคนใช้งาน WordPress ในการทำเว็บไซต์ เยอะมากๆ ทั้งในไทย และต่างประเทศ ดและระบบ WordPress เองก็เป็น Open source ซึ่งสามารถเปิดให้เห็น และทำการศึกษาได้หมด ทั้งระบบ ตัว Core ที่เป็นแกนหลัก ถูกพัฒนาขึ้นมาโดยทีมงานของ Automattic ชื่อนี้ กับสิ่งที่เกิดมาจากทีมงานนี้ทั้งหมด ค่อนข้างไว้ใจได้เลยทีเดียว

team

team

ดังนั้นสิ่งที่เราจะต้องระวัง อาจจะเป็นเรื่องของ การใช้งาน Theme หรือ Plugin จากผู้เขียนคนอื่นๆ ที่อาจจะมีทั้งเทพบ้าง ไม่เทพบ้าง อันนี้ คงต้องรู้จักระบบ ของตัวเอง ให้ดีกันอีกนิดนะครับ

เพราะแม้เรื่องของ การปิด Editor มันจะเป็นเรื่องเล็กๆ แต่ก็คงไม่ดี หากมีทีมงานของเรา แก้ไขไฟล์บ่อยๆ โดยไม่ได้แจ้งคนอื่นๆ หรือมีคน ลอบเข้ามา ในสิทธิของสมาชิกคนอื่น แล้วแก้ไขไฟล์ ของเราได้ตลอด

 

Link อ้างอิง : http://codex.wordpress.org