WordPress yönetici paneli, tema ve eklenti dosyalarını doğrudan düzenlemeye izin veren gömülü bir kod editörü içerir. Ancak bir saldırgan yönetici hesabına erişim sağlarsa (ya da kötü amaçlı bir eklenti yüklendiyse) bu editör ile doğrudan PHP kodu çalıştırılabilir; bu da sitenin tamamen ele geçirilmesine yol açabilir. Bu yüzden WordPress’in bu editörü kapatmak, temel bir güvenlik adımıdır. Peki, WordPress Dosya Düzenleyicisi Nasıl Devre Dışı Bırakılır? Bu işlemin nasıl yapılacağını aşağıda adım adım açıkladık.
WordPress’te yönetici paneli üzerinden tema ve eklenti dosyalarını düzenleme özelliği varsayılan olarak açıktır. Yani “Görünüm > Tema Dosya Düzenleyici” veya “Eklentiler > Eklenti Düzenleyici” kısmından doğrudan kodlara müdahale edebilirsiniz. Ancak bu durum güvenlik açısından risklidir ve devre dışı bırakmanız faydalı olur.
WordPress Dosya Düzenleyiciyi Devre Dışı Bırakma Yöntemleri
Bu işlem için birkaç yöntem var: Manuel kod ekleme, eklenti kullanımı veya hosting ayarları. Her biri farklı seviyedeki kullanıcılara hitap eder. İşlemi yapmadan önce websitenizin yedeğini aldığınızdan emin olun.
1. wp-config.php ile dosya düzenleyiciyi devre dışı bırakma
wp-config.php dosyanıza ekleyeceğiniz bir kod satırı ile WordPress yönetici panelinde dosya düzenlemeyi tamamen devre dışı bırakabilirsiniz. Bu işlem için aşağıdaki adımları izleyin:
- İşlem için cPanel veya herhangi bir FTP istemcisi tercih edebilirsiniz. Örneğin cPanel’e giriş yapın ve Dosya Yöneticisi’ne tıklayın.
- Sitenizin ana dizininde (genellikle
public_htmlveyawww) bulunanwp-config.phpdosyasını bulun. wp-config.phpüzerine gelip sağ tıklayın ve açılan menüden Edit seçeneğine tıklayın.
- Dosyanın alt kısımlarına (
/* That's all, stop editing! Happy publishing. */satırının üst kısmına) şu kodu ekleyin:
define('DISALLOW_FILE_EDIT', true);
- Dosyayı kaydedip kapatın ve ardından admin paneline girin – Görünüm>Tema Düzenleyici veya Eklentiler>Eklenti Düzenleyicisi artık yönetici panelinde görünmeyecektir.
- Eğer yönetici panelinden tema/eklenti yükleme, güncelleme ve editörü tamamen kısıtlamak isterseniz: Bunun için wp-config.php dosyanıza şu kod satırını eklemeniz yeterli:
define('DISALLOW_FILE_MODS', true);- (Bu kod, admin panelinden her türlü dosya değişikliğini engeller-otomatik güncellemeler, eklenti kurulumları vs.).
- 📌 Dosya düzenlemeye geçici olarak izin vermek istiyorsanız, “true” ifadesini “false” ile değiştirebilirsiniz. Düzenlemeyi bitirdiğinizde tekrar eski haline getirin.
2. Güvenlik Eklentileriyle Devre Dışı Bırakma
Ücretli ve ücretsiz tercih edebileceğiniz çok sayıda WordPress güvenlik eklentisi mevcut. İşte popüler seçenekler:
- iThemes Security (veya Security Optimizer): Ücretsiz sürümde “Disable File Editor” seçeneği var. Ayarlar > Sistem Ayarları altında aktif edin. Bu eklenti, aynı zamanda firewall ve login koruması sağlar.
- MalCare veya Sucuri Security: MalCare, güvenlik taraması sırasında dosya düzenleyicisini otomatik kapatır. Sucuri ise brute-force saldırılarını engellerken bu özelliği entegre eder.
- Wordfence: Ücretsiz versiyonunda tweak ayarlarında devre dışı bırakma mevcut.
- Kurulum: Tercih ettiğiniz eklentiyi yükleyin, aktif edin ve ayarlar panelinden “Disable Theme/Plugin Editor” seçeneğini işaretleyin.
3. WP-CLI ile (ileri seviye / otomasyon)
Çok sayıda site yöneten ajanslar veya geliştiriciler için WP-CLI ile ayarı komutla koymak pratiktir (sunucunuzda WP-CLI yüklü olmalı.) Örnek komutlar:
# editörü devre dışı bırak
wp config set DISALLOW_FILE_EDIT true --raw
# tüm dosya değişikliklerini devre dışı bırak
wp config set DISALLOW_FILE_MODS true --raw
📌 Bu yaklaşım otomasyon scriptlerine kolay entegre edilir. Ancak sabit zaten tanımlıysa uyarı verebilir; bu yüzden önce kontrol edin.
4. Dosya İzinleri ve Sahiplik (Ek Güvenlik)
- Dosyalar: 644 (rw-r–r–)
- Klasörler: 755 (rwxr-xr-x)
wp-config.phpve.htaccessiçin daha katı izinler düşünebilirsiniz (ör. 444) ama hosting gereksinimlerinize göre test edin. Bu ayarlar, kötü amaçlı yazma yetkisini azaltır.- Detaylar için “WordPress Dosya İzinleri Nasıl Değiştirilir?” başlıklı içerikten faydalanabilir ve daha fazla güvenlik çözümü için “WordPress Güvenlik Önlemleri” kılavuzumuza göz atabilirsiniz.
WordPress dosya düzenleyicisini devre dışı bırakmak, sitenizi daha güvenli ve stabil kılar. En kolay yol wp-config.php’ye DISALLOW_FILE_EDIT eklemek, alternatif olarak güvenlik eklentileri kullanmak. Bu adımlarla hacker riskini azaltır, hataları önlersiniz. Unutmayın, her değişiklik öncesi yedek alın!
Sık Sorulan Sorular
- WordPress’te dosya düzenleyicisini kapatmak güvenli mi?
- Evet, özellikle admin hesabı güvenliği tamsa bile, editörü kapatmak olası saldırı yüzeyini azaltır. Ancak tek başına yeterli değildir; yedekleme, güncelleme, 2FA gibi önlemlerle birlikte kullanılmalı.
DISALLOW_FILE_EDITileDISALLOW_FILE_MODSarasındaki fark nedir?DISALLOW_FILE_EDITsadece admin panelindeki editörü kapatır.DISALLOW_FILE_MODSise admin panelinden tema/eklenti kurma, güncelleme ve editörü tamamen engeller.
- Eklenti kaldırınca editör yeniden açılır mı?
- Eğer eklenti wp-config’te sabit bir değer eklemiyorsa (sabitler genelde wp-config’te olur), eklenti kaldırıldığında eklenti ayarları kaybolur, dolayısıyla eklenti bazlı kısıtlama kalkar.
wp-config.phpile yapılan değişiklik eklenti kaldırılınca kalkmaz çünkü dosya sabittir.
- Eğer eklenti wp-config’te sabit bir değer eklemiyorsa (sabitler genelde wp-config’te olur), eklenti kaldırıldığında eklenti ayarları kaybolur, dolayısıyla eklenti bazlı kısıtlama kalkar.
- Çoklu site (multisite) için farklı bir şey yapmak gerekir mi?
- Genel davranış aynıdır; ancak ağ yönetimi özel durumlar yaratabilir. Çoklu kurulumda test edin ve network admin haklarını kontrol edin. (Multisite ile ilgili spesifik dokümanlara bakabilirsiniz.)
- Yanlışlıkla hata alırsam ne yapmalıyım?
- Yedekten geri dönün veya host’un file manager’ından eski
wp-config.php’yi geri yükleyin; gerekirse hosting desteğine başvurun.
- Yedekten geri dönün veya host’un file manager’ından eski
- WorPress’te E-posta ile Oturum Açmayı Devre Dışı Bırakma
- WordPress Parola Sıfırlamayı Devre Dışı Bırakma
- WordPress Dizin Listelemeyi Devre Dışı Bırakma
- WordPress Yorum Formu Nasıl Devre Dışı Bırakılır?
- Belirli Sayfalarda WordPress Eklentilerini Devre Dışı Bırakma
- WordPress Lazy Load Özelliğini Devre Dışı Bırakma
- WordPress XML-RPC Nasıl Devre Dışı Bırakılır?
- WordPress’te Belirli Kategorileri Anasayfadan Hariç Tutma
