Отключаем сохранение в редакторе шаблонов тем
Это панель управления админки: Внешний вид/Темы/Редактор или по адресу: ваш.сайт/wp-admin/theme-editor.php
Назначение - редактирует файлы находящиеся в папке:
\wp-content\themes\название темы\
через панель админки. Посуте обычный текстовый редактор позволяющий быстро внести изменения в html верстку шаблона сайта. Наприер удобно править номер года в футере сайта.
Идея хорошая, но на практике оказалось что её чаще пользуются хакеры чем владелец сайта. В свое время создал больше десяти сайтов разным фирмам на вордпрессе, ну и соответственно занимаюсь по возможности их поддержкой. Так вот все эти сайты рано или поздно на протяжение несколько лет были взломаны через эти шаблоны.
Суть такая, что все шаблоны на вордпрессе являются php файлами и этим пользуются хакеры. Не сложно написать код на php предоставляющий доступ ко всем файлам сайта, создание и удаление их, а именно полный доступ к вашему сайту, на уровне файлов.
Хакеры взламывают админку, парой банально перебором кода к входу. И меня доступ к админке, редактируется шаблон под себя, с помощью модифицированного шаблона ныкается php скрипты хакера, которые уже на вашем хостинге делают любую свою грязную работу.
Часто даже внешне взлом не виден, зачастую просто ваш сайт становиться очередным прокси для заметания следов хакеров. Узнаете об этом когда хостер вам присылает злобное письмо что вы слишком много ресурсов употребили и мы отключаем ваш сайт. Поэтому иногда заглядывать и смотреть сколько жрет процессорного времени довольно полезно. Если замечаешь не обоснованного увеличения, значит лезь на фтп сайта и будь уверен там ждет тебя куча сюрпризов.
Иногда просто показывают рекламу на сайты голой тематикой, причем избранно, тебе как админку могут и не показать, а вот для гостей по полной программе. Такое было тоже.
Или однажды на хостинге было создано больше 100 000 файлов, каких то страниц чужих сайтов, причем это были братцы китайцы.
Как взламывают?, думаю есть программа которая обходит сайты, узнает что это вордпресс и начинает механически подбирать пароли к админке. Подобрав пароли через стили внидряет скрипты на хост, тем самым увеличивая мощь своих программ.
Другим ничем не могу объяснить такой массовый спрос на подобный взлом.
Что бы в корне прикрыть эту лавочку, для этого лезим в файл по адресу: \wp-admin\theme-editor.php где то на строке 83, есть функция сохранения, меняем как на картинке:
Это быстрый метод, немного угловат но и самый эффективный. Можно конечно создать мод, прикрепить через админ панель и тогда уже обновления не страшны будут. Но где гарантия что тотже хакер не зайдя в панель не отключит этот мод и сделает как ему надо.
Поэтому видимо такие методы будут еще долго актуальны.