Der WordPress Editor ist die im CMS WordPress integrierte Bearbeitungsfunktion für den Quellcode von Templates der installierten WordPress Themes und kann im Backend in der Admin Bar unter dem Menüpunkt Design ➞ Editor aufgerufen werden.

WordPress Editor

Abbildung 1: WordPress Editor im Backend aufrufen

Grundsätzlich erfüllt der WordPress Editor eine reduzierte Bearbeitungsfunktionalität für Quellcode, der normalerweise über einen klassischen Quellcode-Editor via FTP bearbeitet wird. Verwendet ein Nutzer den Editor, während ein reguläres WordPress-Theme aktiviert ist (und nicht etwa ein Child-Theme), warnt WordPress vor den Auswirkungen etwaiger Änderungen, die am Template des aktivierten Themes vorgenommen werden.

Warnung bei der Verwendung des WordPress Editor

Abbildung 2: Warnung bei der Verwendung des Editors

Mit der entsprechenden Berechtigung bzw. Benutzerrolle können WordPress-Benutzer umfangreiche Veränderungen an den Dateien im Theme-Verzeichnis des Webservers vornehmen. Aus dieser Eigenschaft ergibt sich für die Verwendung von dem WordPress Editor ein potenziell hohes Sicherheitsrisiko, da bei einer Kompromittierung einer WordPress-Webseite und dem unberechtigten Zugriff auf (beispielsweise) ein Administrator-Konto (oder Super-Administrator bei einer Multisite-Installation) Schadcode in den Quellcode einer WordPress Webseite injiziert werden kann.

Es empfiehlt sich daher, den Editor durch einen Eintrag in der functions.php zu deaktivieren , damit die WordPress Sicherheit erhöht wird und keine zusätzlichen Sicherheitslücken entstehen.