По умолчанию в админке WordPress существует редактор, позволяющий изменять файлы плагинов и тем, установленных на блоге (не обязательно активированных).
Сам по себе этот редактор довольно удобен и бывает полезен, когда нужно быстро что-то поменять в файле, не заходя по FTP, конечно, в нем нет подсветки кода и для серьезных разработок он не подходит.
Зато он открывает невероятные возможности злоумышленникам, получившим каким-то образом доступ в админку 🙂
По сути они смогут сделать с вашим сайтом всё, что захотят.
В общем, если я вас убедил и вы захотите отключить возможность редактирования файлов плагинов и тем, вставьте эту строчку в wp-config.php:
define('DISALLOW_FILE_EDIT', true);
Теперь редактор будет полностью недоступен, даже если попробовать обратиться к нему по прямой ссылке.