Comment protéger wp-config.php


, Mis à jour le 21 octobre, 2015

Comment protéger wp-config.php

Il est triste de constater à quel point de nombreux sites WordPress sont incroyablement faciles à pirater. Beaucoup d'entre eux ne sont même équipé de la dernière version. Cependant, l'un des fichiers parmi les plus dangereux et les plus sensibles dans WordPress est le wp-config.php. Ce fichier contient à lui seul une foule de données critiques concernant votre base de données, votre nom d'utilisateur et votre mot de passe. Il suffit de jeter un coup d'œil:

Exemples de données sensibles dans wp-config.php

Si un hacker réussit à mettre la main sur ce fichier, s’en est fini pour votre blog. Alors que dans le même temps, WordPress en a besoin presque en continu. En conséquence, il est important de prendre des mesures qui renforcent votre installation en sécurisant votre fichier wp-config.php, ceci par tous les moyens possibles. Dans cet article, nous examinons trois techniques distinctes pour cela. Même si certaines pourraient vous paraître redondantes pour votre installation, il vaut mieux prévenir que guérir. Nous nous pencherons sur les trois aspects suivants:

1. Autorisations du fichier

2. Exploration du répertoire

3. Mise en place du fichier

Autorisations du fichier

Chaque fichier sur un serveur Web est assigné à un ensemble d'autorisations ou permissions (connu sous le nom de CHMOD) qui déterminent quels utilisateurs pourront effectuer quelles opérations. La combinaison de ces autorisations prend la forme d'un nombre à trois chiffres, "777" étant la plus permissive, signifiant que tout le monde peut lire, écrire ou exécuter. Avec notre fichier wp-config.php, idéalement, nous aimerions avoir en permanence le paramètre le plus restrictif. Malheureusement, c’est votre hébergement qui détermine quelles sont les autorisations applicables et celles qui ne le sont pas. Voici une liste d'autorisations que vous pouvez définir pour votre fichier wp-config.php. Commencez avec le premier et si cela rend votre blog inaccessible, enchaînez avec les autres.

Notez que selon votre interface, vous pourrez être invité à un entrer un numéro d'autorisation à trois ou quatre chiffres. Utilisez celui qui est approprié.

  • 400 ou 0400
  • 440 ou 0440
  • 640 ou 0640
  • 644 ou 0644

Essayez en premier lieu de régler les permissions du wp-config.php sur "0400" comme indiqué ici:

Changer la perssion d'autorisation du fichier wp-config

Si cela ne fonctionne pas, essayez avec 0440 et ainsi de suite. Vous serez alors certain d’avoir la permission la plus restrictive pour votre fichier wp-config.php sans que cela altère votre blog WordPress.

Exploration du répertoire

Selon votre configuration, toute personne peut être en mesure de parcourir les dossiers de votre répertoire WordPress et de voir ainsi quels fichiers sont disponibles. Ils ne peuvent normalement pas faire cela à partir du répertoire racine, mais nous avons déjà vu cas où une mauvaise configuration serait à l’origine de l'accès à tous les fichiers, y compris au wp-config.php. Pour éviter cela, ouvrez votre fichier .htaccess et ajoutez la ligne suivante à la fin:

Ajouter options indexe dans .htaccess

Cela va désactiver toute lecture de répertoires pour votre installation de WordPress, ce qui signifie que les utilisateurs ne seront plus en mesure de naviguer dans votre dossier de téléchargements et de voir les images et les ressources que vous avez sur votre serveur.

Déplacement du fichier wp-config.php

Je vous recommande d’effectuer cette étape uniquement si vous avez installé au préalable WordPress dans le répertoire racine public_html de votre blog, et non pas dans un sous-dossier. Cette précaution consiste à déplacer le fichier wp-config.php dans un répertoire situé plus haut que celui dans lequel WordPress est installé.

Exemple, si vous avez tous vos fichiers d'installation directement dans "/home/username/public_html /", vous pouvez déplacer le fichier wp-config.php dans "/ home/utilisateur/"

Déplacer le fichier wp-config

Aucune autre configuration n’est nécessaire pour que cela prenne effet. WordPress vérifie automatiquement la présence du fichier wp-config.php dans les dossiers racines. Ceci est la raison pour laquelle vous ne devriez pas le faire si votre blog est déjà dans un sous-dossier, cela signifierait que votre fichier wp-config.php pourrait alors être exposé à un répertoire public, ceci le rendant par définition moins sécurisé.

Ces trois techniques de sécurisation de votre fichier wp-config.php sont extrêmement simples à réaliser, le tout sans effets négatifs. Compte tenu de la quantité d'informations sensibles qu’il contient, protégez-le au plus vite !


comments powered by Disqus

Comment changer un domaine principal wp multi-site

Comment changer un domaine principal wp multi-site

Si vous voulez changer le domaine principal de l'installation de votre WordPress multi-site, il y a 5 valeurs à modifier. Vous n’aurez pas besoin d'effectuer une dump de base de données. Ceci est en fait désapprouvé parceque WordPress enregistre des données en séries, et la modification de cela peut … Continuer

Publié le 8 octobre, 2016

0 Commentaires
Supprimer le spam dans wordpress

Supprimer le spam dans wordpress

L’augmentation des commentaires spams dans WordPress devenant un problème, vous vous retrouvez peut-être avec des centaines, voire même des milliers de commentaires en attente que vous avez à supprimer. Malheureusement, l’installation de base de WordPress vous laisse seulement supprimer en masse les … Continuer

Publié le 8 mai, 2016

0 Commentaires
Optimiser la base de données de Wordpress avec Cron

Optimiser la base de données de Wordpress avec Cron

Nous avons déjà souligné l’importance d’avoir une base de données simple et optimisée pour votre site web WordPress pour accélérer la performance de votre site. Après un certain temps, les tableaux MySQL deviennent encombrés et exigeront grandement quelques réparations et travaux d’entretien. Comme … Continuer

Publié le 24 janvier, 2016

0 Commentaires
Comment changer un site html en un site Wordpress

Comment changer un site html en un site Wordpress

Récemment, sur un forum que je fréquente, une vieille connaissance m’a demandé comment convertir un de ses anciens sites Dreamweaver vers WordPress, sans que cela ne lui demande trop d’effort. J’ai d’abord pensé que ce serait impossible de faire cela facilement, mais après avoir vu d’autres réponses … Continuer

Publié le 13 juillet, 2015

2 Commentaires
Comment ajouter un bouton donation dans Wordpress

Comment ajouter un bouton donation dans Wordpress

Il y a un grand nombre de sites web qui offrent des logiciels gratuits ou autres services libres de droit (open source). Les développeurs font beaucoup d’efforts pour nous fournir des outils spécialisés pour divers besoins. Les plugins WordPress sont eux-mêmes un bon exemple. Regardez le nombre d’ad … Continuer

Publié le 11 juillet, 2015

0 Commentaires
Comment installer SSL dans Wordpress

Comment installer SSL dans Wordpress

Tous les jours, nous révélons des informations personnelles sur internet. Rien que pendant la dernière heure, j’ai utilisé ma carte de crédit, acheté un livre, sauvegardé une copie de l’adresse de mes amis, envoyé des mails et fait quelques courses. Partager nos informations est devenu tellement co … Continuer

Publié le 28 février, 2015

0 Commentaires
Comment ajouter une FAQ dans Wordpress

Comment ajouter une FAQ dans Wordpress

Si vous voulez que vos visiteurs trouvent rapidement des informations sur votre site, vous devriez publier une foire aux questions (FAQ). Par exemple, une FAQ pourrait trouver sa place sur les pages de produits et de services. Vous avez peut-être plusieurs catégories de services, et vous avez donc b … Continuer

Publié le 11 janvier, 2015

0 Commentaires



Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


Je viens d'essayer la nouvelle offre 1and1 qui inclus l'installation en 1 clic de WordPress. L'installation en FREE mode permet de modifier le code et d'ajouter des extensions et thèmes externes, ce qui est plutôt rare avec les modules WordPress. Je viens donc de souscrire à cette offre pour rédi …

Masaï à propos 1and1 France

Montrer une autre revue
Lire les avis 1and1 France



Plans d'hébergement




Les plans d'hébergement de 60 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Ikoula

1.95 EURO

Ajouter un Avis
Visiter

2

Siteground

6.95 USD

Ajouter un Avis
Visiter

3

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

4

Inmotion

5.95 USD

Ajouter un Avis
Visiter

5

Webhostinghub

4.95 USD

Ajouter un Avis
Visiter

6

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

Ex2hosting
78 avis des clients
Nuxit France
70 avis des clients
Hostpapa France
67 avis des clients
1and1 France
62 avis des clients
Rapidenet
50 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Ex2hosting
73 / 78 recommandé
Nuxit France
68 / 70 recommandé
Rapidenet
49 / 50 recommandé
Infomaniak France
48 / 48 recommandé
Hostpapa France
39 / 67 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question