Comment protéger wp-config.php


, Mis à jour le 21 octobre, 2015

Comment protéger wp-config.php

Il est triste de constater à quel point de nombreux sites WordPress sont incroyablement faciles à pirater. Beaucoup d'entre eux ne sont même équipé de la dernière version. Cependant, l'un des fichiers parmi les plus dangereux et les plus sensibles dans WordPress est le wp-config.php. Ce fichier contient à lui seul une foule de données critiques concernant votre base de données, votre nom d'utilisateur et votre mot de passe. Il suffit de jeter un coup d'œil:

Exemples de données sensibles dans wp-config.php

Si un hacker réussit à mettre la main sur ce fichier, s’en est fini pour votre blog. Alors que dans le même temps, WordPress en a besoin presque en continu. En conséquence, il est important de prendre des mesures qui renforcent votre installation en sécurisant votre fichier wp-config.php, ceci par tous les moyens possibles. Dans cet article, nous examinons trois techniques distinctes pour cela. Même si certaines pourraient vous paraître redondantes pour votre installation, il vaut mieux prévenir que guérir. Nous nous pencherons sur les trois aspects suivants:

1. Autorisations du fichier

2. Exploration du répertoire

3. Mise en place du fichier

Autorisations du fichier

Chaque fichier sur un serveur Web est assigné à un ensemble d'autorisations ou permissions (connu sous le nom de CHMOD) qui déterminent quels utilisateurs pourront effectuer quelles opérations. La combinaison de ces autorisations prend la forme d'un nombre à trois chiffres, "777" étant la plus permissive, signifiant que tout le monde peut lire, écrire ou exécuter. Avec notre fichier wp-config.php, idéalement, nous aimerions avoir en permanence le paramètre le plus restrictif. Malheureusement, c’est votre hébergement qui détermine quelles sont les autorisations applicables et celles qui ne le sont pas. Voici une liste d'autorisations que vous pouvez définir pour votre fichier wp-config.php. Commencez avec le premier et si cela rend votre blog inaccessible, enchaînez avec les autres.

Notez que selon votre interface, vous pourrez être invité à un entrer un numéro d'autorisation à trois ou quatre chiffres. Utilisez celui qui est approprié.

  • 400 ou 0400
  • 440 ou 0440
  • 640 ou 0640
  • 644 ou 0644

Essayez en premier lieu de régler les permissions du wp-config.php sur "0400" comme indiqué ici:

Changer la perssion d'autorisation du fichier wp-config

Si cela ne fonctionne pas, essayez avec 0440 et ainsi de suite. Vous serez alors certain d’avoir la permission la plus restrictive pour votre fichier wp-config.php sans que cela altère votre blog WordPress.

Exploration du répertoire

Selon votre configuration, toute personne peut être en mesure de parcourir les dossiers de votre répertoire WordPress et de voir ainsi quels fichiers sont disponibles. Ils ne peuvent normalement pas faire cela à partir du répertoire racine, mais nous avons déjà vu cas où une mauvaise configuration serait à l’origine de l'accès à tous les fichiers, y compris au wp-config.php. Pour éviter cela, ouvrez votre fichier .htaccess et ajoutez la ligne suivante à la fin:

Ajouter options indexe dans .htaccess

Cela va désactiver toute lecture de répertoires pour votre installation de WordPress, ce qui signifie que les utilisateurs ne seront plus en mesure de naviguer dans votre dossier de téléchargements et de voir les images et les ressources que vous avez sur votre serveur.

Déplacement du fichier wp-config.php

Je vous recommande d’effectuer cette étape uniquement si vous avez installé au préalable WordPress dans le répertoire racine public_html de votre blog, et non pas dans un sous-dossier. Cette précaution consiste à déplacer le fichier wp-config.php dans un répertoire situé plus haut que celui dans lequel WordPress est installé.

Exemple, si vous avez tous vos fichiers d'installation directement dans "/home/username/public_html /", vous pouvez déplacer le fichier wp-config.php dans "/ home/utilisateur/"

Déplacer le fichier wp-config

Aucune autre configuration n’est nécessaire pour que cela prenne effet. WordPress vérifie automatiquement la présence du fichier wp-config.php dans les dossiers racines. Ceci est la raison pour laquelle vous ne devriez pas le faire si votre blog est déjà dans un sous-dossier, cela signifierait que votre fichier wp-config.php pourrait alors être exposé à un répertoire public, ceci le rendant par définition moins sécurisé.

Ces trois techniques de sécurisation de votre fichier wp-config.php sont extrêmement simples à réaliser, le tout sans effets négatifs. Compte tenu de la quantité d'informations sensibles qu’il contient, protégez-le au plus vite !


comments powered by Disqus




Les avis des clients

Avis des utilisateurs


Faites entendre votre voix. Passez en revue votre fournisseur d'hébergement Web - bon ou mauvais.


Que dire quand ce n'est que du positif ? Bien sûr petits soucis de temps à autres comme chez soi et liée aux tehnologies et non aux incomptétences. Service au top, à disposition du client et suivi efficace.

marc à propos Mavenhosting France

Montrer une autre revue
Lire les avis Mavenhosting France



Plans d'hébergement




Les plans d'hébergement de 58 sociétés d'hébergement partout dans le monde


Meilleur hébergeurs web

# hébergeur web prix action

1

Infomaniak France

6.75 EURO

Ajouter un Avis
Visiter

2

Hostpapa France

2.95 EURO

Ajouter un Avis
Visiter

3

Greengeeks

4.95 USD

Ajouter un Avis
Visiter

4

Siteground

6.95 USD

Ajouter un Avis
Visiter

5

Planethoster France

5.99 EURO

Ajouter un Avis
Visiter

6

Ex2hosting

3.99 EURO

Ajouter un Avis
Visiter

7

Bluehost

6.95 USD

Ajouter un Avis
Visiter






Hébergeurs par avis de clients

1and1 France
75 avis des clients
Magic-Online
65 avis des clients
Infomaniak France
51 avis des clients
Rapidenet
50 avis des clients
Planethoster France
37 avis des clients
Ajouter un avis Tous les profils


Hébergeurs par fidélité de clients

Infomaniak France
51 / 51 recommandé
Rapidenet
49 / 50 recommandé
Magic-Online
44 / 65 recommandé
Infomaniak Suisse
36 / 36 recommandé
Planethoster France
34 / 37 recommandé
Évaluer hébergeur Tous les profils


Question de la Semaine


Le plus important critère de votre hébergeur



Contacter l'éditeur

Posez votre question