Comment sécuriser votre site WordPress avec WP-Config ?
· Время на чтение: 6мин · par
·
Publié
· Mis à jour
Écoutez cet article
Chaque site WordPress contient un fichier appelé "wp-config.php". Ce fichier de configuration WordPress particulier est l'un des fichiers WordPress les plus importants. Le fichier contient de nombreux paramètres de configuration que vous pouvez modifier pour améliorer la sécurité du site. Dans cet article, je vais vous montrer comment sécuriser votre site WordPress avec un fichier de configuration WordPress.
Le contenu de l'article :
- 1. Changer le préfixe de la base de données
- 2. Désactivez l'édition des fichiers de thème/plugin
- 3. Empêcher les utilisateurs d'installer ou de mettre à jour des plugins et des thèmes
- 4. Appliquer FTP pour la sécurité
- 5. Changez vos clés de sécurité
- 6. Cachez "wp-config.php"
- 7. Protégez votre fichier wp-config.php
Comment sécuriser un site WordPress avec le fichier wp-config ?
1. Changer le préfixe de la base de données
Avez-vous déjà vu vos tables de base de données WordPress ? (Vous pouvez y accéder via votre compte d'hébergement Web) Par défaut, la base de données comporte onze tables. Chaque table a une fonction spécifique. Par exemple, wp_posts stocke les informations des publications, des pages et des menus de navigation. Étant donné que les fonctions de chaque table sont prédéfinies, le pirate sait où sont stockées les données de votre site Web. Par exemple, s'ils souhaitent utiliser les utilisateurs de votre site, ils peuvent cibler la table "wp_users".
WordPress utilise le préfixe "wp_" pour toutes les tables par défaut. Changer ce préfixe en unique peut aider à masquer les noms de table et à sécuriser votre site WordPress. Pour cela, ouvrez le fichier "wp-config".
Étape 1: Pour accéder à wp-config.php, ouvrez votre compte d'hébergement web et rendez-vous dans le panneau de contrôle de votre hébergement. Sélectionnez "Gestionnaire de fichiers" et vous serez redirigé vers une page qui ressemble à ceci :
Étape 2. Sur le côté gauche, il y a un dossier public_html. Dans ce dossier, vous trouverez le fichier wp-config.
Dans le fichier wp-config, modifiez la ligne suivante :
$table_prefiks = 'wp_';
Vous devez le changer en quelque chose d'aléatoire comme :
$table_prefix = ‘gibrid_’;
Cela changera le nom des tables dans la base de données de "wp_users" à "hybrid_users", "wp_posts" à "hybrid_posts", etc.
2. Désactivez l'édition des fichiers de thème/plugin
Le panneau de contrôle WordPress a la possibilité de modifier le fichier plugin/thème. Cela signifie qu'avec un accès à la barre d'outils et des autorisations suffisantes, n'importe qui peut modifier vos thèmes ou plugins.
Bien qu'il s'agisse d'un outil pratique, si vous souhaitez reconfigurer un plugin, cela devient dangereux entre les mains d'un pirate informatique. Par exemple, disons qu'un pirate a réussi à s'introduire dans votre site Web avec un exploit. Il leur est facile d'ajouter des logiciels malveillants à un plugin ou à un thème existant. Ils peuvent cacher une porte dérobée qu'ils pourront ensuite utiliser pour accéder à votre site quand ils le souhaitent. Vous pouvez empêcher cela et protéger votre site WordPress en désactivant la possibilité de modifier ces fichiers. Insérez simplement le code suivant dans votre fichier de configuration WordPress :
define(‘DISALLOW_FILE_EDIT’,true);
3. Empêcher les utilisateurs d'installer ou de mettre à jour des plugins et des thèmes
Empêcher les utilisateurs de modifier ces fichiers n'offre qu'un seul niveau de sécurité. Cela n'empêche pas les pirates d'installer un plugin malveillant qu'ils peuvent utiliser pour pirater votre site. En accédant au panneau d'administration avec les droits d'utilisateur, ils peuvent installer un thème ou un plug-in malveillant. Si vous n'installez pas souvent de plugins, vous pouvez désactiver cette option en ajoutant le code suivant à votre fichier de configuration WordPress :
define(‘DISALLOW_FILE_MODS’,true);
4. Utilisation forcée de "FTP"
Empêcher les utilisateurs d'installer et de mettre à jour des plugins et des thèmes peut être restrictif et même peu pratique pour les sites qui installent des plugins assez fréquemment. De plus, la mise à jour des thèmes et des plugins est très importante pour la sécurité du site Web. Une méthode alternative pour s'assurer que les plugins sont installés par un utilisateur valide consiste à forcer les utilisateurs à fournir des données "FTP". Même si votre panneau d'administration est compromis, les pirates ne pourront pas installer un plugin malveillant s'ils ne disposent pas de vos informations d'identification FTP.
Ajoutez simplement les lignes suivantes à votre "wp-config.php":
define(‘FS_METHOD’, ‘ftpext’);
Si votre hébergeur ou votre serveur prend en charge FTPS, ajoutez les lignes suivantes au fichier de configuration :
define(‘FTP_SSL’, true);
Si votre hébergeur ou votre serveur prend en charge "SFTP", ajoutez les lignes suivantes :
define(‘FS_METHOD’, ‘ssh2’);
5. Changer les clés de sécurité
Vous n'avez pas besoin d'entrer vos informations d'identification chaque fois que vous devez vous connecter à votre site. Vous êtes-vous déjà demandé comment votre navigateur stocke ces identifiants ? Après vous être connecté à votre compte, vos informations de connexion sont stockées de manière cryptée dans un cookie de navigateur. Les clés de sécurité sont des variables aléatoires qui permettent d'améliorer ce chiffrement. Si votre site est piraté, la modification des clés secrètes invalidera les cookies et obligera chaque utilisateur actif à se déconnecter automatiquement. Après la réinitialisation, le pirate perd l'accès à votre administrateur WordPress. Vous pouvez générer un nouveau jeu de clés de sécurité et les placer dans le fichier "wp-config". Cela aidera à sécuriser votre site WordPress.
6. Cachez "wp-config.php"
Sur n'importe quel site WordPress, le fichier wp-config a un emplacement par défaut. Par conséquent, changer l'emplacement du fichier peut l'empêcher de tomber entre les mains de pirates. Heureusement, WordPress permet au dossier "wp-config" de résider en dehors de votre installation WordPress. Par exemple, si votre WordPress est installé dans le dossier public_html, alors le fichier de configuration sera présent dans le dossier public_html par défaut. Mais vous pouvez déplacer wp-config en dehors du dossier public_html et cela fonctionnera toujours.
7. Protégez le fichier wp-config.php
La configuration est vulnérable aux attaques, ce qui rend obligatoire sa sécurisation. Une façon de procéder consiste à modifier son emplacement afin que les pirates ne puissent pas le trouver à l'emplacement par défaut. Bien que certains développeurs puissent s'y opposer, beaucoup de gens pensent que c'est une bonne idée.
Une autre mesure de sécurité que vous pouvez prendre consiste à restreindre les autorisations de fichiers. Définissez les autorisations de fichier sur 600 afin que seuls les propriétaires d'origine puissent modifier le fichier wp-config. Pour modifier l'autorisation du fichier wp-config, sélectionnez le fichier, puis sélectionnez l'option Autorisation.
Vous devez ensuite inclure les lignes suivantes dans votre fichier .htaccess pour empêcher les pirates de charger le fichier wp-config directement depuis le navigateur.
# protéger wpconfig.php commander autoriser, refuser refuser de tous
Pour terminer
C'est là que j'ai expliqué comment sécuriser votre site WordPress avec un fichier wp-config, mais ce n'est qu'une des nombreuses façons d'augmenter la sécurité de votre site. Parmi les autres mesures de sécurité que vous pouvez prendre, citons l'utilisation d'un plug-in de sécurité, l'utilisation d'un certificat SSL, l'utilisation d'un nom d'utilisateur et d'un mot de passe uniques et forts, la mise en œuvre de l'authentification HTTP et de l'authentification à deux facteurs, entre autres. Mais avant d'appliquer l'une de ces méthodes, vous devez sauvegarder votre site. En cas de problème, vous pouvez simplement restaurer votre sauvegarde et rendre notre site opérationnel rapidement.
Lire cet article :
- Comment empêcher le cross-site scripting ?
- Qu'est-ce qu'un WordPress Pharma Hack et comment le nettoyer ?
Merci d'avoir lu : SEO HELPER | NICOLA.TOP
