WordPress est devenu le CMS le plus populaire au monde. Parce qu'il est si populaire, c'est encore plus une raison pour améliorer la sécurité WordPress si vous l'utilisez pour votre site Web. La plupart des gens comprennent comment sécuriser leur page elle-même, mais si vous ne vous concentrez pas sur la sécurité de votre site WordPress en limitant l'accès aux fichiers et dossiers importants, vous êtes toujours en danger. Pour ce faire, vous n'apporterez aucune modification à WordPress, mais modifiez plutôt la façon dont WordPress s'exécute sur un serveur et le niveau d'accès des utilisateurs à ses fichiers.
Les sites WordPress sont composés d'une série de fichiers et de dossiers, chacun avec leurs propres URL, ce qui signifie que si quelqu'un devait saisir l'URL correcte, il pourrait accéder ou modifier des fichiers sensibles sur votre site. Le dossier wp-includes est l'une des cibles les plus courantes pour ce type de piratage. Nous allons donc ajouter du code supplémentaire au fichier de configuration du serveur pour renforcer la sécurité et éviter ce genre de menaces. Lorsque nous en avons fini avec cela, toute personne essayant d'accéder à ces fichiers est redirigée.
Pour commencer, vous voudrez ouvrir le fichier .htaccess pour votre site. Vous pouvez le faire via n'importe quel éditeur de texte, peu importe, car tout ce que nous faisons est d'ajouter un petit extrait de code au fichier. Vous remarquerez que le fichier contient déjà du code généré par WordPress. Dans l'une des premières lignes de code, vous trouverez une ligne indiquant # BEGIN WordPress
. Directement au-dessus de ce code, nous allons ajouter les lignes de code supplémentaires, ce qui renforcera les défenses du site en limitant l'accès au dossier wp-includes.
# Blocking web access to the wp-includes folderRewriteEngine OnRewriteBase /RewriteRule ^wp-admin/includes/ - [F,L]RewriteRule !^wp-includes/ - [S=3]RewriteRule ^wp-includes/[^/]+.php$ - [F,L]RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]RewriteRule ^wp-includes/theme-compat/ - [F,L]
Ensuite, il vous suffit de télécharger à nouveau le fichier sur le serveur et vous avez terminé. Bien que les modifications apportées ici semblent mineures, elles peuvent avoir un impact important sur les défenses de votre site. Étant donné que bon nombre des fonctions avancées de WordPress se trouvent dans le dossier wp-includes, elles constituent une cible majeure pour les pirates. Avec ces modifications mises en œuvre, lorsque les utilisateurs tentent d'accéder à ce dossier, ils seront automatiquement redirigés vers la page d'accueil de votre site.
Notre prochaine étape pour renforcer la sécurité de WordPress consiste à limiter l'accès au fichier wp-config.php. Lorsque vous avez créé votre site WordPress pour la première fois, vous deviez créer un nom de base de données, un nom d'utilisateur, un mot de passe et un préfixe de table, contenus dans le fichier wp-config.php. La raison pour laquelle vous souhaitez protéger ce fichier est qu'il contient les informations dont WordPress a besoin pour parler à la base de données et, à long terme, pour contrôler votre site.
Pour protéger votre fichier wp-config.php, il vous suffit de suivre quelques étapes simples. Tout d'abord, nous voudrons ouvrir à nouveau le fichier .htaccess. Ensuite, nous voudrons copier l'extrait de code ci-dessous et le coller dans notre fichier .htaccess comme nous l'avons fait à l'étape 1.
# Blocking web access to the wp-config.php fileorder allow,denydeny from all
Enfin, enregistrez et téléchargez à nouveau le fichier.
Comme vous pouvez le voir avec les étapes 1 et 2, le fichier .htaccess peut être intrinsèque à la défense de votre site WordPress contre les menaces externes malveillantes. C'est pourquoi, dans cette étape, nous allons protéger le fichier .htaccess lui-même, empêchant les pirates de supprimer les protections que nous avons déjà mises en place.
Pour ce faire, nous allons à nouveau ouvrir le fichier .htaccess. Ensuite, insérez le code ci-dessous dans le code existant.
# Securing .htaccess fileorder allow,denydeny from allsatisfy all
Et avec cette simple addition, votre fichier .htaccess est protégé contre les menaces extérieures.
Pour la dernière étape, nous empêcherons les pirates d’accéder à l’un des outils les plus destructeurs qu’ils pourraient trouver: l’éditeur dans le tableau de bord de WordPress. Il vous permet d'éditer vos fichiers de thème, ce qui est utile mais peut être dangereux. Si une personne autre que vous-même y avait accès, elle pourrait changer votre code et casser votre site.
Avec ce projet, nous supprimerons l'éditeur du tableau de bord WordPress. Plutôt que d'accéder au fichier via WordPress, je vous recommande d'y accéder via un client ftp tel que FileZilla, ce qui est préférable pour l'intégrité du site.
Donc, pour faire ce projet, nous voudrons d'abord ouvrir le fichier wp-config.php. Une fois que cela est ouvert, nous allons aller à la fin du code, ici vous trouverez le texte "C'est tout, arrêtez l'édition! Heureux les blogs. " . Juste avant ce texte, nous allons ajouter le code ci-dessous pour supprimer le fichier d'édition entièrement à partir de WordPress.
define('DISALLOW_FILE_EDIT', true);
Une fois que vous avez ajouté le code, enregistrez le fichier et téléchargez-le à nouveau sur le serveur. Maintenant, votre site WordPress est protégé contre quiconque accède à votre site et tente de manipuler le code.
Si vous suivez toutes ces étapes, votre site devrait être beaucoup plus sûr. En réduisant la quantité d’accès des pirates aux fichiers importants pour l’exécution de votre site, vous avez augmenté la sécurité globale de votre site WordPress.