L’un des fichiers le plus convoité par les hackers est le wp-config.php de votre installation WordPress. En effet, ce fichier contient, notamment, les informations permettant de se connecter à la base de données. De là, le pirate aura accès à tout le contenu de votre site : les utilisateurs, les emails, il pourra modifier ou supprimer les pages du site, les articles de blog ; si vous avez une boutique, il aura accès à toutes les coordonnées des clients, etc.
Pour renforcer la sécurité de ce fichier sensible, je vous propose une astuce toute simple et à la portée de tous.
Le meilleur moyen de protéger le fichier wp-config.php est de passer par le .htaccess afin de le rendre inaccessible aux connexions extérieures.
Toutefois, tout le monde n’est pas forcément à l’aise avec ce fichier et ses règles d’écriture.
C’est pourquoi je vous propose une autre solution tout aussi efficace et qui n’est pas contradictoire avec le .htaccess : libre à vous de cumuler les deux !
Le saviez-vous ?
Cette astuce s’appuie sur une fonctionnalité de WordPress :
si WordPress ne trouve pas le fichier
wp-config.php, il va le chercher au niveau supérieur de l’arborescence. Et s’il ne le trouve pas, il remonte d’un autre niveau. Et il le fait encore, si nécessaire… jusqu’à atteindre la racine du disque.S’il n’a toujours rien trouvé, alors il part du principe qu’il s’agit d’une nouvelle installation et affiche l’écran de configuration.
Par exemple, imaginons un dossier “Parent”, à l’intérieur duquel se trouve un dossier “Enfant”. Et dans ce dossier “Enfant” se trouve notre installation WordPress :
Maintenant, déplaçons le fichier wp-config.php dans le dossier “Parent” :
En fermant le dossier “Enfant”, c’est tout de suite plus évident : le fichier wp-config.php est désormais tout seul dans le dossier “Parent”. Les autres fichiers WordPress sont restés dans le dossier “Enfant”.
— « OK ! C’est bien joli tout ça, mais en quoi cela sécurise mon wp-config.php ? »
Déjà, le simple fait de le déplacer va rendre perplexe le pirate, et, a minima, le retarder.
Mais effectivement, l’astuce ne réside pas dans ce seul déplacement…
Tirez partie de votre hébergeur
Chez la plupart des hébergeurs, vous disposez d’un “espace disque”.
Cet espace disque est généralement constitué d’un dossier principal, votre “racine” (root), contenant d’autres dossiers : probablement un dossier pour les sauvegardes, peut-être un dossier “cloud”, un dossier de statistiques, etc. et bien sûr le dossier dans lequel vous placez votre (vos) site(s) internet.
Ce dossier porte souvent le nom “www” ou “web” ou “public”…
Par exemple, voici une partie d’un espace disque “racine” chez l’hébergeur Infomaniak :
À la différence des autres, le dossier “www” (ou “web” ou…) est accessible depuis internet. C’est son but : que tout un chacun puisse accéder à son contenu.
En revanche, il n’en est pas de même des autres dossiers. Eux, sont protégés. On ne peut pas y accéder depuis internet. Du moins, pas sans s’être préalablement identifié.
Puisque la racine de votre hébergement est protégée, inaccessible depuis les navigateurs, c’est un lieu idéal pour notre wp-config.php.
Déplaçons-le !
Désormais, le fichier wp-config.php est à l’abri de la plus grande majorité des hackers, bien protégé.
Tenez compte de votre arborescence
Si vous avez plusieurs installations WordPress dans un même espace disque, tenez-en compte. Ne tentez pas de mettre tous vos wp-config.php à la racine : chacun d’eux écrasera le précédent. Il ne peut y avoir qu’un seul fichier de même nom dans un même endroit (dossier ou racine) !
Commentaires récents