Et c’est parti pour un nouveau Les Petits Tutos ! Si vous êtes tombé sur cet article, vous le savez probablement, chaque site WordPress contient un fichier appelé « wp-config.php« . Ce fichier de configuration propre à WordPress est l’un des fichiers les plus importants de votre installation pour ne pas dire le plus important 😅. Le fichier contient de nombreux paramètres de configuration qui peuvent être modifiés pour augmenter la sécurité de votre site. Dans cet article, je vais vous montrer quelques astuces pour sécuriser votre site WordPress à l’aide du fichier de configuration « wp-config.php« .
Bon et bien trêve de bavardage, voici les quelques configurations que je réalise systématiquement pour sécuriser mes sites WordPress avec le fichier « wp-config.php » !
Changer le préfixe de base de données par défaut
WordPress a besoin d’une base de données pour fonctionner, c’est là qu’il va stocker toutes les données de votre site Internet ! Et bien, si vous regardez à l’intérieur de cette base de données, vous allez vous rendre compte qu’il existe par défaut 11 tables. Chaque table a bien évidemment une fonction spécifique. Étant donné que les fonctions de chaque table sont prédéterminées par le fonctionnement de WordPress, l’attaquant/le hackeur sait exactement où et comment les détails de votre site sont stockés. Par exemple, s’ils veulent exploiter les données utilisateurs de votre site, ils peuvent viser la table « wp_users« .
WordPress utilise le préfixe ‘wp_’ pour toutes les tables par défaut. Changer celui-ci en un préfixe unique peut être utile pour masquer les noms de table et cela apportera un niveau de sécurité supplémentaire à votre site WordPress. Et bien entendu pour ce faire, il faut utiliser le fichier « wp-config.php« .
Pour ce faire, ouvrez le fichier « wp-config.php » avec un éditeur de texte (il se trouve à la racine de votre dossier wordpress) et cherchez la ligne suivante :
$table_prefix = 'wp_';
Modifiez cette ligne en remplaçant « wp_ » par ce que vous souhaitez (un préfixe unique de préférence) ! Par exemple, si je souhaite mettre un préfixe « monsite_ » alors la ligne doit être modifiée comme ceci :
$table_prefix = 'monsite_';
Et voilà, simple et efficace, on passe directement à la deuxième astuce 😎 !
Empêcher les utilisateurs d’installer/mettre à jour les plugins et les thèmes
Méthode un peu plus drastique, mais si vous n’installez pas ou peu de plugins et que vous modifiez rarement votre thème il peut être intéressant de l’utiliser ! L’idée est simple, désactiver l’option afin de rendre impossibles toutes modifications de thèmes et de plugins. Si quelqu’un arrive à accéder à votre panneau de configuration WordPress, il ne pourra pas installer un plugin malveillant par exemple et ça, c’est top !
Pour ce faire, il faudra ajouter le code suivant dans le fichier « wp-config.php » de votre site WordPress :
define( 'DISALLOW_FILE_MODS', true );
Hop deuxième opération réalisée, en avant vers la troisième astuce 💪 !
Cacher le fichier wp-config.php
Maintenant, nous allons déplacer le fichier « wp-config.php » pour apporter un niveau de sécurité supplémentaire. Par défaut, il se trouve dans le dossier racine de votre site Web. WordPress vous permet en fait de prendre ce fichier « wp-config.php » et de le déplacer d’un niveau, et donc en dehors du dossier de votre site WordPress.
Pour réaliser cette opération, rien de plus simple, vous pouvez simplement glisser-déposer ce fichier. Si vous êtes en ligne de commande à distance, placez-vous dans le dossier de votre WordPress et utilisez la commande suivante :
mv wp-config.php ../
Au top, votre installation devient de plus en plus sécurisée 🤯. Passons à la quatrième et dernière astuce de cet article !
Sécuriser le fichier wp-config.php
Le fichier « wp-config.php » est un point critique de votre installation. Mal configuré, celui-ci rend votre site WordPress vulnérable aux attaques, il est donc impératif de le sécuriser. Après l’avoir déplacé, une mesure de sécurité que vous pouvez prendre consiste à restreindre l’accès.
Je vous conseille de définir les autorisations de fichier sur 600 afin que seul le propriétaire du fichier « wp-config.php » puisse le lire/modifier. Si vous êtes un adepte de la sécurité maximum, vous pouvez même positionner les droits sur 400 pour avoir le fichier en lecture seul.
Pour modifier l’autorisation de fichier de « wp-config.php« , utilisez la commande suivante :
chmod 600 wp-config.php
Avec cet article, je vous ai expliqué comment sécuriser votre site WordPress avec le fichier « wp-config.php« , mais ce n’est qu’une des nombreuses façons d’améliorer la sécurité de votre site. Quelques autres mesures de sécurité que vous pouvez prendre incluent l’utilisation d’un plugin de sécurité, l’utilisation d’un certificat SSL, l’utilisation d’un nom d’utilisateur et d’un mot de passe unique et fort…
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
Pour soutenir mon travail, n’hésitez pas aussi à me suivre sur les réseaux et à partager :
Pas de commentaire