Business
Actus
Événements
Savoir Faire
Tutos
Thèmes
Plugins
E-commerce
SEO
Tutos Sécuriser le fichier wp-config.php de WordPress
Le fichier wp-config.php de WordPress contient des informations sensibles, comme les identifiants de connexion à la base de données. Pour éviter les risques de hack, il faut le protéger.
Le fichier wp-config.php de WordPress contient des informations très sensibles au sujet de votre installation, y compris les détails de votre base de données, le préfixe de table et des clés secrètes.
Par conséquent, ce fichier doit être sécurisé pour éviter les risques de hack !
Pour éviter qu’un pirate arrive à obtenir les identifiants de votre base de données et détruire tout ce que vous avez réalisé sur votre blog, quelques lignes de code dans le fichier .htaccess de WordPress empêcheront toutes les personnes malveillantes de vous jouer un mauvais tour.
[pastacode lang=”php” message=”” highlight=”” provider=”manual”]
<files wp-config.php>
order allow,deny
deny from all
</files>
[/pastacode]
Article écrit par Jonathan B.
Youtube
Twitter
Facebook
14 Commentaires
si j’avais su avant ….
Je n’ai encore jamais vu de témoignage de personnes piratée par l’intermédiaire de ce fichier. Mais bon, ça ne peut pas faire de mal…
ou placer le fichier
@nadsoft : le fichier .htaccess présent à la racine du ftp
Je suis d’accord avec @Li-An, avez-vous une expérience d’attaque via le fichier wp-config ?
Ou bien remontez le d’un cran dans l’arborescence, même si il arrive hors du /www/ dans votre hébergement. Là au moins, personne n’y aura accès, mais WordPress saura le trouver.
Je confirme que l’attaque est possible. J’ai déjà subi ce type d’attaque sur un blog :(
Idem, j’ai trouvé un plugin qui permettais de créer une faille pouvant lire les fichier php en clair, si le fichier wp-config.php est protégé ou déplacé un cran plus haut dans l’arborescence, alors il ne sera pas accessible via HTTP.
;)
Je n’ai pas de fichier .htaccess, de plus j’ai enté de suivre vos conseils de sécurité, j’ai à peu prés compris, masi pour le conseil de monter un cran plus haut les fichiers, la je bloque. Car mon site est à la racine de mon hebergement, donc si je créé un dossier dans le quel je mets mon wordpress, je n’ai plus acces au site apres.
@Gaetoon : Si votre site est hébergé sur un mutualisé, il ne sera pas possible de mettre en place cette solution car vous ne pouvez pas avoir accès au dossier parant. Pour le fichier .htaccess, si il n’existe pas, il y a deux cas de figure : vous n’avez pas activé la lecture des fichiers invisibles ou vous n’avez pas créer de permalien.
Je ne sais pas si c’est un hébergement mutualisé, je suis chez l’hébergeur gratuit lenyx.
En fait j’ai créé ce fichier .htaccess pour mettre les combines de ce blog.
Par contre une question, en quoi les permaliens sont ils liés à ce fichier ?
Désolé mais je suis totalement débutant, j’apprends de jour en jour.
Merci pour ce blog en tout cas, je l’ai mis en favoris car pleins de choses intéressantes.
oui j’ai eu cette attaque via un script de téléchargement de pdf qui permettait de remonter via l’url au fichier wp-config. pas en écriture, mais les login/pass de la base sont dispos …
Je l’avais mis, du coup, sur le serveur un cran au dessus de la racine du site mais cette méthode est plus cool : merci du tuyau
Bonjour, je loue actuelement un serveur dédié chez OVH pour héberger 5 sites avec wordpress mais j’ai un petit problèmevotre astuce avec le .htaccess, soit je sais pas ou le mettre soit il ne marche pas avec mon wordpress mais la limite reste a 2.0Mo.
Actuellement, je l’ai mis dans / dans /var dans /var/www dans /home/user/www/lycee mais rien n’y fais, la limite reste a 2Mo …
P.S : désolé pour le up d’un ans…