Aujourd’hui pour ce nouveau Point SĂ©cu avec Julio, nous allons voir 3 mythes liĂ©s Ă la sĂ©curitĂ© de WordPress.
Pour ĂȘtre plus prĂ©cis, cela concerne le fichier wp-config.php, lĂ oĂč sont situĂ©s les identifiants pour se connecter Ă la base de donnĂ©es.
Ces mythes ou plutĂŽt ces fausses sĂ©curitĂ©s n’apportent pas grand chose, contrairement Ă ce que l’on peut lire dans beaucoup de tutoriels. Voyons ce dont il s’agit en dĂ©tail :
1. Déplacer le fichier wp-config.php
2. Ajouter un deny from all dans le fichier .htaccess
3. Remplir les clés de sécurité
Ressources :
– La faille Revolution Slider : http://www.itespresso.fr/securite-it-menace-slider-revolution-wordpress-82128.html
##
Abonnez-vous pour recevoir les prochains points Sécu, on en publie un tous les 15 jours :
https://www.youtube.com/subscription_center?add_user=WPMarmite
Et avant de partir, n’oubliez pas de jeter un oeil Ă SecuPress pour dormir sur vos deux oreilles :
https://secupress.me/fr/
Source du tuto
9 Commentaires. En écrire un nouveau
Bravo, pour vos vidéos, trÚs instructif.
Petite question par rapport au fichier wp-config.php, est-ce que la configuration de ce fichier (retrait des clefs WP) est faite de maniĂšre automatique par SecuPress ou faut-il faire quelque chose manuellement ?
oui intĂ©ressant! merci đ
Bonjour Ă vous deux,
TrÚs bonne vidéo. Pourrons nous avoir une vidéo pour installer SécuPress et les erreurs à éviter ?
Pour la documentation technique nous sommes preneur.
Merci encore pour cette vidéo trÚs intéressante .
Bonjour Ă vous deux
Super ces vidéos sur la sécurité, merci à vous.
Oui je suis bien intĂ©ressĂ©e par des vidĂ©os sur des points techniques…
bonjour WP Marmite
comment modifier le lecteur audio de wordpress ? est merci
Encore une vidĂ©o super intĂ©ressante, certes je n'ai pas tout compris, notamment les lignes de code mais je suis rassurĂ© de savoir que SecuPress s'occupe de tout. Bravo Julio đ
Bonjour Julio et merci pour cette judicieuse vidéo.
J'ai personnellement dĂ©placĂ© wp-config.php et conseillĂ© de le faire… sans y avoir pleinement rĂ©flĂ©chi. GrĂące Ă toi, je vais continuer, mais aprĂšs avoir identifiĂ© des scenarii oĂč cela pourrait ĂȘtre rĂ©ellement utile.
Premier cas, je suis un bourrin mais avec des réflexes de prudence. Avant de travailler sur wp-config.php, je le sauve en wp-config.phpsav. Si je le fais dans le répertoire standard, je rends son contenu visible via un navigateur. Si je travaille dans un répertoire hors internet il ne sera pas transmis.
DeuxiĂšme cas : j'ai lu qu'un malheureux avait recopiĂ© la totalitĂ© de son site sur github. wp-config.php (ou une sauvegarde) est alors devenue publique. On ne lui a pas piratĂ© son site, mais il y avait des clĂ©s d'accĂšs Ă un service payant; quelqu'un en a profitĂ© pour utiliser vaillamment le service en son nom… en lui laissant une facture astronomique. Si wp-config.php et ses diffĂ©rentes versions avaient Ă©tĂ© placĂ©es au dessus de son rĂ©pertoire racine, cela ne serait pas arrivĂ©.
TroisiÚme cas : mon hébergeur est aussi un bourrin. Suite à une mauvaise manip, il a correctement installé Apache mais pas php. DÚs qu'on saisit l'adresse d'un fichier .php accessible via internet, celui-ci est transmis et non exécuté.
Voilà pourquoi je préfÚre laisser wp-config.php, avec toutes ses informations sensibles hors accÚs internet et isolé du reste du site
Je reconnais que ces cas sont hyper limites, mais vu l'effort que ça demande de dĂ©placer wp-config.php, je prĂ©fĂšre ĂȘtre prudent. D'autant que je fais confiance aux pirates pour nous inventer des scenarii oĂč ce petit dĂ©placement peut ĂȘtre le grain de sable qui .. les incite Ă s'attaquer Ă d'autres sites.
Encore merci pour toute l'aide que tu apportes à la communauté pour qu'elle améliore la sécurité des sites WordPress.
Daniel Farnier
Bonjour Alex, je vois certains site sur les permaliens il y a flash alors comment changer – par / exemple : choubouna24.com/mentions-legales je veux changer en mettant (/) comme ceci Choubouna24.com/mentions/legales/ merci
Merci, Oui Ă la technique !