Aujourd’hui pour ce nouveau Point Sécu avec Julio, nous allons voir 3 mythes liés à la sécurité de WordPress.
Pour être plus précis, cela concerne le fichier wp-config.php, là où sont situés les identifiants pour se connecter à la base de données.
Ces mythes ou plutôt ces fausses sécurités n’apportent pas grand chose, contrairement à ce que l’on peut lire dans beaucoup de tutoriels. Voyons ce dont il s’agit en détail :
1. Déplacer le fichier wp-config.php
2. Ajouter un deny from all dans le fichier .htaccess
3. Remplir les clés de sécurité
Ressources :
– La faille Revolution Slider : http://www.itespresso.fr/securite-it-menace-slider-revolution-wordpress-82128.html
##
Abonnez-vous pour recevoir les prochains points Sécu, on en publie un tous les 15 jours :
https://www.youtube.com/subscription_center?add_user=WPMarmite
Et avant de partir, n’oubliez pas de jeter un oeil à SecuPress pour dormir sur vos deux oreilles :
https://secupress.me/fr/
Source du tuto
9 Commentaires. En écrire un nouveau
Bravo, pour vos vidéos, très instructif.
Petite question par rapport au fichier wp-config.php, est-ce que la configuration de ce fichier (retrait des clefs WP) est faite de manière automatique par SecuPress ou faut-il faire quelque chose manuellement ?
oui intéressant! merci 🙂
Bonjour à vous deux,
Très bonne vidéo. Pourrons nous avoir une vidéo pour installer SécuPress et les erreurs à éviter ?
Pour la documentation technique nous sommes preneur.
Merci encore pour cette vidéo très intéressante .
Bonjour à vous deux
Super ces vidéos sur la sécurité, merci à vous.
Oui je suis bien intéressée par des vidéos sur des points techniques…
bonjour WP Marmite
comment modifier le lecteur audio de wordpress ? est merci
Encore une vidéo super intéressante, certes je n'ai pas tout compris, notamment les lignes de code mais je suis rassuré de savoir que SecuPress s'occupe de tout. Bravo Julio 😉
Bonjour Julio et merci pour cette judicieuse vidéo.
J'ai personnellement déplacé wp-config.php et conseillé de le faire… sans y avoir pleinement réfléchi. Grâce à toi, je vais continuer, mais après avoir identifié des scenarii où cela pourrait être réellement utile.
Premier cas, je suis un bourrin mais avec des réflexes de prudence. Avant de travailler sur wp-config.php, je le sauve en wp-config.phpsav. Si je le fais dans le répertoire standard, je rends son contenu visible via un navigateur. Si je travaille dans un répertoire hors internet il ne sera pas transmis.
Deuxième cas : j'ai lu qu'un malheureux avait recopié la totalité de son site sur github. wp-config.php (ou une sauvegarde) est alors devenue publique. On ne lui a pas piraté son site, mais il y avait des clés d'accès à un service payant; quelqu'un en a profité pour utiliser vaillamment le service en son nom… en lui laissant une facture astronomique. Si wp-config.php et ses différentes versions avaient été placées au dessus de son répertoire racine, cela ne serait pas arrivé.
Troisième cas : mon hébergeur est aussi un bourrin. Suite à une mauvaise manip, il a correctement installé Apache mais pas php. Dès qu'on saisit l'adresse d'un fichier .php accessible via internet, celui-ci est transmis et non exécuté.
Voilà pourquoi je préfère laisser wp-config.php, avec toutes ses informations sensibles hors accès internet et isolé du reste du site
Je reconnais que ces cas sont hyper limites, mais vu l'effort que ça demande de déplacer wp-config.php, je préfère être prudent. D'autant que je fais confiance aux pirates pour nous inventer des scenarii où ce petit déplacement peut être le grain de sable qui .. les incite à s'attaquer à d'autres sites.
Encore merci pour toute l'aide que tu apportes à la communauté pour qu'elle améliore la sécurité des sites WordPress.
Daniel Farnier
Bonjour Alex, je vois certains site sur les permaliens il y a flash alors comment changer – par / exemple : choubouna24.com/mentions-legales je veux changer en mettant (/) comme ceci Choubouna24.com/mentions/legales/ merci
Merci, Oui à la technique !