Sécuriser Wordpress - Verrouiller l'éditeur de code
La grande saga de l’automne / hiver et plus si affinité sur la sécurité Wordpress continue avec cette fois un petit conseil concernant l’édition de fichiers à l’intérieur même de Wordpress.
Si vous vous rendez dans Apparence -> Editeur, vous verrez que par défaut, il est possible de modifier le code des fichiers de thèmes. Même chose en allant dans Extensions -> Editeursauf que cette fois, ce sont le code des plugins que vous pouvez éditer.
Vous l’aurez compris, laisser active cette possibilité est une mauvaise idée, car si un attaquant arrive à se logger sur votre Wordpress, il pourra alors injecter du code sur votre serveur via cet éditeur. Il vaut mieux séparer les accès CMS (Wordpress) des accès fichiers (code source).
Oui, je sais, c’est bien pratique d’éditer son code directement depuis l’interface de Wordpress… Mais pour le coup, je trouve ça quand même assez risqué aussi bien au niveau des erreurs de manip qu’au niveau de la sécurité. Après c’est comme tout, c’est à vous de voir.
Pour désactiver cette option, rendez-vous dans le fichier wp-config.phpet ajoutez les lignes suivantes:
define(‘DISALLOW_FILE_EDIT’,true);
Dans la série, Sécuriser WordPress:
Entièrement dédiée à la cybersécurité, l'école Guardia est accessible soit directement après le bac (post-bac), soit après un bac+2 ou bac+3. En rejoignant l'école Guardia, vous deviendrez développeur informatique option cybersécurité (Bac+3) ou expert en cybersécurité (Bac+5).