La grande saga de l’automne / hiver et plus si affinité sur la sécurité WordPress continue avec cette fois un petit conseil concernant l’édition de fichiers à l’intérieur même de WordPress.
Si vous vous rendez dans Apparence -> Editeur, vous verrez que par défaut, il est possible de modifier le code des fichiers de thèmes. Même chose en allant dans Extensions -> Editeur sauf que cette fois, ce sont le code des plugins que vous pouvez éditer.
Vous l’aurez compris, laisser active cette possibilité est une mauvaise idée, car si un attaquant arrive à se logger sur votre WordPress, il pourra alors injecter du code sur votre serveur via cet éditeur. Il vaut mieux séparer les accès CMS (WordPress) des accès fichiers (code source).
Oui, je sais, c’est bien pratique d’éditer son code directement depuis l’interface de WordPress… Mais pour le coup, je trouve ça quand même assez risqué aussi bien au niveau des erreurs de manip qu’au niveau de la sécurité. Après c’est comme tout, c’est à vous de voir.
Pour désactiver cette option, rendez-vous dans le fichier wp-config.php et ajoutez les lignes suivantes:
define(‘DISALLOW_FILE_EDIT’,true);
Dans la série, Sécuriser WordPress: