Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Sécuriser WordPress – Verrouiller l’éditeur de code

La grande saga de l’automne / hiver et plus si affinité sur la sécurité WordPress continue avec cette fois un petit conseil concernant l’édition de fichiers à l’intérieur même de WordPress.

Si vous vous rendez dans Apparence -> Editeur, vous verrez que par défaut, il est possible de modifier le code des fichiers de thèmes. Même chose en allant dans Extensions -> Editeur sauf que cette fois, ce sont le code des plugins que vous pouvez éditer.

editeur

Vous l’aurez compris, laisser active cette possibilité est une mauvaise idée, car si un attaquant arrive à se logger sur votre WordPress, il pourra alors injecter du code sur votre serveur via cet éditeur. Il vaut mieux séparer les accès CMS (WordPress) des accès fichiers (code source).

Oui, je sais, c’est bien pratique d’éditer son code directement depuis l’interface de WordPress… Mais pour le coup, je trouve ça quand même assez risqué aussi bien au niveau des erreurs de manip qu’au niveau de la sécurité. Après c’est comme tout, c’est à vous de voir.

Pour désactiver cette option, rendez-vous dans le fichier wp-config.php et ajoutez les lignes suivantes:

define(‘DISALLOW_FILE_EDIT’,true);

Dans la série, Sécuriser WordPress:

Créez votre compte gratuit Azure dès aujourd’hui

Qu’est-ce que j’obtiens ?
Avec votre compte gratuit Azure, vous bénéficiez de tous ces éléments et vous n’êtes facturé que si vous effectuez une mise à niveau.

  • 12 mois de services gratuits populaires
  • Crédit de 170 €, pour explorer Azure pendant 30 jours
  • Toujours gratuits: Plus de 25 services

Créez des applications évolutives et des fonctionnalités de mise en œuvre plus rapidement
Créez des charges de travail qui adaptent leur échelle en fonction de la demande. De plus, fournissez des logiciels plus rapidement et de façon fiable grâce à des solutions de DevOps de bout en bout.

Lancez-vous avec 12 mois de services gratuits