{"id":2820,"date":"2019-02-16T13:01:29","date_gmt":"2019-02-16T13:01:29","guid":{"rendered":"https:\/\/reskator.fr\/?p=2820"},"modified":"2021-01-14T11:01:51","modified_gmt":"2021-01-14T11:01:51","slug":"securiser-le-wp-config-php","status":"publish","type":"post","link":"https:\/\/dev9.reskator.fr\/cms\/2019\/securiser-le-wp-config-php\/","title":{"rendered":"S\u00e9curiser le wp-config.php"},"content":{"rendered":"\n

L\u2019un des fichiers le plus convoit\u00e9 par les hackers est le wp-config.php<\/code> de votre installation WordPress. En effet, ce fichier contient, notamment, les informations permettant de se connecter \u00e0 la base de donn\u00e9es. De l\u00e0, le pirate aura acc\u00e8s \u00e0 tout le contenu de votre site : les utilisateurs, les emails, il pourra modifier ou supprimer les pages du site, les articles de blog ; si vous avez une boutique, il aura acc\u00e8s \u00e0 toutes les coordonn\u00e9es des clients, etc.
Pour renforcer la s\u00e9curit\u00e9 de ce fichier sensible, je vous propose une astuce toute simple et \u00e0 la port\u00e9e de tous.<\/p>\n\n\n\n

Le meilleur moyen de prot\u00e9ger le fichier wp-config.php<\/code> est de passer par le .htaccess afin de le rendre inaccessible aux connexions ext\u00e9rieures.
Toutefois, tout le monde n\u2019est pas forc\u00e9ment \u00e0 l\u2019aise avec ce fichier et ses r\u00e8gles d\u2019\u00e9criture.<\/p>\n\n\n\n

C\u2019est pourquoi je vous propose une autre solution tout aussi efficace et qui n\u2019est pas contradictoire avec le .htaccess : libre \u00e0 vous de cumuler les deux !<\/p>\n\n\n\n

Le saviez-vous ?<\/h2>\n\n\n\n

Cette astuce s\u2019appuie sur une fonctionnalit\u00e9 de WordPress :<\/p>\n\n\n\n

si WordPress ne trouve pas le fichier wp-config.php<\/code>, il va le chercher au niveau sup\u00e9rieur de l\u2019arborescence. Et s\u2019il ne le trouve pas, il remonte d\u2019un autre niveau. Et il le fait encore, si n\u00e9cessaire\u2026 jusqu\u2019\u00e0 atteindre la racine du disque.<\/p>

S\u2019il n\u2019a toujours rien trouv\u00e9, alors il part du principe qu\u2019il s\u2019agit d\u2019une nouvelle installation et affiche l\u2019\u00e9cran de configuration.<\/p><\/blockquote>\n\n\n\n

Par exemple, imaginons un dossier \u201cParent\u201d, \u00e0 l\u2019int\u00e9rieur duquel se trouve un dossier \u201cEnfant\u201d. Et dans ce dossier \u201cEnfant\u201d se trouve notre installation WordPress :<\/p>\n\n\n\n

\"\"
Tous les fichiers & dossiers WordPress se trouvent dans le dossier \u201cEnfant\u201d, lui-m\u00eame \u00e9tant dans un dossier \u201cParent\u201d.<\/figcaption><\/figure>\n\n\n\n

Maintenant, d\u00e9pla\u00e7ons le fichier wp-config.php<\/code> dans le dossier \u201cParent\u201d\u00a0:<\/p>\n\n\n\n

\"\"
Le fichier wp-config.php est d\u00e9plac\u00e9 dans l\u2019arborescence sup\u00e9rieure, c\u2019est-\u00e0-dire dans le dossier \u201cParent\u201d.<\/figcaption><\/figure>\n\n\n\n

En fermant le dossier \u201cEnfant\u201d, c'est tout de suite plus \u00e9vident\u00a0: le fichier wp-config.php<\/code> est d\u00e9sormais tout seul dans le dossier \u201cParent\u201d. Les autres fichiers WordPress sont rest\u00e9s dans le dossier \u201cEnfant\u201d.<\/p>\n\n\n\n

\"\"
Le fichier wp-config.php est d\u00e9sormais isol\u00e9.<\/figcaption><\/figure>\n\n\n\n

\u2014 \u00ab OK ! C\u2019est bien joli tout \u00e7a, mais en quoi cela s\u00e9curise mon wp-config.php ? \u00bb<\/p>\n\n\n\n

D\u00e9j\u00e0, le simple fait de le d\u00e9placer va rendre perplexe le pirate, et, a minima, le retarder.
Mais effectivement, l\u2019astuce ne r\u00e9side pas dans ce seul d\u00e9placement\u2026<\/p>\n\n\n\n

Tirez partie de votre h\u00e9bergeur<\/h2>\n\n\n\n

Chez la plupart des h\u00e9bergeurs, vous disposez d\u2019un \u201cespace disque\u201d.
Cet espace disque est g\u00e9n\u00e9ralement constitu\u00e9 d\u2019un dossier principal, votre \u201cracine\u201d (root), contenant d\u2019autres dossiers : probablement un dossier pour les sauvegardes, peut-\u00eatre un dossier \u201ccloud\u201d, un dossier de statistiques, etc. et bien s\u00fbr le dossier dans lequel vous placez votre (vos) site(s) internet.
Ce dossier porte souvent le nom \u201cwww\u201d ou \u201cweb\u201d ou \u201cpublic\u201d\u2026<\/p>\n\n\n\n

Par exemple, voici une partie d'un espace disque \u201cracine\u201d chez l\u2019h\u00e9bergeur Infomaniak\u00a0:<\/p>\n\n\n\n

\"\"
Le fichier wp-config.php \u00e0 son emplacement par d\u00e9faut, ici dans le dossier \u201cweb\u201d.<\/figcaption><\/figure>\n\n\n\n

\u00c0 la diff\u00e9rence des autres, le dossier \u201cwww\u201d (ou \u201cweb\u201d ou\u2026) est accessible depuis internet. C\u2019est son but : que tout un chacun puisse acc\u00e9der \u00e0 son contenu.<\/p>\n\n\n\n

En revanche, il n\u2019en est pas de m\u00eame des autres dossiers. Eux, sont prot\u00e9g\u00e9s. On ne peut pas y acc\u00e9der depuis internet. Du moins, pas sans s\u2019\u00eatre pr\u00e9alablement identifi\u00e9.<\/p>\n\n\n\n

Puisque la racine de votre h\u00e9bergement est prot\u00e9g\u00e9e, inaccessible depuis les navigateurs, c\u2019est un lieu id\u00e9al pour notre wp-config.php<\/code>.<\/p>\n\n\n\n

D\u00e9pla\u00e7ons-le !<\/p>\n\n\n\n

\"\"
Le fichier wp-config.php a \u00e9t\u00e9 d\u00e9plac\u00e9 au niveau sup\u00e9rieur, \u00e0 la racine de l\u2019espace disque affect\u00e9 par l\u2019h\u00e9bergeur.<\/figcaption><\/figure>\n\n\n\n

D\u00e9sormais, le fichier wp-config.php<\/code> est \u00e0 l\u2019abri de la plus grande majorit\u00e9 des hackers, bien prot\u00e9g\u00e9.<\/p>\n\n\n\n

\"\"
Les fichiers destin\u00e9s \u00e0 internet se trouvent, ici, dans le dossier \u201cweb\u201d. Le wp-config.php n\u2019\u00e9tant plus dans ce dossier, il est prot\u00e9g\u00e9.<\/figcaption><\/figure>\n\n\n\n

Tenez compte de votre arborescence<\/h2>\n\n\n\n

Si vous avez plusieurs installations WordPress dans un m\u00eame espace disque, tenez-en compte. Ne tentez pas de mettre tous vos wp-config.php<\/code> \u00e0 la racine : chacun d'eux \u00e9crasera le pr\u00e9c\u00e9dent. Il ne peut y avoir qu'un seul fichier de m\u00eame nom dans un m\u00eame endroit (dossier ou racine) !<\/p>\n\n\n\n

\n","protected":false},"excerpt":{"rendered":"

L\u2019un des fichiers le plus convoit\u00e9 par les hackers est le config.php de votre installation WordPress. En effet, ce fichier contient, notamment, les informations permettant de se connecter \u00e0 la base de donn\u00e9es. De l\u00e0, le pirate aura acc\u00e8s \u00e0 tout le contenu de votre site : les utilisateurs, les emails, il pourra modifier ou supprimer les pages du site, les articles de blog ; si vous avez une boutique en ligne, il aura acc\u00e8s \u00e0 toutes les coordonn\u00e9es de vos clients, etc.
\nPour renforcer la s\u00e9curit\u00e9 de ce fichier sensible, je vous propose une astuce toute simple et \u00e0 la port\u00e9e de tous.<\/p>\n","protected":false},"author":3,"featured_media":45472,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[23,24],"class_list":["post-2820","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress-wordpress","tag-astuce","tag-securite"],"featured_image_urls_v2":{"full":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red.jpg",1280,853,false],"thumbnail":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red-150x150.jpg",150,150,true],"medium":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red-300x200.jpg",300,200,true],"medium_large":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red-768x512.jpg",768,512,true],"large":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red-1024x682.jpg",1024,682,true],"1536x1536":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red.jpg",1280,853,false],"2048x2048":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red.jpg",1280,853,false],"acf-gallery":["https:\/\/dev9.reskator.fr\/cms\/wp-content\/uploads\/2021\/01\/padlocked_screen-red-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":"

L\u2019un des fichiers le plus convoit\u00e9 par les hackers est le config.php de votre installation WordPress. En effet, ce fichier contient, notamment, les informations permettant de se connecter \u00e0 la base de donn\u00e9es. De l\u00e0, le pirate aura acc\u00e8s \u00e0 tout le contenu de votre site : les utilisateurs, les emails, il pourra modifier ou supprimer les pages du site, les articles de blog ; si vous avez une boutique en ligne, il aura acc\u00e8s \u00e0 toutes les coordonn\u00e9es de vos clients, etc.
\nPour renforcer la s\u00e9curit\u00e9 de ce fichier sensible, je vous propose une astuce toute simple et \u00e0 la port\u00e9e de tous.<\/p>\n","category_list_v2":"WordPress<\/a>","author_info_v2":{"name":"Philippe Reskator","url":"https:\/\/dev9.reskator.fr\/cms\/author\/philippe\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/posts\/2820","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/comments?post=2820"}],"version-history":[{"count":0,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/posts\/2820\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/media\/45472"}],"wp:attachment":[{"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/media?parent=2820"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/categories?post=2820"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dev9.reskator.fr\/cms\/wp-json\/wp\/v2\/tags?post=2820"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}