Si vous arrivez sur ce guide c’est potentiellement que vous venez de subir un hack de votre site WordPress et que vous cherchez des solutions pour essayer de protéger un petit peu celui-ci des hackeurs de masse.
WordPress est un logiciel open source, ses plugin et ses thèmes aussi, et rien n’est parfait. Les pirates ne manquent pas d’imagination pour mettre en place des campagnes de piratage en masse pour exploiter leurs potentielles failles de sécurités. En effet avec le nombre de sites WordPress sans cesse croissant et les plugins présents sur des millions de sites, ils sont des proies faciles pour les pirates.
Généralement, pour pirater un site WordPress, les pirates essayent d’uploader des scripts PHP sur votre serveur par l’intermédiaire de vos plugins, si ceux-ci sont ont des failles de sécurité. Avec ce fichier ils n’auront pas de mal à modifier votre site.
Vous souhaitez améliorer la sécurité de votre site WordPress ?
Les pirates peuvent télécharger des logiciels malveillants sur votre site web pour tenter d’y pénétrer. La désactivation de l’exécution de code PHP dans certains répertoires empêchera l’exécution d’une bonne partie de leurs tentatives.
En effet, dans 99% des cas, les hackeurs lambdas ne cherchent pas autre chose que de réussir à charger un script dans votre répertoire d’upload des médias (wp-content/uploads/) pour pouvoir l’exécuter ensuite afin de mettre la main sur votre site.
Dans 100% des cas, il ne vous sera jamais demandé pour un plugin ou pour faire fonctionner WordPress de mettre du code PHP dans ce répertoire. Si c’est le cas, c’est que vous faites une erreur.
En rendant donc impossible toute exécution de code PHP dans le répertoire upload de WordPress vous bloquerez pratiquement toutes les attaques mineures que peut subir votre site. Il va de soit que cela n’empêchera jamais toute attaque, mais il faudrait déjà pour cela que votre site intéresse le hacker. [ndlr : ce n’est pas le blog de jeanine ou le site d’une société de nettoyage à Paris qui les intéresse.]
Bloquer l’exécution de code PHP dans le répertoire upload de WordPress
Ce tuto prend en compte que vous savez comment modifier un fichier PHP sur votre serveur FTP.
Dans le répertoire /wp-content/uploads/
- éditez (si existant), ou ajoutez un fichier .htaccess
- mettez le code suivant à l’intérieur :
<Files *.php>
deny from all
</Files>Bloquer l’exécution de code PHP dans le répertoire /wp-includes/ de WordPress
Alors oui, il existe un second répertoire sur votre serveur que vous pouvez protéger de la même façon. Il sera beaucoup plus compliqué pour un pirate de charger un fichier a cet endroit que dans le répertoire d’upload, mais impossible n’existe pas en informatique. Cela ne coûte donc rien de se protéger.
Il s’agit du répertoire /wp-includes/ de WordPress. Vous me direz pourtant que ce répertoire ne contient QUE des fichiers PHP, et vous avez raison. Cependant ces fichiers sont inclus dans d’autres fichiers et ils ne sont donc pas exécutés dans ce répertoire et ses sous répertoires.
Votre site sera maintenant mieux protégé mais gardez à l’esprit qu’il ne sera jamais à 100% infaïble si vous êtes la cible d’un vrai pirate et non de robots destinés à pirater des sites en masse.
4 Comments
Euh, ce n’est pas du php…
Le code mentionné dans cet article doit être mis dans un fichier .htaccess et non dans un fichier index.php
Merci Rémi, vous avez étés plusieurs à me faire remarquer que cette méthode était restrictive.
Je vais de suite mettre à jour l’article pour une version .htaccess !
Bonne continuation
Comment faire avec nginx ? Merci
Je ne suis pas expert nginx, mais j’ai prévu de trouver et ajouter l’info courant de la semaine. On m’a mis sur une piste.