Sécurisation Wordpress : désactiver l accès aux fichiers php là ou il n y en a pas besoin

La pluspart des hacks wordpress résultent soit de l'utilisation d'un script php dans le dossier wp-content/uploads, soit de l'exploit d'une faille dans les plugins / themes.

Il est facile de sécuriser le dossier uploads via une règle dans le .htaccess, ajoutez le code suivant dans un fichier .htaccess dans le dossier /wp-contents/uploads : 

<Files "*.php">
Order Deny,Allow
Deny from All
</Files>


Dans la même optique, il n'y a normalement aucune raison qu'un fichier .php situé dans les dossiers themes ou plugins soit appelé depuis une autre URL que celle de votre site.
Ajouter les lignes suivantes au fichier .htaccess situé à la racine de votre site va bloquer tout accès à un fichier .php qui n'est pas fait depuis votre nom de domaine :

# bloque  l'accès aux fichiers .php des dossiers theme et plugins 
# (les 2 premières lignes permettent de creer des exceptions veillez a adapter le code a votre site) : #RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php #RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/ RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
#RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php #RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

Attention qu'il reste toujours important et crucial de maintenir votre version de wordpress et de tous ses themes et plugins à jour !


  • 9 Utilisateurs l'ont trouvée utile
Cette réponse était-elle pertinente?

Articles connexes

Modifier / Récupérer le login et mot de passe d'une DB mysql

Les utilisateurs mysql sont gérés via le panneau Directadmin. (http://www.votresite.com:2222)...

Edition de fichiers via le File Manager de DirectAdmin

  DirectAdmin comporte un éditeur de fichiers intégré au File Manager, toutefois, certains types...

Explication des dossiers de votre compte DirectAdmin

Votre compte directadmin sur le serveur est composé des dossiers suivants...

Comment Récupérer ou Modifier ses codes d'Accès DirectAdmin

Voici la procédure vous permettant de récupérer vos codes d'accès DirectAdmin ou de les modifier...

Publier un site réalisé avec le logiciel iWeb

Vous pouvez publier votre site iWeb sur nos serveurs grâce à la fonction publication FTP d’iWeb....