Accueil > Base de connaissances > Aide Hebergement Mutualisé > Sécurisation Wordpress : désactiver l accès aux fichiers php là ou il n y en a pas besoin


Sécurisation Wordpress : désactiver l accès aux fichiers php là ou il n y en a pas besoin




La pluspart des hacks wordpress résultent soit de l'utilisation d'un script php dans le dossier wp-content/uploads, soit de l'exploit d'une faille dans les plugins / themes.

Il est facile de sécuriser le dossier uploads via une règle dans le .htaccess, ajoutez le code suivant dans un fichier .htaccess dans le dossier /wp-contents/uploads : 
<Files "*.php">
Order Deny,Allow
Deny from All
</Files>

Dans la même optique, il n'y a normalement aucune raison qu'un fichier .php situé dans les dossiers themes ou plugins soit appelé depuis une autre URL que celle de votre site.
Ajouter les lignes suivantes au fichier .htaccess situé à la racine de votre site va bloquer tout accès à un fichier .php qui n'est pas fait depuis votre nom de domaine :

# bloque  l'accès aux fichiers .php des dossiers theme et plugins 
# (les 2 premières lignes permettent de creer des exceptions veillez a adapter le code a votre site) : #RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php #RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/ RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
#RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php #RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

Attention qu'il reste toujours important et crucial de maintenir votre version de wordpress et de tous ses themes et plugins à jour !




Cette réponse était-elle pertinente?

Ajouter aux favoris Ajouter aux favoris    Imprimer cet article Imprimer cet article

Consultez aussi