Sécuriser wp-config.php

Une attention particulière

S‘il y a bien un fichier à protéger sur un blog WordPress, il s’agit de wp-config.php.

pirate, hackeur de blog

Ce fichier, présent dans la racine du blog, a été créé au moment de l’installation du blog, lors de la création de la base de données, et contient des informations très sensibles à savoir le nom de la base de données, l’identifiant de l’utilisateur de la base de données, et le mot de passe de connexion. Il contient également, les clés de sécurité et le préfixe des tables dont nous avons parlé ici.

Plan: 3 Chapitres en 5 posts

Chapitre 2

Chapitre 1

Les Sauvegardes

Chapitre 3

Sécurité côté Serveur

Lors de sa création, wp-config.php se construira en suivant la trame de l’exemple présenté ci-dessous. Pour une présentation complète de wp-config.php, voir: le codex WordPress

1)-Interdire l’accès au niveau du serveur

Cette mesure
est indispensable!

Il faut impérativement protéger wp-config.php par un fichier .htaccess placé à la racine du blog et contenant les quelques lignes présentées ci-contre. Ainsi, le serveur interdira définitivement l’accès à ce fichier.

2)-Protéger wp-config.php en le déplaçant

Depuis la version 2.6.0, WordPress autorise le déplacement de ce fichier plus haut dans la hiérarchie, hors du répertoire du blog. WordPress ira chercher automatiquement le wp-config.php, mais il sera beaucoup plus difficile d’accès pour un éventuel pirate.
Voir: Emmanuel Georjon.

Condition: ne pas avoir installé le blog dans la racine du répertoire disponible sur le serveur.

Si c’est le cas, il existe une procédure détaillée sur Codex pour changer le nom du répertoire de base de WordPress.

La question est: qu’apporte véritablement le déplacement de wp-config.php en matière de sécurité, si l’on a déjà pris la peine de le protéger par un .htaccess?

Tarabistouilles et Bill Vesées

Un Airedale sympa, un bon boîtier photographique, une petite lunette astronomique, voilà de quoi combler une végétarienne qui s'essaye au blog…