Même si vous ne faites aucun lien vers certaines pages ou dossiers, cela ne signifie pas qu’ils ne sont pas accessibles au public. Sauf à avoir déjà apporté des modifications à votre installation WordPress, et en avoir profité pour cacher les dossiers WordPress, toute l’architecture de votre site sera identique à tous les sites WordPress.
Cela signifie que si vous pouvez accéder au dossier `uploads` depuis `http://mon-domaine.fr/wp-content/uploads/`, vous pourrez probablement accéder à la totalité de votre site WordPress de la même façon.
Bien que cela ne gênera pas certains sites, il n’est certainement pas recommandé de laisser votre site ouvert aux attaques.
Cacher les dossiers WordPress
Faites le test, essayez d’explorer votre propre site WordPress en entrant le lien ci-dessus, en remplaçant `mon-domaine.fr` par le nom de votre domaine, et voyez si vous pouvez accéder au dossier de téléchargement. Si vous pouvez y accéder, cela signifie que vous pouvez naviguer à travers les dossiers et voir tous les fichiers téléchargés. Et si vous pouvez le faire, soyez sûr que d’autres le feront.
Sachez que, non seulement vos fichiers se trouvent dans ce dossier, mais que celui-ci peut également contenir des fichiers téléchargés, pour différentes raisons, par vos utilisateurs. Par défaut, tous ces fichiers sont téléchargés dans le dossier `wp-content/uploads`, et donc accessibles à toute personne qui tentera d’y accéder directement. Et vous sûr de vouloir ce genre de chose?
A vrai dire, compte tenu de l’ampleur que prends le piratage aujourd’hui, il faut vraiment éviter de laisser votre site ouvert à tous vents. Voilà pourquoi je vais vous expliquer comment facilement cacher un dossier précis aux regards indiscrets.
Cacher les dossiers indispensables
Le bon fonctionnement de WordPress requiert la présence de trois dossiers. Si jamais un de ces dossiers devait manquer, vous devrez soit restaurer une sauvegarde, soit réinstaller WordPress. Voilà donc une bonne raison de cacher les dossiers WordPress. Les dossiers indispensables sont:
- wp-includes – contient tous les fichiers et les classes dont WordPress a besoin pour fonctionner
- wp-admin – contient tous les fichiers nécessaires pour créer le tableau de bord WordPress
- wp-content – contient tous les fichiers uniques à votre propre site WordPress
En général tout le monde est d’accord pour dire que le dossier `wp-content` est le dossier le plus important, parmi les dossiers WordPress, car il contient tous vos fichiers et vos dossiers. Cela signifie que tous les plugin, thèmes, fonctions personnalisées, téléchargement de fichiers, images, etc. sont stockés dans l’un des dossiers contenus dans wp-content.
Afin de protéger vos dossiers, vous aurez besoin de créer un fichier `.htaccess`. Cela se fait en quelques minutes et cela ne comporte aucune difficulté, je m’y engage.
Créer le fichier .htaccess
Prenons comme exemple que vous souhaitez cacher le dossier `uploads`. Il va falloir créer le fichier `.htaccess` à installer dans ce dossier.
Ouvrez un éditeur de texte tel que Notepad ++, sélectionnez Fichier->Nouveau, cela créera un fichier vide. Copiez et collez le code ci-dessous dans le fichier:
Order Allow,Deny Deny from all <Files ~ "\.(css|jpe?g|png|xsl|gif|ico|js)$"> Allow from all </Files>
Enregistrez le fichier en lui donnant le nom de `htaccess. txt` et fermez le fichier.
A présent ouvrez votre client FTP favori (par exemple Filezilla), et lorsque vous serez connecté à votre hébergement, accédez au dossier `wp-content/uploads`, puis transférer le fichier `htaccess.txt` que vous venez de créer. Une fois le fichier transférer, cliquez dessus avec le bouton droit de la souris et choisissez Renommer et donnez lui le nom `.htaccess`, puis validez.
Essayez à présent d’accéder à `http://mon-domaine.fr/wp-content/uploads/` (en remplaçant mon-domaine.fr par votre domaine), vous devriez aboutir sur une page erreur 404 ou à une page blanche qui n’affichera pas le contenu de votre dossier de téléchargement
Dans cet exemple, je vous ai montré comment cacher le contenu du dossier `uploads`. Cela ne signifie pas que vous ne pouvez cacher que celui-là. Si vous faites la même chose pour tous les autres dossiers de votre installation WordPress, vous obtiendrez le même résultat, une page erreur 404 ou une page blanche s’affichera en lieu et place du contenu de votre dossier.
Avant d’aller plus loin et passer chaque dossier et sous-dossier en revue pour y insérer le fichier `.htaccess`, il vous faut savoir que le code ci-dessus fonctionnera dans chaque dossier où vous aurez installé un fichier `.htaccess`, ainsi que pour chaque sous-dossier.
Alors, au lieu de créer un fichier `.htaccess` dans `wp-content/uploads` et créer ainsi une règle pour un dossier, vous pouvez créer un seul fichier dans le dossier `wp-content`, celui-ci protégera la totalité du dossier `wp-content`, y compris les sous-dossiers comme `wp-content/uploads`, `wp-content/themes`, ` wp-content/plugin` et tout autre sous-dossier qui pourrait s’y trouver.
Voilà comment améliorer la protection de votre site, et éviter que des yeux indiscrets se posent là où ils ne doivent pas.
La solution plugin
Certains parmi vous ne sont pas à l’aise avec le code et l’édition de fichiers, il n’y a rien de grave à cela, puisque, une fois encore WordPress a un plugin pour vous aider.
Si vous ne voulez pas vous embêter à créer des fichiers, vous pouvez assurer une plus grande sécurité à votre site en installant un plugin comme Security Ninja ou Hide My WP, qui vous aidera, outre le fait de cacher les dossiers WordPress, à sécuriser votre site WordPress à différents niveaux, sans aucune difficulté.
Quelle que soit la solution choisie, à présent personne ne pourra voir les dossiers et sous dossiers contenus dans votre installation WordPress.
Et pour vous, cacher les dossiers WordPress est-il une nécessité? Dites nous dans les commentaires ce que vous en pensez et comment vous protégez votre site des yeux indiscrets.
Si vous avez trouvé cet article intéressant, Partagez le, il intéressera d’autres personnes. Merci!
Publié à l'origine le : 8 août 2016 @ 13 h 26 min
