WordPress

Désactiver l’exécution de code PHP dans les répertoires WordPress

17 décembre 2015

Désactiver l’exécution de code PHP dans les répertoires WordPress

De par leur conception, certains dossiers ou répertoires dans WordPress sont vulnérables du fait de leur accessibilité en écriture ou en téléchargement. Cette accessibilité rend également ces dossiers vulnérables, alors pour vous protéger, nous allons voir, dans cet article comment désactiver l’exécution de code PHP dans les répertoires à risque.

Les répertoires qui sont accessibles en écriture ou en téléchargement permettent de télécharger des fichiers, comme par exemple des images, et permet également d’effectuer les modifications et les mises à jour nécessaires pour vos thèmes et plugin.

Désactiver l’exécution de code PHP dans les répertoires WordPress

Désactiver l'exécution de code PHP

Comme vous pouvez le deviner, parmi les répertoires importants qui ont des autorisations d’écriture se trouve « wp-includes » et pour l’autorisation de téléchargement, le dossier « wp-content ». Mais aussi utile que soient ces autorisations, elles ouvrent des vulnérabilités qui peuvent être dangereuses pour votre site.

Chaque fois qu’un site WordPress est attaqué, les assaillants tentent de télécharger des fichiers « .php » ou d’autres fichiers malveillants dans ces dossiers. Étant donné que ces dossiers ont des permissions d’écriture, ils peuvent facilement télécharger et exécuter ces fichiers en utilisant des vulnérabilités connues (le cas échéant), et faire des ravages sur votre site.

Une façon de vous protéger contre ces attaques consiste à simplement modifier les permissions. Mais ce changement peut entrer en conflit avec vos plugin, et votre site peut devenir inutilisable en raison du manque de permissions en écriture.

désactiver l'exécution de code PHP

L’autre façon de faire est de désactiver l’exécution de code PHP dans ces répertoires vulnérables. Nous allons voir ci-dessous, comment vous pouvez désactiver facilement l’exécution de code PHP en utilisant le fichier .htaccess.

Désactiver l’exécution de PHP est vraiment facile. Pour commencer, créez un nouveau fichier texte, nommez-le .htaccess et faites un copier / coller du code dans le fichier que vous venez de créer.

<Files *.php>
deny from all
</Files>

A présent, il faut placer ce fichier dans les répertoires à protéger. Pour ce faire, lancez votre client FTP préféré et téléchargez le fichier que vous venez de créer dans les répertoires, « wp-includes« et « /wp-content/uploads /« .

désactiver l'exécution de code PHP

Avec cette simple astuce, vous pouvez bloquer l’exécutions de tout code PHP dans ces répertoires vulnérables.

Attention toutefois, il peut arriver que lorsque vous téléchargez le fichier .htaccess dans le répertoire « wp-includes », cela rend votre site inutilisable.

Dans ce cas, il faut supprimer le fichier .htaccess téléchargé dans le répertoire « wp-includes » ou supprimer le code ajouté. En outre, ce n’est pas un moyen infaillible pour protéger votre site, mais cela durcit quelque peu la sécurité de votre installation WordPress contre les pirates réguliers.

Il existe une autre solution pour surveiller le répertoire « wp-includes »,  le plugin Scan Upload par JM Créa qui va vous aider à détecter les éventuels fichiers malveillants présents dans ce répertoire.

scan-upload-jm-crea

Scan Upload par JM Créa, scanne le dossier « wp-upload« , et détecte automatiquement les fichiers suspects. Les fichiers représentant un risque potentiel pour votre installation comportent les extensions suivantes:

  • .php
  • .js
  • .htaccess
  • .sql
  • .exe
  • .zip
  • .rar
  • .czip
  • .tar.gz

Une fois les fichiers trouvés, il est possible de tous les supprimer en 1 clic.

resultat scan upload

Cliquez pour afficher en taille réelle

Je vous conseille fortement d’installer ce plugin, afin d’ajouter une couche de protection supplémentaire à votre installation WordPress, et vous prémunir ainsi d’attaques pernicieuses.

Voilà tout ce qu’il y a à faire! Vous savez à présent comment désactiver l’exécution de code PHP dans certains répertoires vulnérables de WordPress, et en plus vous avez appris à protéger votre dossier « wp-upload » des fichiers malveillants qui pourraient y être téléchargés.

J’espère que ces deux astuce vous aideront à vous protéger des fichiers à risque qui pourraient être installés sur votre site, à votre insu.

Si vous avez déjà utilisé cette technique pour désactiver l’exécution de code PHP dans WordPress, partagez votre expérience et dites nous si vous en avez été satisfait.

séparateur de texte

Si cet article vous a été intéressé, Partagez le, il intéressera probablement d’autres personnes. Merci!

4 commentaires
  1. Jean-LuK

    Un Wordpress durci devient une nécessité, sans plug-in si possible. Je suis bloqué par mon hébergeur (Gandi) depuis plusieurs semaines, merci à eux ! Pourtant je mets à jour Wordpresse, plug-ins et thèmes, mais rien n’y fait, les bases de données pourraient être vérolées… Comment bloquer l'envoi de messages en dehors de ceux à destination de l'administrateur ? Cette fonction devrait même être proposée de base dans Wordpress. La trop grande vulnérabilité de Wordpress, mais aussi de Drupal, Joomla, etc… risque de tuer ces outils.

  2. Hubert

    Bonjour Jean-Luc, Connaissez vous la raison pour laquelle votre hébergeur bloque votre site? L'erreur 503 qui apparaît devrait être temporaire, dûe a une surcharge temporaire des requêtes. Je viens de trouver cette page de chez Gandi qui explique l'erreur 503 : https://wiki.gandi.net/fr/simple/errors/503 peut être vous aidera-t-elle. Lorsque je prends le nom de votre domaine jluk.fr un site s'affiche correctement, il se peut donc que cause.jluk.fr soit mal configuré, ce n'est qu'une suggestion.

  3. Jean-LuK

    Mes sites sont vérolés, mais il est étonnant que des fichiers qui sont reconnus comme malveillants et immédiatement éliminés sur mon PC, soient acceptés sur cet hébergement. Je commence à avoir des doutes sur l'incessante ronde de mises à jour, j'ai l'impression que plus il y en a, plus on multiplie les risques de piratage. À contrario, mes articles sont publiés sur un site (sous Joomla) qui n'a pas connu de mise à jour depuis des années et qui continue à fonctionner sans faille ! À trop vouloir en faire, il me semble que Wordpress laisse trop d'opportunités d'injection de code indésirable. Aussi, pourquoi ne pas intégrer dans Wordpress les fonctions employées pratiquement universellement par l'intermédiaire de plug-ins ?

  4. Hubert

    Si des fichiers malveillants sont acceptés sur votre site, cela tiens plus à votre hébergeur qu'à WordPress. Ajoutez un plugin de test de fiabilité de plugin, tels que Plugin Vulnerabilities et les choses devraient changer.Attention toutefois, si votre site sous Joomla n'a pas connu de mises à jour, cela signifie probablement qu'il est à risque, puisque Joomla évolue également.

Laisser un commentaire

You have to agree to the comment policy.

-25% sur ElegantThemes.com Maintenant !Cliquez-ici !
+