vous avez été piraté ? obtenir de l'aide
[wp_ulike]
Benjamin Bueno

Expert Cybersécurité

28 juin, 2023
Comment désactiver l'exécution de PHP dans certains répertoires WordPress (1)
Table des matières
Lorsqu’un site est piraté, on retrouve souvent dans certains répertoires WordPress du code malveillant en PHP. Empêcher l’exécution de ce script dans les dossiers où il est implanté par les hackers est une solution efficace pour se protéger contre cette forme de piratage. Découvrez comment désactiver l’exécution de PHP dans certains répertoires WordPress à travers notre tutoriel.

Pourquoi désactiver l’exécution de PHP dans certains répertoires WordPress ?

Lorsque votre site est piraté, il se peut que du code PHP malveillant ait été ajouté par le hacker dans l’un de vos répertoires WordPress. Pour protéger votre site de cette forme de cyberattaque, vous devez dire à WordPress que vous souhaitez empêcher l’ajout et l’exécution de code PHP dans certains répertoires WordPress. Dans ce tutoriel, vous allez découvrir quels sont les répertoires où il sera plus utile de désactiver l’exécution de PHP et comment procéder.

Comment désactiver l’exécution de PHP dans certains répertoires WordPress, Sécurité WP

Désactiver l'exécution de PHP dans le dossier uploads

A la racine de WordPress se trouve le dossier wp-content. Ce dossier contient de nombreux autres dossiers, notamment le dossier plugins et le dossier contenant les thèmes. On y trouve aussi un dossier appelé « uploads », qui contient toutes les images et vidéos de votre site, que vous avez-vous-mêmes téléchargées. Ce dossier uploads est donc destiné au stockage de contenu : il ne devrait pas contenir de code PHP.
Or, lorsqu’un site a été piraté, on trouve souvent du code PHP malveillant dans ce dossier. Autrement dit, les hackers ont tendance à cacher les virus dans ce dossier en y collant le code PHP malveillant. En effet, il serait fastidieux pour l’administrateur du site WordPress qui a été piraté de rechercher le virus parmi une longue liste de documents, images et vidéos.
Nous vous recommandons donc de commencer par désactiver l’exécution de PHP dans le dossier uploads.

Tutoriel : désactiver l'exécution de PHP dans le répertoire uploads

Tout ce que vous avez à faire pour dire à WordPress que vous souhaitez empêcher tout utilisateur d’ajouter et d’exécuter du code PHP dans le dossier uploads, c’est de créer un nouveau fichier .htaccess et d’y ajouter trois lignes de code.
Il faut savoir qu’il est possible d’avoir plusieurs fichiers nommés .htaccess. Celui qui est présent par défaut à la racine de WordPress va s’appliquer pour tous les fichiers de votre site. Celui que vous aurez créé dans le dossier uploads s’appliquera uniquement à ce dossier.
Pour créer un nouveau fichier .htaccess dans le dossier uploads, il suffit de créer un nouveau fichier et de le nommer .htaccess. Ensuite, il faudra coller le code suivant dans le nouveau fichier créé :

				
					<files>
deny from all
</files>
				
			

Ces trois lignes de code suffisent à faire comprendre à WordPress que vous souhaite interdire l’ajout et l’exécution de scripts PHP dans le dossier uploads.

WordPress est sécurisé… si vous suivez les mesures de sécurité !

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?
La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

Faut-il désactiver l'exécution de PHP dans le dossier wp-includes ?

Parfois, on conseille de faire la même chose dans le dossier wp-includes. Ce fichier fait partie de ce qu’on appelle les « fichiers du cœur » WordPress car il est présent par défaut dès l’installation de WordPress. On le trouve à la racine de WordPress, comme le dossier wp-content. Nous ne vous conseillons pas de désactiver l’exécution de PHP dans le dossier wp-includes car cela ne fonctionne pas toujours, en fonction de facteurs divers comme le thème installé sur votre site WordPress. Normalement, désactiver l’exécution de PHP dans le dossier uploads suffit à vous protéger de cette forme de piratage. Mais bien sûr, cela ne remplace pas des mesures de prévention et de sécurisation de votre site web !

Pourquoi le fichier .htaccess ?

Le fichier .htaccess est un fichier de configuration qui est très utile pour sécuriser votre site web. Non seulement, il définit les règles d’accès à vos fichiers et dossiers, mais en plus, il peut servir à protéger la zone d’administration par mot de passe. Ce fichier est très important car il va aussi vous aider à améliorer votre référencement, notamment en optimisant les URL des pages de votre site web. Le dossier .htaccess est situé dans le dossier racine de votre site WordPress mais vous pouvez en créer autant que vous voulez dans vos répertoires internes.

Besoin d’aide pour désactiver l'exécution de PHP dans le dossier uploads ?

Vous n’êtes pas sûr de savoir suivre les étapes de notre tutoriel pour désactiver l’exécution de PHP dans le dossier uploads ? Pas de panique, notre équipe d’experts WordPress vous accompagne dans vos manipulations pour vous rassurer et vous éviter de faire des fausses manipulations qui pourraient casser votre site. Si vous avez besoin d’aide ou que vous avez d’autres questions concernant la prévention des cyberattaques, n’hésitez pas à nous contacter.

Benjamin Bueno

23 mars 2024

Catégorie

Découvrez plus d’astuces pour protéger votre site WordPress des cyberattaques : bloquer l’accès de votre site web à certaines adresses IP, modifier le nom d’utilisateur « admin », installer un plugin de sécurité, faire migrer votre site en HTTPS

Dans le tutoriel “Désactiver l’exécution de PHP dans certains répertoires WordPress” sur SecuriteWP, Benjamin Bueno, expert en cybersécurité, souligne l’importance de bloquer l’exécution de PHP dans des répertoires spécifiques pour renforcer la sécurité d’un site WordPress. Les pirates informatiques ont tendance à insérer des scripts PHP malveillants dans des dossiers tels que “uploads”, normalement utilisé pour les fichiers médias. Le tutoriel explique comment désactiver l’exécution de PHP dans ce dossier en utilisant un fichier .htaccess. Cette étape est cruciale pour la sécurité, mais il est recommandé de ne pas désactiver le PHP dans le dossier “wp-includes”, car cela pourrait affecter le fonctionnement du site. Le tutoriel insiste sur l’importance d’une approche globale de la sécurité, combinant différentes méthodes de protection. Pour plus d’assistance sur la désactivation de PHP ou d’autres questions de sécurité, l’équipe de SecuriteWP propose son expertise. Des informations supplémentaires sur la gestion des incidents de sécurité, comme la perte d’accès au site ou les problèmes avec Google Ads après un piratage, sont également disponibles sur leur plateforme.

Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article