Comment désactiver l’exécution de PHP dans certains répertoires WordPress

Par défaut, WordPress rend certains répertoires accessibles en écriture afin que vous et les autres utilisateurs autorisés de votre site Web puissiez facilement télécharger des thèmes, des plugins, des images et des vidéos sur votre site Web.

Cependant, cette capacité peut être utilisée de manière abusive si elle tombe entre de mauvaises mains, comme des pirates qui peuvent l'utiliser pour télécharger des fichiers d'accès par porte dérobée ou des logiciels malveillants sur votre site Web.

Ces fichiers malveillants sont souvent déguisés en fichiers WordPress principaux. Ils sont principalement écrits en PHP et peuvent s'exécuter en arrière-plan pour obtenir un accès complet à tous les aspects de votre site Web.

Ça fait peur, non ?

Ne vous inquiétez pas, il existe une solution simple pour cela. Fondamentalement, vous désactiveriez simplement l'exécution de PHP dans certains répertoires où vous n'en avez pas besoin. Ce faisant, aucun fichier PHP ne s'exécutera dans ces répertoires.

Dans cet article, nous allons vous montrer comment désactiver l'exécution de PHP dans WordPress à l'aide du fichier .htaccess.

Désactivation de l'exécution de PHP dans certains répertoires WordPress à l'aide du fichier .htaccess

La plupart des sites WordPress ont un fichier .htaccess dans le dossier racine. Il s'agit d'un fichier de configuration puissant utilisé pour protéger par mot de passe la zone d'administration, désactiver la navigation dans les répertoires, générer une structure d'URL conviviale pour le référencement, etc.

Par défaut, le fichier .htaccess se trouve dans le dossier racine de votre site Web WordPress, mais vous pouvez également le créer et l'utiliser dans vos répertoires WordPress internes.

Pour protéger votre site Web contre les fichiers d'accès par porte dérobée, vous devez créer un fichier .htaccess et le télécharger dans les répertoires /wp-includes/ et /wp-content/uploads/ de votre site.

Créez simplement un fichier vierge sur votre ordinateur en utilisant un éditeur de texte comme le Bloc-notes (TextEdit sur Mac). Enregistrez le fichier sous .htaccess et collez le code suivant à l'intérieur.

<Files *.php>
deny from all
</Files>

Enregistrez maintenant le fichier sur votre ordinateur.

Ensuite, vous devez télécharger ce fichier dans les dossiers /wp-includes/ et /wp-content/uploads/ sur votre serveur d'hébergement WordPress.

Vous pouvez le télécharger en utilisant un client FTP ou via l'application File Manager dans le tableau de bord cPanel de votre compte d'hébergement.

Une fois le fichier .htaccess avec le code ci-dessus ajouté, il arrêtera tout fichier PHP de s'exécuter dans ces répertoires.

L'utilisation de cette astuce .htaccess vous aide à renforcer votre sécurité WordPress, mais ce n'est pas un FIX pour un site WordPress déjà piraté.

Les portes dérobées sont intelligemment déguisées et peuvent déjà être cachées à la vue de tous.

Si vous souhaitez rechercher d'éventuelles portes dérobées sur votre site Web, vous devez activer Sucuri sur votre site Web.

Sucuri est le meilleur plugin de sécurité WordPress sur le marché. Il analyse votre site Web à la recherche d'éventuelles menaces, de codes suspects, de logiciels malveillants et de vulnérabilités.

Il bloque également efficacement la plupart des tentatives de piratage visant même à atteindre votre site Web en ajoutant un pare-feu entre votre site et le trafic suspect.

Plus important encore, si votre site WordPress est piraté, ils le nettoieront pour vous. Pour en savoir plus, vous pouvez consulter notre revue Sucuri car nous utilisons leur service depuis des années.

Nous espérons que cet article vous a aidé à apprendre comment désactiver l'exécution de PHP dans certains répertoires WordPress pour renforcer la sécurité de votre site Web. Si vous recherchez un guide complet, consultez notre guide de sécurité WordPress ultime.

Si cet article vous a plu, abonnez-vous à notre Chaîne Youtube pour les didacticiels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.