Archives de catégorie : Wordpress

Tips WordPress – Désactiver l’éditeur de fichiers

Par défaut, l’interface back-office de Worpress propose un éditeur de fichier pour les plugins et les thèmes. Ce dernier permet de modifier les scripts (CSS, JS, mais aussi PHP) au moyen d’un éditeur en ligne. Ce dernier est une autoroute offerte aux hackers à partir du moment où ils parviennent  à s’identifier sur l’interface. Il faut donc désactiver cette fonctionnalité et utiliser plutôt l’accès FTP pour faire les modifications.

Pour désactiver cette option, il faut ajouter dans votre fichier wp-config.php la ligne suivante :

define('DISALLOW_FILE_EDIT',true);

Tips WordPress – Modifier les clés de hash

Par défaut, les clés déployées par l’installation de WordPress sont stockées dans le fichier wp-config.php et ont cette forme :

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Il est donc très important de les personnaliser et de les complexifier au maximum pour éviter la récupération par un hacker d’informations normalement cryptées fortement. Un script de génération automatique de ces chaines est disponible ici :

https://api.wordpress.org/secret-key/1.1/salt/

Il suffit de remplacer les lignes évoquées plus haut par celle que le script à généré.
Le robot d’infogérance WP proposé par ICODIA automatise cette action.