Lorsqu’on édite un site WordPress depuis le tableau de bord du CMS, on a parfois tendance à oublier qu’il communique avec des fichiers situés dans sa base de données. Pourtant, certains de ces fichiers contiennent des informations sensibles et doivent être protégés autant que possible… En toute logique, nous commencerons par protéger le fichier le plus précieux pour le bon fonctionnement de votre site ! Pour renforcer la sécurité de votre site, WP Trigone vous explique pourquoi et comment déplacer votre fichier « wp-config.php » en quelques clics !
Cette manipulation peut rentrer dans le cadre d’une TMA WordPress préventive, si vous en possédez une auprès de votre prestataire de maintenance. Au quel cas, WP Trigone est là pour répondre à vos besoins.
«wp-config.php», c’est quoi au juste ?
Pour fonctionner correctement, WordPress communique avec une base de données constituée de multiples dossiers et fichiers. Mais la plupart du temps, les utilisateurs ne s’en soucient pas vraiment, parce que l’un des gros avantages du CMS WordPress est justement de nous éviter d’avoir besoin de mettre les mains sous le capot pour éditer un site !
Aujourd’hui, nous nous concentrons sur la star des fichiers de votre base de données : «wp-config.php». Ce fichier est indispensable au bon fonctionnement de votre site WordPress : il contient des informations très importantes concernant notamment le nom de votre base de données, vos identifiants… et même votre mot de passe ! Concrètement, si un hacker parvient à y accéder, il aura accès à tout votre site, pourra modifier vos identifiants, et le rendre inaccessible… Et s’il s’agit d’un site WooCommerce, il pourrait même avoir la main sur vos commandes et sur les informations sensibles de vos clients… Vous préférez ne pas y penser, mais cela peut arriver, alors autant anticiper en le sécurisant.
Pourquoi déplacer le fichier « wp-config.php » à la racine de votre hébergement WordPress ?
Ce fichier est important et sensible. Mais pourquoi ne pourriez-vous pas simplement le laisser à sa place initiale, en vous contentant d’utiliser un mot de passe robuste pour accéder à votre base de données ?
Ce fichier est placé à la racine de votre installation WordPress, et le simple fait de le déplacer à un niveau supérieur de votre arborescence permettra de le protéger des hackers.
Il contient les données sensibles de votre site comme le nom de la base de données et son mot de passe : autant vous dire qu’il vaut mieux le mettre en lieu sûr ! En protégeant ce fichier, vous améliorez la sécurisation de l’ensemble de votre site.
Vous pouvez aussi mettre en pratique cette astuce si vous faites si vous avez activé la fonction Multisite WordPress (le guide complet) afin de gérer plusieurs sites avec une installation WordPress.
Comment déplacer votre fichier de configuration pour le protéger ?
Pour vous assurer que le CMS WordPress communique facilement avec la base de données et retrouve le fichier « wp-config.php », il faut veiller à le placer dans un fichier situé un niveau au-dessus de son emplacement initial (dans un dossier parent). Cette manœuvre est très facile à effectuer. Suivez simplement les étapes suivantes !
- Accédez au panneau de configuration de votre hébergement (ex. : cPanel).
- Rendez-vous sur votre gestionnaire de fichiers (FTP)
- Créez un dossier dans le niveau supérieur de votre arborescence (souvent «/public_html/»), par exemple : «/config/». Nous vous recommandons de lui donner un autre nom, pour renforcer la sécurité de votre site.
- Déplacez votre fichier original «wp-config.php» dans ce nouveau dossier («/config/»), en faisant un copier-coller ou un glisser-déposer.
- Dans le dossier racine de WordPress, créez un autre fichier «wp-config.php» contenant le code ci-dessous, en renseignant le bon chemin, dans lequel se trouve le fichier original. Remplacez «xxxxxx» par votre chemin serveur.
<?php
include('/xxxxxx/config/wp-config.php');
Voilà, vous avez protégé votre fichier de configuration WordPress ! Et pour aller encore plus loin, retrouvez toutes nos astuces pour sécuriser WordPress sur le blog.
Vous ne souhaitez pas vous en occuper vous-même ? Contactez-nous dès maintenant pour confier cette mission à un expert WP Trigone. Nous pourrons également faire le point sur la sécurisation et la puissance de votre site WordPress !