Comment corriger les autorisations de fichiers ou de dossiers WordPress – Procédure étape par étape (WordPress File & Folder Permissions)
Published on: January 26, 2021
Swati Nanda
9 mins read
Lorsque nous parlons de sécuriser notre compte WordPress, nous avons tendance à parler surtout de la sécurité des plugins et des extensions. La sécurisation des plugins et des extensions en est sans doute un aspect important. Mais ignorer complètement les autorisations de fichiers WordPress peut être extrêmement dangereux pour votre site WordPress.
Pour commencer, faites-nous savoir quelles sont les autorisations pour les fichiers WordPress. Les autorisations de fichiers WordPress sont essentiellement des autorisations permettant de gérer qui peut faire quoi aux fichiers et dossiers de votre site web. Sans oublier que le fait de disposer des bonnes autorisations renforce la sécurité de votre site et vous rend moins vulnérable.
Cependant, le plus souvent, les utilisateurs les ignorent après avoir configuré le site.
Comment allez-vous vérifier si votre site web dispose des bonnes autorisations pour les fichiers et les dossiers ? Le processus manuel impliquerait des heures de travail devant votre PC. Qui a le temps pour cela ? Personne.
Il doit donc y avoir un meilleur processus ; et il y en a un. Il suffit de lancer un scan avec le plugin WP Hardening. Il signalera tous les fichiers et dossiers de votre site web dont les autorisations sont vulnérables.
Le plugin WP-Hardening signale les autorisations de fichiers vulnérables dans un site web
Autorisations recommandées pour les fichiers WordPress
Ne pas définir les autorisations de fichiers et de dossiers pourrait permettre à un attaquant d’exploiter facilement la boucle en lui donnant un accès non autorisé à votre compte.
Cela pourrait également permettre à tort aux utilisateurs de lire, écrire et exécuter des fichiers sensibles sur votre site. Ils peuvent ainsi modifier les paramètres de votre site et même installer des portes dérobées.
En outre, de mauvaises autorisations permettent aux pirates d’injecter des codes malveillants qui pourraient exécuter certains logiciels malveillants sur votre site.
Ainsi, avec des autorisations de fichiers appropriées, vous ajoutez non seulement un niveau de sécurité supplémentaire à votre compte, mais vous le protégez également contre les attaques éventuelles de personnes non autorisées.
Guide connexe – Compléter le guide étape par étape de la sécurité WordPress (Réduire le risque de se faire pirater de 90%)
Outre les raisons de sécurité, des autorisations de fichiers erronées peuvent également entraîner des erreurs dans l’accès et l’exécution de ces fichiers. Certains services et serveurs ont besoin de certaines autorisations pour fonctionner efficacement sur/avec votre site web.
Sans ces autorisations, ils afficheront des messages d’erreur sur votre écran et peuvent même endommager votre site. Ainsi, pour le bon fonctionnement des différents services, vous devez leur donner l’autorisation appropriée.
Vous pouvez définir les autorisations de fichiers soit par FTP, soit par chmod. J’ai mentionné ces deux méthodes ci-dessous :
Comment définir les autorisations de fichiers WordPress en utilisant le FTP
Regardez cette vidéo pour une solution rapide !
Correction des autorisations de fichiers et de dossiers WP
En utilisant des clients ou des programmes FTP, vous pouvez facilement modifier les paramètres de permission d’un fichier ou d’un dossier. La fonction pour le faire est appelée chmod ou set permissions qui se trouve dans le menu du programme.
- Lorsque vous ouvrez et visualisez les fichiers et les dossiers dans un client FTP, la colonne sous l’étiquette Permissions est celle sur laquelle nous travaillons.
- Pour chaque fichier, une combinaison de lettres et de traits d’union est utilisée dans la permission correspondante. Un exemple de cette combinaison est -rwxrw-r-. Les utilisateurs peuvent facilement décoder l’autorisation en tant que telle ; le premier trait d’union représente l’autorisation utilisée pour un fichier, et les lettres r, w et x représentent respectivement que l’utilisateur a des autorisations de lecture, d’écriture et d’exécution pour le fichier. Les trois caractères suivants signifient que le groupe d’utilisateurs n’a que des autorisations de lecture et d’écriture. Le trait d’union signifie que l’utilisateur ou le groupe particulier n’a pas les permissions d’exécuter le fichier. Les trois derniers caractères signifient que d’autres personnes ne peuvent que lire les fichiers, mais pas les écrire ou les exécuter.
- Vous pouvez simplement modifier ces autorisations en cliquant avec le bouton droit de la souris sur les fichiers et en sélectionnant l’option “Définir les autorisations” dans le menu.
Consultez notre blog détaillé sur les fichiers WordPress couramment piratés et la manière dont ils affectent votre site WordPress.
Comment définir les autorisations de fichiers WordPress à l’aide de cPanel
Grâce au gestionnaire de fichiers cPanel, vous pouvez voir les différents fichiers et leurs autorisations.
- Faites un clic droit sur les fichiers dont vous souhaitez modifier les autorisations, puis sélectionnez “Modifier l’autorisation“.
- Une case à cocher apparaîtra pour vous permettre de sélectionner les cases et de modifier les autorisations.
- Une fois que vous avez terminé, confirmez les modifications et vous pouvez y aller.
Autorisations pour les fichiers WordPress : Divers composants et fichiers et leurs autorisations appropriées
Autorisations de fichiers recommandées pour le contenu des wp
Ce dossier contient tous les thèmes, plugins et téléchargements vers votre compte WordPress. En général, l’édition des fichiers peut provoquer des erreurs et des dommages au site. La protection de ce dossier permet de s’assurer que les attaquants ne peuvent pas accéder au contenu fourni par l’utilisateur. La permission correcte pour les fichiers WordPress dans ce dossier est de 755, et tous les fichiers du dossier doivent en avoir 644. Ainsi, cela garantira que personne ne puisse écrire quoi que ce soit dans le dossier, à l’exception du propriétaire.
Autorisations de dossiers recommandées pour les wp-includes
Ce dossier comprend tous les fichiers de base et tous les fichiers nécessaires au bon fonctionnement de l’administration et de l’API de WordPress. L’autorisation appropriée pour ce dossier est 755.
Permissions de fichiers recommandées pour les contenus/téléchargements wp
En dehors de l’utilisateur, personne ne doit avoir de privilèges d’écriture sur les fichiers. Cependant, le contenu de wp doit pouvoir être écrit par www-data également. Cela peut être fait en donnant à un groupe un accès en écriture au contenu wp en spécifiant 755 et en ajoutant ensuite l’utilisateur au groupe www-data. Le fichier de contenu/téléchargements wp contient tous vos téléchargements vers le site web et doit donc être protégé. L’autorisation appropriée pour ce fichier peut être 755.
Autorisations de fichiers recommandées pour tous les fichiers
L’autorisation appropriée pour tous les fichiers dans WordPress doit être 644. Cela signifie que les utilisateurs ont des autorisations de lecture et d’écriture et que les groupes et autres ne peuvent que lire les fichiers. Cela garantira que personne ne peut modifier les fichiers, à l’exception du propriétaire.
Autorisations recommandées pour les dossiers WordPress
Les autorisations suggérées pour tous les dossiers sont de 755. Cela signifie que l’utilisateur dispose de droits de lecture, d’écriture et d’exécution et que seuls les groupes et les autres utilisateurs disposent de droits de lecture et d’exécution.
Guide connexe – Compléter le guide étape par étape de la sécurité de WordPress (Réduire le risque de se faire pirater de 90%)
Permissions de fichiers recommandées pour wp-config
Le fichier wp-config est l’un des plus sensibles de tout le répertoire puisqu’il contient toutes les informations sur la configuration de base et aussi les informations de connexion à la base de données. La permission appropriée pour ce fichier sera 400/440. Cela signifie que l’utilisateur et les groupes ont la permission de lire uniquement et que les autres ne pourront pas accéder au fichier.
Autorisation correcte pour le fichier PHP dans le wp-root
Ce fichier vide présent dans le wp-root cache le répertoire entier, et sans ce fichier, le répertoire entier sera nu. La permission de fichier suggérée sera 444. Cette permission donne l’autorisation de lecture à tous, y compris à l’utilisateur et au groupe.
| Fichiers / Dossiers | Autorisations |
| wp-content | 755 |
| wp-includes | 755 |
| All .php files | 644 |
| All folders | 755 |
| wp-config.php (public_html folder) | 400/440 |
| index.php (public_html folder) | 444/644 |
Voici une vidéo que vous devez suivre étape par étape pour sécuriser complètement votre site WordPress.
Conclusion
Les autorisations de fichiers WordPress sont nécessaires pour sécuriser votre compte. Si vous avez créé votre compte par vous-même, il est possible que vous ayez ignoré cette étape. Comme nous l’avons déjà mentionné, il s’agit d’une étape cruciale pour les raisons susmentionnées. Ignorer cette étape pourrait constituer une menace potentielle pour votre compte.
Outre les autorisations de fichiers, il existe d’autres règles de sécurité que vous devez absolument respecter. Pour simplifier le processus, vous pouvez utiliser le plugin WP Hardening d’Astra. WP Hardening est un outil de correction de la sécurité en un clic pour votre site WordPress. Vous pouvez corriger plus de 12 zones de sécurité (sécurité de l’administrateur et de l’API, divulgation d’informations, durcissement du serveur, etc.) avec ce plugin en appuyant simplement sur un bouton.
Pour garantir une sécurité encore plus avancée, déployez Astra sur votre site web. Chez Astra, nous nous efforçons de rendre le web plus sûr grâce à notre “Suite” d’outils de sécurité, qui comprend, entre autres, le WAF (Web Application Firewall), le scanner de logiciels malveillants, le VAPT (Vulnerability Assessment and Penetration Testing), le blocage des IP/Pays et bien sûr le nettoyage des logiciels malveillants, parmi d’autres fonctionnalités.
Comment Astra Web Application Firewall protège votre site WordPress
Swati Nanda
