Modification de wp*-config
L’accès à l’interface d’administration de WordPress ne donne pas accès au serveur en lui-même, cela peut juste faciliter la chose. Une des premières choses qu’un attaquant fera s’il arrive à accéder à l’interface d’admin, c’est d’injecter du code dans votre thème pour gagner l’accès au serveur.
Cela est rendu possible par la fonctionnalité « Éditeur » qui se trouve dans le menu « Apparence ». Cette fonction bien pratique permet d’éditer les fichiers de WordPress directement depuis WordPress lui-même. C’est top pour des petites modification CSS par exemple. Mais comme chaque pièce à deux faces, cette praticité est a ses revers au niveau de la sécurité. Je vous conseille donc de désactiver cette fonctionnalité via cette petite ligne dans le wp-config.php :
define('DISALLOW_FILE_EDIT', true);
Les mises à jour régulières valent aussi pour les thèmes que les plugins, car ils sont aussi potentiellement porteurs de failles.
WordPress dans ses versions récentes permet d’automatiser les mises à jour. Pour cela, tout se passe danswp-config.php
// autoriser toutes les maj auto (majeures et mineures) define('WP_AUTO_UPDATE_CORE', true); // automatiser seulement les maj mineures define('WP_AUTO_UPDATE_CORE', 'minor'); // et pour tout interdire define('WP_AUTO_UPDATE_CORE', false);
Et pour activer les mises à jour automatique pour les thèmes et plugins, il faut placer un filtre dans lefunction.php de votre thème :
// active les maj des plugins add_filter('auto_update_plugin', '__return_true'); // active les maj des thèmes add_filter('auto_update_theme', '__return_true');