WordPress permet, par défaut, de modifier les fichiers des thèmes et des plugins directement depuis l’interface d’administration. Bien que cette fonctionnalité soit pratique pour les développeurs, elle peut représenter un risque de sécurité majeur si un attaquant parvient à accéder à votre tableau de bord.
Le code pour désactiver l’éditeur de fichiers
Pour empêcher la modification des fichiers de vos thèmes et plugins via l’administration, vous pouvez ajouter les deux lignes suivantes dans votre fichier wp-config.php :
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
Ces deux lignes de code désactivent l’éditeur de fichiers dans l’interface d’administration de WordPress. Cela empêche non seulement la modification directe des fichiers via l’éditeur de thèmes et plugins, mais également l’installation, la suppression ou la mise à jour de plugins et thèmes via le tableau de bord.
Enjeux de sécurité
La possibilité de modifier les fichiers des thèmes et plugins directement depuis le tableau de bord représente un vecteur d’attaque potentiel pour les sites WordPress. Si un attaquant parvient à accéder à votre interface d’administration, il pourrait altérer les fichiers de votre site pour y insérer des codes malveillants, comme des backdoors ou des scripts d’attaque. En désactivant cette fonctionnalité, vous réduisez considérablement les risques de compromission de votre site par ce biais.
De plus, empêcher la modification des fichiers directement depuis l’administration permet de mieux protéger votre site contre les erreurs humaines. Les administrateurs, en particulier ceux qui ne sont pas des développeurs expérimentés, peuvent parfois modifier accidentellement des fichiers essentiels et provoquer des dysfonctionnements sur le site. Cette protection limite les risques liés à de telles erreurs.
Outils de sécurité et options similaires
De nombreuses extensions de sécurité pour WordPress, comme Wordfence, Sucuri ou encore iThemes Security, proposent des fonctionnalités similaires pour désactiver l’éditeur de fichiers et d’autres options liées à la sécurité. Ces outils permettent de renforcer la sécurité de votre site en limitant les actions qui peuvent être effectuées depuis l’administration, tout en vous offrant des protections supplémentaires contre les attaques.
Conclusion
Bien que la possibilité de modifier les fichiers de votre site depuis le tableau de bord puisse sembler utile dans certains cas, elle représente également un risque de sécurité majeur. En désactivant cette option dans le fichier wp-config.php, vous renforcez la sécurité de votre site en empêchant les modifications accidentelles ou malveillantes des fichiers essentiels. Cette démarche est recommandée pour tous les sites WordPress, en particulier ceux qui sont exposés à un grand nombre d’utilisateurs ou qui sont gérés par plusieurs administrateurs.