Arborescence serveur (détail)Parmi les nombreux fichiers qui composent une installation de WordPress, le plus crucial et le plus sensible est sans aucun doute wp-config.php. En effet c’est à cet endroit que se trouve le nom d’usager et le mot de passe de la base de données. Inutile alors de dire l’importance de mettre à l’abri ce fichier de tout contact extérieur.

Le premier réflexe est souvent de se tourner vers le fichier .htaccess que l’on trouve au même niveau que notre wp-config.php, et c’est loins d’être une mauvaise idée. Il suffit alors d’un simple éditeur texte pour modifier ce même .htaccess dans le but de contrôler l’accès à wp-config.php en y ajoutant la règle suivante :

<files wp-config.php>
order allow,deny
deny from all
</files>

Mais si votre installation WordPress se trouve à la racine de votre dossier web sur votre serveur (comme « public_html ») il y a une solution qui est non-seulement plus rapide mais également à toute épreuve contre un accès en-dehors du serveur lui-même : vous n’avez qu’à déplacer wp-config.php dans le dossier parent, c’est à dire un niveau hiérarchique au-dessus d’où se trouve le reste de l’installation (voir l’image jointe à ce billet). Et le plus beau là-dedans? Ya rien d’autre à faire! WordPress va le chercher automatiquement à cet endroit s’il ne le trouve pas à l’emplacement habituel!

Commenter