Le Blog du numérique

Autorisations de fichiers WordPress : 8 choses à savoir

Les autorisations de fichiers WordPress jouent un rôle essentiel dans la sécurité globale de votre site Web WordPress, c'est pourquoi vous devez vous assurer de les faire correctement. Dans cet article, nous couvrirons huit choses à savoir sur les autorisations de fichiers WordPress, y compris ce qu'elles signifient, comment elles sont déterminées et les recommandations.

Que vous soyez un blogueur ou un propriétaire d'entreprise, la simplicité de WordPress signifie qu'il s'agit de loin du système CMS le plus populaire. Si vous envisagez d'utiliser la plate-forme, vous devez cependant accorder à la sécurité de WordPress l'attention qu'elle mérite. Bien qu'il existe de nombreux facteurs différents à prendre en compte, la configuration des autorisations de fichiers correctes devrait être l'un des principaux éléments de votre agenda.

Que sont les autorisations de fichiers WordPress ?

En un mot, les autorisations de fichiers WordPress déterminent qui peut accéder aux fichiers sur votre site WordPress. Les autorisations de fichiers sont essentiellement un moyen d'organiser et de gérer les fichiers et les dossiers qui résident sur le serveur de votre site Web (où réside votre site Web).

Autorisations de fichiers WordPress

8 choses à savoir sur les autorisations de fichiers

Lorsqu'il s'agit de comprendre et de configurer les autorisations de fichiers sur votre site WordPress, il y a quelques choses importantes à savoir.

1. Les autorisations de fichiers ont un impact sur la sécurité de votre site

La première chose à comprendre à propos des autorisations de fichiers est leur impact sur la sécurité de votre site Web. Le fait de ne pas définir correctement les autorisations de fichiers peut exposer votre site Web WordPress et les visiteurs de votre site à des risques importants.

Sans les bonnes autorisations de fichiers, les pirates peuvent accéder à votre compte administrateur et potentiellement à l'ensemble de votre serveur. Cela peut leur permettre de lire, d'écrire et d'exécuter des fichiers sensibles, y compris l'ajout de codes malveillants qui exécutent des logiciels malveillants dans le backend de votre site.

Sur une note distincte, si votre site WordPress est utilisé par plusieurs utilisateurs (tels que des contributeurs d'articles de blog ou d'articles d'actualité), les bonnes autorisations de fichiers empêchent la menace d'erreurs internes (honnêtes ou non) tout en offrant une couche de protection pour eux. aussi contre les agresseurs.

Bien que les autorisations de fichiers ne soient pas le seul élément clé des meilleures pratiques de sécurité de WordPress, elles garantissent la bonne exécution des fichiers, ce qui en fait un aspect clé du fonctionnement du site.

2. Lire, écrire et exécuter : comment les autorisations de fichiers sont déterminées

Les serveurs sont constitués de répertoires (ou dossiers) et de fichiers. Des autorisations peuvent être créées pour dicter qui peut « lire (r) », « écrire (w) » et « exécuter (x) » un fichier et/ou un répertoire spécifique. Il existe de légères différences entre les autorisations rwx en ce qui concerne les autorisations de fichiers et les autorisations de répertoires.

Codes d'autorisation de fichier

  • Les autorisations de lecture (r) déclarent si l'utilisateur est autorisé à lire le fichier.
  • Les autorisations d' écriture (w) déclarent si l'utilisateur a le droit d'écrire ou de modifier le fichier.
  • Les autorisations d' exécution (x) déclarent si l'utilisateur a le droit d'exécuter le fichier et/ou de l'exécuter en tant que script. Il est important de noter qu'un fichier ne dispose pas d'autorisations de suppression.

Codes d'autorisation de répertoire

  • Les autorisations de lecture (r) déclarent si l'utilisateur a le droit d'accéder au contenu du dossier/répertoire identifié.
  • Les autorisations d' écriture (w) déclarent si l'utilisateur a le droit d'ajouter ou de supprimer des fichiers contenus dans le dossier/répertoire.
  • Les autorisations d' exécution (x) déclarent si l'utilisateur a le droit d'accéder au répertoire réel et d'exécuter des fonctions et des commandes, y compris la possibilité de supprimer les données dans le dossier/répertoire.

3. Propriété du fichier

Maintenant, avant de nous plonger dans la compréhension des autorisations appropriées qui doivent être définies pour un site WordPress, il est important de connaître les différentes formes de propriété d'un fichier.

  • L'utilisateur qui est le propriétaire du fichier et/ou l'utilisateur qui a créé le fichier est appelé Utilisateur .
  • L'utilisateur ou les utilisateurs qui appartiennent à un groupe dont le fichier et/ou le répertoire fait partie est appelé le groupe . Un groupe est une classification définie d'un ensemble d'utilisateurs. Un exemple de groupe pourrait être les utilisateurs qui ont accès à FTP.
  • L'utilisateur ou les utilisateurs qui ne sont pas propriétaires et n'appartiennent pas à un groupe identifié sont appelés Autres .

Jetez un œil à l'illustration ci-dessous pour voir comment ces rôles de propriété et ces paramètres d'autorisation s'associent pour déclarer qui a quelle autorité pour faire ou voir quelque chose concernant les fichiers sur votre serveur.

Autorisations de fichiers WordPress

4. Numéros et codes d'autorisation de fichier : ce qu'ils signifient

Il peut être utile de comprendre qu'il existe une méthode à la folie dans les chiffres qui apparaissent dans le cadre des paramètres d'autorisations. Ces chiffres concernent les autorisations de lecture, d'écriture et d'exécution. Ces valeurs de points sont en fait dérivées du système binaire qui est à la base des systèmes informatiques (1 et 0).

  • Les autorisations de lecture (r) ont une valeur en points de 4
  • Les autorisations d' écriture (w) ont une valeur en points de 2
  • Les autorisations d' exécution (x) ont une valeur en points de 1

Quelle que soit la combinaison d'autorisations de lecture, d'écriture et d'exécution que vous attribuez à un fichier ou à un répertoire, il est facile de déterminer laquelle des trois autorisations a été attribuée. Par exemple:

  • Si vous voyez le chiffre « 6 », vous devez automatiquement savoir que les SEULS chiffres (4, 2, 1) que vous pouvez combiner pour obtenir la valeur 6 sont les chiffres 4 et 2. Par conséquent, le chiffre 6 représente les autorisations de lecture et d'écriture. étant assigné.

Maintenant, dans cette image ci-dessus, vous verrez que les autorisations de fichiers et de répertoires se présentent sous la forme de nombres à 3 chiffres. C'est là que la propriété entre en jeu. Le premier chiffre fait référence à l' Utilisateur . Le deuxième chiffre fait référence au Groupe . Et le dernier chiffre fait référence à Autres .

Alors maintenant, nous pouvons décomposer le numéro d'autorisation de fichier de 644 comme suit :

  • Le propriétaire du fichier peut lire (r) (4 valeurs) et écrire (w) (2 valeurs) pour un total de 6 valeurs.
  • Le groupe qui est attaché au fichier ne peut lire que (r) (4 valeur) pour un total de 4 valeur.
  • Tout le monde ne peut lire que (r) (valeur 4) pour un total de 4 valeurs.

Ainsi, lorsque vous voyez le chiffre 7 , vous devez immédiatement savoir que les trois autorisations (4+2+1) ont été accordées à ce groupe de propriété . Si vous voyez le numéro 3 , vous savez que, pour une raison étrange, quelqu'un a défini les autorisations du fichier pour avoir des autorisations d'écriture et d'exécution (2 + 1), mais aucune capacité à lire le fichier.

5. Comprendre les codes d'autorisation de fichier communs

Tout comme dans l'exemple de la section précédente, une chaîne de trois chiffres est souvent utilisée pour indiquer les autorisations de fichiers. Plus précisément, lors de l'utilisation du chmod, des nombres octaux sont utilisés.

Certains des numéros d'autorisation de fichier les plus courants incluent :

  • 755 signifie que le propriétaire peut faire n'importe quoi tandis que d'autres peuvent lire et exécuter mais ne peuvent pas modifier le fichier. C'est idéal pour les fichiers publics.
  • 644 signifie que vous pouvez lire et écrire tandis que d'autres ne peuvent lire que.
  • 711 signifie que seul peut faire n'importe quoi avec le fichier tandis que les autres peuvent seulement exécuter.
  • 700 signifie que vous pouvez faire n'importe quoi alors que d'autres n'y ont pas accès. Ceci est mieux utilisé pour les répertoires privés et les éléments du backend.
  • 600 signifie que vous pouvez lire et écrire alors que les autres utilisateurs n'y ont pas accès. Ceci est idéal pour les fichiers texte privés.
  • 444 signifie que tout le monde peut lire.

Voici comment comprendre comment les numéros d'autorisation de fichier sont définis :

  • Le premier numéro est pour l' utilisateur .
  • Le second est pour le groupe .
  • Le troisième est pour les autres .

Ces huit chiffres sont utilisés pour exprimer des autorisations :

  • 0 pour aucune autorisation
  • 1 pour exécuter
  • 2 pour écrire
  • 3 pour exécuter et écrire
  • 4 pour lire
  • 5 pour exécuter et lire
  • 6 pour écrire et lire
  • 7 pour exécuter, écrire et lire

La combinaison de ces numéros dans l'ordre spécifique vous donne les numéros à trois chiffres que vous verrez lors de la définition des autorisations de fichiers.

6. Comment configurer les autorisations de fichier WordPress : FTP et cPanel

Avant de définir activement les autorisations de fichiers, vous devez d'abord savoir quel client vous utilisez pour la gestion des fichiers de votre site Web. Il existe généralement deux solutions principales : FTP et cPanel.

FTP

À l'aide d'un client FTP, vous souhaiterez définir les autorisations du fichier ou du dossier en utilisant chmod ou définir les autorisations dans le menu. Ouvrez simplement les fichiers et le dossier. À partir de là, la colonne Autorisations sera clairement indiquée.

Sur chaque fichier, une séquence de lettres et de traits d'union s'affiche. En caractères, vous pouvez voir n'importe lequel (singulier ou combiné) des éléments suivants. Encore une fois, pour récapituler, ces lettres représentent les actions suivantes :

  • La lettre 'r' pour indiquer que l'utilisateur peut Lire le fichier,
  • La lettre 'w' pour indiquer que l'utilisateur dispose des autorisations d' écriture ,
  • La lettre 'x'' pour indiquer que l'utilisateur peut exécuter les autorisations.
  • Un trait d'union '-' pour indiquer aucune autorisation.

Ils seront présentés d'une certaine manière pour montrer les paramètres des groupes et des utilisateurs individuels. Dans le menu du client FTP, cliquez simplement sur Définir les autorisations pour apporter les modifications nécessaires.

Autorisations de fichiers FTP

cPanel

L'utilisation du gestionnaire de fichiers de cPanel est tout aussi simple. Une fois dans le portail, vous pouvez cliquer sur Modifier l'autorisation pour faire apparaître une fenêtre contextuelle contenant un certain nombre de cases à cocher. À partir de là, il vous suffit de cocher et décocher les bonnes autorisations pour les utilisateurs et groupes appropriés par rapport à chaque fichier et dossier.

7. Recommandations d'autorisation de fichier WordPress

Lors de la gestion de votre site WordPress, il existe un certain nombre de types de fichiers et de dossiers différents qui peuvent nécessiter des modifications des autorisations pour les mesures de sécurité internes et externes.

Suggestions d'autorisation de fichier WordPress

Chemin relatif Recommandation
/ 755
wp-inclut 755
wp-admin 755
wp-admin/js 755
wp-contenu 755
wp-contenu/thèmes 755
wp-contenu/plugins 755
wp-contenu/téléchargements 755
wp-config.php 444
.htaccess 444

Corriger les autorisations de fichier pour le dossier wp-content

Le dossier WP-content contient les données relatives aux thèmes, plugins et téléchargements sur votre compte WordPress. La modification des fichiers de ce dossier aura un impact significatif sur le site Web, ce qui en fera une cible pour les pirates potentiels.

Il est essentiel de définir l'autorisation du dossier afin que seul le propriétaire puisse écrire et exécuter des autorisations.

Pour ce faire, définissez les autorisations du dossier wp-content sur 755 et les fichiers à l'intérieur sur 644 pour fournir la bonne protection contre les accès non autorisés.

Corriger les autorisations de fichiers pour wp-includes

Le dossier WP-includes stocke les fichiers de base nécessaires à l'API et au fonctionnement de votre site.

Le dossier wp-includes doit être défini sur 755.

Corriger les autorisations de fichiers pour les dossiers

Le réglage sur un 755 est généralement la meilleure option pour tous les autres dossiers, car cela vous donne un accès complet tandis que l'accès aux autres est limité.

Corriger les autorisations de fichiers pour wp-config

Le fichier wp-config est l'endroit où sont stockées les informations de configuration de base et de connexion à la base de données, ce qui en fait l'un des fichiers les plus importants de tous.

Utilisez une autorisation 444 pour les utilisateurs et les groupes pour lire le fichier mais pas pour écrire ou exécuter. C'est également le bon choix d'autorisation pour le fichier PHP dans la racine Wp.

8. Comment utiliser le plugin de sécurité iThemes pour vérifier vos autorisations de fichiers WordPress

iThemes Security est un plugin de sécurité WordPress conçu pour renforcer et verrouiller votre site WordPress. Le paramètre Autorisations de fichier répertorie les autorisations de fichier et de répertoire des zones clés du site.

Dans le menu du plug-in iThemes Security, visitez la page Paramètres , puis cliquez sur Outils . Localisez la section Vérifier les autorisations de fichier .

Vérifier les autorisations de fichier

Cliquez sur le bouton Exécuter pour voir votre autorisation de fichier. iThemes Security vous donnera alors un rapport sur l'état de vos autorisations.

Autorisations de fichier

Conclusion : Explication des autorisations de fichiers WordPress

Protéger votre site WordPress avec la bonne sécurité est absolument vital. Avec le bon ensemble d'autorisations de fichiers, vous pouvez être sûr que votre site Web n'est pas ouvert aux attaques causées par des modifications non autorisées des fichiers. De même, les utilisateurs ne causeront pas accidentellement de problèmes en faisant de simples erreurs.

Lorsque vos autorisations de fichiers sont prises en charge par les autres meilleures pratiques de sécurité WordPress, telles que le fait d'avoir un plugin de sécurité WordPress comme iThemes Security , votre site WordPress bénéficiera d'une meilleure protection que jamais.

Obtenez le contenu bonus : Un guide de la sécurité WordPress

Le post WordPress File Permissions : 8 Things to Know est apparu en premier sur iThemes .

Plus d'informations