Tout d'abord, pourquoi devrions-nous prêter attention à la sécurité des sites web ?
Beaucoup de gens construisent de bonnes WordPress Après la création du site web, la première étape consiste à choisir un thème, à installer des plugins et à embellir la page, mais avec l'augmentation du contenu et des visites sur le site, les risques de sécurité apparaissent progressivement. Les attaquants peuvent utiliser l'éditeur de thème ou de plugin dans le backend de l'application PHP Insertion d'un code malveillant dans un fichier qui entraîne une altération du site web ou un accès anormal à celui-ci.
Les conséquences les plus courantes sont les suivantes :
- La page est falsifiée et renvoie à des sites web illégaux ou polluants ;
- Le classement dans les moteurs de recherche diminue et les moteurs de recherche considèrent le site comme dangereux ;
- Le site est bloqué par le fournisseur d'hébergement, ce qui entraîne une interruption de l'accès.
Souvent, ces problèmes ne sont pas dus à un manque de compétences techniques, mais plutôt à des fonctions d'édition de documents non contrôlées.disallow_file_edit Vous pouvez améliorer la protection de votre site web à des points clés et réduire le risque d'être attaqué.
Deuxièmement, quel est l'éditeur du fichier d'arrière-plan de WordPress ?
Par défaut, WordPress permet aux administrateurs de modifier les fichiers du site web directement dans le backend.
Le chemin d'accès est le suivant :
- "Apparence" → "Editeur de thème"
- "Plugins" → "Éditeur de plug-ins"
Ces éditeurs montrent .php Code source de la documentation qui peut être directement modifié pour ajuster la fonctionnalité ou l'interface.
C'est pratique, mais cela cache des risques pour la sécurité. Toute personne disposant de privilèges en arrière-plan peut modifier les fichiers système, et les pirates peuvent même insérer des scripts de Troie en arrière-plan pour contrôler l'ensemble du site. Cela revient à laisser une "clé de secours" dans la zone centrale du site, ce qui augmente les risques.
Qu'est-ce que DISALLOW_FILE_EDIT ?
disallow_file_edit est une constante de sécurité intégrée à WordPress qui désactive l'édition de fichiers en arrière-plan.
Lorsqu'elle est activée :
- Le "Theme Editor" a disparu du menu du backend ;
- Le "Plugin Editor" n'est plus affiché ;
- Les fichiers du site web ne peuvent pas être modifiés directement dans le backend.
En termes simples, l'ajout d'une ligne de code empêche la manipulation des fichiers du site web via l'éditeur dorsal.
La plupart des développeurs professionnels ajoutent cette configuration avant la mise en ligne du site, en particulier pour les sites gérés par plusieurs personnes.
Ajouter correctement DISALLOW_FILE_EDIT.
Étape 1 : Trouver le fichier wp-config.php
wp-config.php est situé dans le répertoire racine de WordPress, qui est le même que le fichier wp-content répondre en chantant wp-admin Même niveau.
Il est possible d'y accéder en utilisant les méthodes suivantes :
- Utilisez le panneau d'administration du serveur (par ex. 1Panneau(Pagode) pour accéder au gestionnaire de fichiers.
- Utilisez un utilitaire FTP tel que FileZilla pour vous connecter au serveur et télécharger le fichier.
- Utilisez le gestionnaire de fichiers fourni par l'hôte pour les opérations directes.
Étape 2 : Ajouter le code
Trouvez-le dans le dossier :
/* C'est tout, arrêtez l'édition ! Bonne publication */
Ajouté ci-dessus :
define('DISALLOW_FILE_EDIT', true) ;
Enregistrer et télécharger pour écraser le fichier original.
Étape 3 : Vérifier si les paramètres sont pris en compte
Connectez-vous au backend, ouvrez le menu "Apparence", et constatez que "Theme Editor" a disparu ; "Plugin Editor" n'est plus affiché dans le menu "Plugins". Plugin Editor" n'est plus affiché dans le menu "Plugins".
À ce stade, la fonction d'édition de fichiers en arrière-plan a été désactivée, ce qui réduit efficacement le risque de falsification.
V. Autres méthodes d'édition de documents après la désactivation de l'édition en arrière-plan
![图片[7]-启用DISALLOW_FILE_EDIT,杜绝恶意代码编辑](https://www.361sale.com/wp-content/uploads/2025/10/20251029143531491-image.png)
Après avoir fermé l'éditeur backend, le code peut encore être modifié de manière sécurisée :
Méthode 1 : Utiliser FTP ou le panneau du serveur
faire passer (un projet de loi, une inspection, etc.) FTP Ou bien le panneau d'accès au répertoire du site, l'édition locale et ensuite le téléchargement des fichiers, l'opération est sûre et peut conserver des sauvegardes de fichiers pour réduire le risque.
Méthode 2 : Utiliser les sous-thèmes (Thème enfant)
Les thèmes enfants peuvent conserver les modifications personnalisées lorsque le thème parent est mis à jour, ce qui empêche les mises à jour d'écraser les fichiers modifiés.
Idéal pour les utilisateurs qui modifient fréquemment les fichiers de thème.
Méthode 3 : Utiliser le plug-in Code Snippets (Code Snippets)
Le plugin vous permet de gérer des snippets personnalisés dans le backend sans avoir à modifier directement les fichiers PHP, ce qui rend son utilisation facile et sécurisée.
Précautions à prendre lors de l'utilisation de DISALLOW_FILE_EDIT
![图片[8]-启用DISALLOW_FILE_EDIT,杜绝恶意代码编辑](https://www.361sale.com/wp-content/uploads/2025/10/20251029143654296-image.png)
- Assurez-vous qu'une méthode d'accès aux fichiers est disponible, telle que FTP ou un outil du panel.
- Veillez à l'intégrité grammaticale lors de l'insertion du code et évitez d'omettre les points-virgules ou les guillemets afin d'éviter les pages blanches sur votre site web.
- Cette ligne de code ne protège pas entièrement le site et doit être adaptée :
- Mises à jour régulières de WordPress, des thèmes et des plugins
- Mots de passe forts et double authentification
- Plug-ins de sécurité et sauvegarde des données
VII. résumé
La sécurité d'un site web est comme les fondations d'un bâtiment : plus les fondations sont solides, moins il y aura de problèmes par la suite.
define('DISALLOW_FILE_EDIT', true) ; Vous pouvez fermer le portail d'édition de fichiers en arrière-plan pour réduire le risque d'abus et d'attaques potentielles.
Maîtrisez cette opération pour ajouter une couche de protection supplémentaire à votre site web. Cette ligne de code est une protection de base nécessaire pour les sites gérés par plusieurs personnes ou les sites ayant des exigences de sécurité.
Pour plus de conseils sur l'optimisation de la sécurité de WordPress et l'expérience de la construction de sites, visitez le site 361sale Site officielObtenez des tutoriels pratiques et des solutions de sécurité pour rendre votre site web plus stable.
Lien vers cet article :https://www.361sale.com/fr/79321/L'article est protégé par le droit d'auteur et doit être reproduit avec mention.
![表情[wozuimei]-光子波动网 | WordPress教程、Elementor教程与故障修复](https://www.361sale.com/wp-content/themes/zibll/img/smilies/wozuimei.gif)
![表情[baoquan]-光子波动网 | WordPress教程、Elementor教程与故障修复](https://www.361sale.com/wp-content/themes/zibll/img/smilies/baoquan.gif)
Pas de commentaires