I. Introduction : vous, WordPress, dans les coulisses, vous cachez une épée à double tranchant.
Je me souviens de la première fois que j'ai été enWordPressVoir à l'arrière-planEditeur de thèmeQu'en est-il de la nouveauté de l'époque ? Cette page où vous pouvez modifier directement le code peut sembler un outil pratique pour les développeurs. Mais ce que vous ne savez peut-être pas, c'est que cette fonction, qui est activée par défaut, est aussi une épée suspendue au-dessus de la tête de la sécurité des sites web.
Un jargon circule dans les milieux de la sécurité :"Environnement de production, doit éteindre l'éditeur".. Il s'agit du fait qu'enwp-config.phpen ajoutant l'élémentdéfinir('DISALLOW_FILE_EDIT', true);Cette ligne de code. Aujourd'hui, nous n'allons pas nous contenter de vous expliquer le "comment", nous allons entrer dans le vif du sujet du "pourquoi". Vous verrez que fermer cette ligne de code, c'est bien plus que fermer une porte, c'est mettre en place une ligne de défense essentielle pour votre site.
II. panorama des risques : deux scénarios où la "commodité" se transforme en "désastre"
Les dangers de cet éditeur proviennent de deux directions principales : les attaques malveillantes externes et les erreurs humaines internes.
Scénario 1 : Installation d'une porte dérobée par un pirate informatique
Imaginez qu'un certain plugin que vous utilisez soit victime d'une faille de sécurité. Un pirate exploite cette vulnérabilité et vole le compte administrateur de votre site. Lorsqu'il se connecte, il trouve un "arsenal" - un éditeur de thème/plugin.
Ensuite, ils peuvent :
- lit. implanter une porte dérobée de type cheval de Troie: en
functions.phpLe fichier insère une ligne cachée de code malveillant, une chaîne de code qui leur permet de contrôler à distance l'ensemble de votre serveur à tout moment. - Altération du code du site webLa modification directe des fichiers de base de l'entreprise, comme l'insertion d'un morceau de code sur la page de paiement qui envoie secrètement les informations relatives à la carte de crédit du client à leur serveur.
- réaliserRÉFÉRENCEMENTpoisonDans le pied de page du site web et à d'autres endroits discrets, un grand nombre de liens de paris, de pornographie et d'autres spams sont ajoutés en vrac, ce qui entraîne le déclassement de votre site dans les moteurs de recherche, voire sa mise au placard.
Tous ces dégâts peuvent être causés en quelques minutes avec un éditeur conçu pour la "commodité".
Scénario 2 : "Raccourcis" pour les membres de l'équipe
Les risques ne viennent pas toujours de l'extérieur. Vous n'êtes peut-être pas le seul membre d'une équipe à disposer de privilèges d'administrateur.
- Mauvaise utilisation par les novicesUn nouveau rédacteur de contenu, par curiosité, clique sur l'éditeur de thèmes et supprime accidentellement un point-virgule, et le site entier peut immédiatement se transformer en "écran blanc" et être paralysé.
- Cauchemars du versionnageSi plusieurs développeurs modifient le code directement dans cet éditeur sans aucun enregistrement, en cas de bogues, il est presque impossible de remonter à la cause première du problème, et la correction deviendra comme une aiguille dans une botte de foin.
III. pierre angulaire de la sécurité : comprendre le principe du moindre privilège
Pourquoi renoncerions-nous volontairement à une fonction apparemment pratique ? Derrière cela se cache la loi inflexible de la sécurité de l'information - la loi de l'information.principe de moindre autorité (LAP).
L'idée centrale de ce principe est très simple :N'accordez que les permissions minimales nécessaires à l'accomplissement de la mission et ne donnez pas un seul point supplémentaire..
Appliquons ce principe au rôle d'administrateur de WordPress : la tâche principale d'un administrateur est de publier du contenu, de gérer les utilisateurs et d'installer et de mettre à jour les thèmes des plugins. Ces tâches.Aucun d'entre eux ne nécessite l'édition directe en ligne du code source.
L'éditeur de fichiers est essentiellement une autorisation "redondante" et puissante. Désactiverdisallow_file_editC'est le principe du moindre privilège qui a été strictement respecté : nous avons volontairement retiré ce privilège non essentiel et à haut risque, réduisant ainsi une énorme surface d'attaque pour l'ensemble du système.
IV. conclusion : c'est le résultat, ce n'est pas un choix
Après la dissection ci-dessus, la conclusion est claire : dans lawp-config.phpLa désactivation de l'éditeur de fichiers n'est pas une "option d'optimisation" à négocier, c'est une partie importante de tous les sites web WordPress officiellement lancés.le bilan de sécurité.
Il construit une barrière efficace contre les menaces internes et externes au prix d'une seule ligne de code. Désactiver cet éditeur est un signe de professionnalisme et de comportement responsable vis-à-vis de votre site web et des données de vos utilisateurs. N'oubliez pas que, sur la voie de la sécurité, il faut renoncer volontairement à certaines "commodités" en échange d'une longue tranquillité d'esprit.
Lien vers cet article :https://www.361sale.com/fr/80279/L'article est protégé par le droit d'auteur et doit être reproduit avec mention.
![Emoji[wozuimei]-Photonflux.com | Service professionnel de réparation de WordPress, dans le monde entier, réponse rapide](https://www.361sale.com/wp-content/themes/zibll/img/smilies/wozuimei.gif)
![Émoticône [baoquan] - Photon Wave Network | Services professionnels de réparation WordPress, couverture mondiale, réponse rapide](https://www.361sale.com/wp-content/themes/zibll/img/smilies/baoquan.gif)
简体中文 
English 
日本語 
Français 
Español 
Pas de commentaires