Accueil/Document/WordPress/Sécurité et maintenance du site web/Sécurité du site web/Détails du contenu

Désactiver l'édition des fichiers du backend de WordPress et cacher l'adresse de connexion au backend

2 minutes de lecture
Jiangsu
2025-10-21
6,819
Je reçois une commission lorsque vous achetez via les liens ci‑dessous, sans frais supplémentaires pour vous.

Outre les mises à jour régulières, WordPress dispose de deux paramètres de sécurité "peu coûteux et très efficaces" :Désactiver l'édition de fichiers en arrière-planetCacher l'adresse de connexion au backstage. Ces deux opérations peuvent couper directement les voies d'invasion les plus couramment utilisées par les pirates (telles que la modification des fichiers centraux par des failles et le cassage violent des mots de passe de connexion), et la configuration est suffisamment simple pour que les novices puissent facilement l'effectuer. Cette section explique en détail les étapes et les principes spécifiques.

I. Pourquoi ces deux paramètres ?

Deux des moyens les plus courants de pirater les sites WordPress sont les plus répandus :

  1. Implanter un code malveillant en modifiant des fichiers en arrière-planPar défaut, WordPress permet aux administrateurs de modifier le code des thèmes et des plugins directement en arrière-plan ("Apparence → Éditeur de thème" "Plugins → Éditeur de plugin"). Une fois qu'un pirate obtient les privilèges d'administrateur par le biais d'une faille, il peut modifier les fichiers principaux, implanter des virus, des portes dérobées ou altérer le contenu par le biais de cette fonctionnalité.
  2. Connexion par force bruteL'identifiant par défaut de WordPress est 域名/wp-admin Ou 域名/wp-login.php(uniforme sur le réseau), le pirate utilisera un programme pour scanner en masse cette adresse et tentera d'utiliser des noms d'utilisateur courants (tels que admin) et des connexions avec des mots de passe faibles pour contrôler le site une fois qu'il a réussi.

Configuration 1 : Désactiver l'édition de fichiers en arrière-plan (5 minutes)

Après avoir désactivé l'édition de fichiers, les entrées "Theme Editor" et "Plugin Editor" dans le backend disparaîtront, ce qui empêchera les pirates (ou les administrateurs malavisés) de modifier le code à partir de la racine.

Étape 1 : Localiser et modifier wp-config.php papiers

wp-config.php Il s'agit du fichier de configuration principal de WordPress, qui stocke les informations relatives à la base de données et d'autres paramètres clés, et sa modification doit être effectuée à l'aide de l'outil de gestion des fichiers du serveur :

  1. Connectez-vous au panneau de contrôle de votre serveur (par exemple, Pagoda Panel) et localisez le répertoire racine de votre site web (généralement le répertoire wwwroot/你的域名/)。
  2. Dans le répertoire racine, trouvez le fichier wp-config.php Cliquez avec le bouton droit de la souris sur le fichier et sélectionnez "Editer" (si vous utilisez un outil FTP, vous pouvez le télécharger localement et le modifier avec Notepad avant de le télécharger).

Étape 2 : Ajouter un code de désactivation

Dans wp-config.php Dans le fichier, trouvez "/* Ok, c'est tout, arrêtez d'éditer ! Amusez-vous bien à l'utiliser ! */La ligne de code "/*" qui s'y trouveci-dessusCollez le code suivant :

// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);

Étape 3 : Sauvegarde et vérification des résultats

  1. Enregistrez le fichier et fermez l'éditeur.
  2. De retour dans le backend de WordPress, après avoir rafraîchi la page :
    • Allez dans le menu Apparence et l'option Editeur de thème a disparu.
    • Allez dans le menu "Plugins" et l'option "Plugin Editor" a disparu.
    Si vous le voyez encore, vérifiez que le code est collé correctement (notez que les symboles sont des demi-coins anglais et que la position est au-dessus de la ligne spécifiée).

III. installation 2 : cacher l'adresse de connexion en arrière-plan (plus facile avec un plugin)

Masquer l'adresse de connexion ne revient pas à supprimer l'adresse par défaut, mais à ajouter un nouveau portail de connexion personnalisé (par ex. 域名/my-login), tout en bloquant l'option par défaut wp-admin La page de connexion (qui renverra à une erreur 404 en cas d'accès), afin que les pirates ne puissent pas trouver le portail de connexion.

Plugin recommandé : WPS Hide Login (gratuit, léger)

Désactiver l'édition de fichiers dans le backend de WordPress et cacher l'adresse de connexion au backend - LikaCloud
  1. Installation des plug-insPour ce faire, il suffit de cliquer sur "Add-ins→Install Add-ins" en arrière-plan, de rechercher "WPS Hide Login", de cliquer sur "Installer" et sur "Activer".
  2. Mise en place d'une adresse de connexion personnaliséeAprès l'activation, allez sur la page "Paramètres→WPS Hide Login", et dans la boîte de saisie "Login URL", remplissez le chemin personnalisé que vous souhaitez définir (nous vous suggérons de le garder simple et mémorable, comme). myadmin"login2023").
    • Exemple : Entrer dashboardLa nouvelle adresse de connexion est 域名/dashboardL'"URL de redirection" peut être laissée par défaut. Il suffit de laisser l'"URL de redirection" par défaut (les pirates seront redirigés vers une page 404 lorsqu'ils accèderont à l'ancienne adresse).
  3. Enregistrer et mémoriser la nouvelle adresseCliquez sur "Enregistrer les modifications" et le système prendra effet automatiquement.Veillez à noter immédiatement votre nouvelle adresse de connexion(Il est recommandé de l'enregistrer dans un bloc-notes ou un mémo de téléphone portable) pour éviter de l'oublier et de ne pas pouvoir se connecter.

Vérifier les effets cachés

Désactiver l'édition de fichiers dans le backend de WordPress et cacher l'adresse de connexion au backend - LikaCloud
  1. avec une nouvelle adresse (par exemple 域名/dashboard) Testez la connexion pour confirmer que vous pouvez accéder correctement au backend.
  2. Accès à l'adresse par défaut 域名/wp-admin Ou 域名/wp-login.phpS'il est caché, il devrait afficher une erreur 404 ou sauter à la page d'accueil, ce qui signifie qu'il a été caché avec succès.

IV. considérations clés (éviter les erreurs opérationnelles)

A propos de la désactivation de l'édition de fichiers :

  • N'affecte pas l'utilisation normaleLes fichiers peuvent toujours être édités via FTP ou le panneau du serveur lorsqu'ils sont désactivés (seule l'édition visuelle en arrière-plan est désactivée), sans effet sur les utilisateurs normaux.
  • Que se passe-t-il si je dois modifier le code ?Si vous avez besoin de modifier le code du thème/plugin ultérieurement, vous pouvez le supprimer temporairement. wp-config.php Le code de désactivation ajouté au code, modifiez-le et ajoutez-le à nouveau.
  • Les débutants doivent veiller à modifier le code manuellementMême si l'édition n'est pas désactivée, il n'est pas recommandé aux novices de modifier le code en arrière-plan (cela peut faire planter le site).

A propos du masquage de l'adresse de connexion :

  • N'oubliez pas la nouvelle adresse.: Il s'agit du problème le plus courant ! Si vous avez oublié votre adresse de connexion personnalisée, vous devez la supprimer à l'aide de l'outil de gestion des fichiers du serveur. wp-content/plugins/wps-hide-login (l'adresse de connexion par défaut est restaurée pour prendre effet après la suppression du plugin).
  • Ne le changez pas trop souvent: Le fait de changer fréquemment d'adresse de connexion peut entraîner une confusion dans votre mémoire, il est donc recommandé de la configurer pour une utilisation à long terme.
  • Plus de sécurité grâce à des mots de passe fortsLa dissimulation de l'adresse ne fait que compliquer la tâche des pirates, et il faut toujours s'assurer que le mot de passe de l'administrateur est suffisamment complexe (voir la section 11.2).

V. Résolution des problèmes courants

1) Que se passe-t-il si je veux rétablir l'édition après l'avoir désactivée ?

  • rééditer wp-config.php supprimer le fichier define('DISALLOW_FILE_EDIT', true); Le code, lorsqu'il est sauvegardé, est restauré par l'éditeur backend.

2. je ne peux pas me connecter à partir de mon téléphone portable ou du plugin après avoir masqué mon adresse de connexion ?

  • Certains plugins d'administration mobile (par exemple l'application officielle de WordPress) peuvent s'appuyer sur une adresse de connexion par défaut. Vous pouvez donc cocher la case "Autoriser l'accès à l'API REST" dans les paramètres de WPS Hide Login (généralement en bas des paramètres du plugin).

3. les pirates peuvent-ils encore trouver la nouvelle adresse de connexion ?

  • Évitez de divulguer votre adresse de connexion en public (par exemple, ne la mentionnez pas dans l'article). 域名/dashboard)。
  • Les chemins d'accès personnalisés peuvent être modifiés périodiquement (il suffit de les changer via la page des paramètres du plugin) afin de réduire davantage la probabilité de détection.

court

La désactivation de l'édition des fichiers et le masquage de l'adresse de connexion sont des mesures de sécurité qui font beaucoup de bien pour peu d'argent - elles n'affectent guère l'utilisation normale, mais sont efficaces pour bloquer les attaques de piratage les plus rudimentaires. N'oubliez pas que la désactivation de l'édition repose sur la modification des paramètres suivants wp-config.phpSi vous souhaitez masquer l'adresse à l'aide du plug-in WPS Hide Login, veillez à vérifier l'effet et à bien enregistrer l'opération.

Ces deux paramètres, associés à des mises à jour régulières et à des mots de passe robustes, peuvent constituer un filet de sécurité de base pour votre site web.

Tags.