WP-config est l'un des fichiers les plus puissants de votre site WordPress, et il joue un rôle important dans la façon dont WordPress fonctionne en coulisses.
Chez WPBeginner, nous travaillons avec WordPress depuis des années et nous avons découvert des astuces de configuration WordPress très utiles que la plupart des débutants ignorent.
Que vous ayez des problèmes de mémoire, que vous ayez besoin d'une meilleure sécurité ou que vous souhaitiez accélérer votre flux de travail de développement, les bons ajustements de wp-config peuvent transformer le fonctionnement de votre site.
Dans cet article, nous partagerons certaines des astuces de configuration WordPress les plus utiles qui vous aideront à dépanner, optimiser et sécuriser votre site WordPress.
Comment utiliser ces astuces de configuration WordPress ?
WordPress est livré avec un fichier de configuration puissant appelé wp-config.php. Il est situé dans le répertoire racine de chaque site WordPress et contient des paramètres de configuration importants.
Pour en savoir plus, consultez notre guide sur la façon de modifier le fichier wp-config.php dans WordPress.
Toutes les meilleures sociétés d'hébergement WordPress proposent une installation WordPress en 1 clic, ce qui signifie que vous n'aurez jamais besoin de modifier le fichier wp-config.php lors de l'installation. C'est la raison principale pour laquelle de nombreux utilisateurs ne connaissent pas la puissance de ce fichier.
Vous pouvez utiliser le fichier wp-config pour dépanner, optimiser et sécuriser votre site WordPress.
Le fichier wp-config.php est un outil puissant, et une petite erreur dans le code peut rendre votre site web inaccessible. Vous ne devriez modifier ce fichier que lorsque c'est nécessaire et toujours créer une sauvegarde WordPress complète avant d'apporter des modifications.
Cela étant dit, examinons quelques astuces pratiques de configuration WordPress que vous pouvez utiliser sur votre site web WordPress. Vous pouvez utiliser les liens rapides ci-dessous pour accéder directement aux astuces qui vous intéressent le plus :
- Les paramètres de configuration WordPress de base
- Ajout de clés de sécurité dans WordPress
- Changer le préfixe des tables WordPress
- Activer le débogage dans WordPress
- Changer l'adresse de votre site ou de WordPress
- Ignorer les permissions de fichiers
- Changer les paramètres de révision des articles
- Changer les paramètres de corbeille de WordPress
- Ajouter des constantes FTP/SSH à la configuration WordPress
- Autoriser la réparation automatique de la base de données
- Augmenter la limite de mémoire PHP
- Déplacer le répertoire wp-content
- Utiliser des tables d'utilisateurs personnalisées
- Activer le réseau multi-site
- Sécuriser votre fichier de configuration WordPress
1. Les paramètres de configuration WordPress de base
Par défaut, il vous suffit de renseigner les paramètres de la base de données lors de l'installation de WordPress. Si vous n'avez pas de fichier wp-config.php, vous serez invité à en créer un en renseignant les informations de votre base de données.
WordPress tentera d'enregistrer automatiquement ces paramètres en générant un fichier wp-config.php. Cependant, s'il échoue, vous devrez les ajouter manuellement.
Pour ce faire, vous devrez vous connecter à votre site Web à l'aide d'un client FTP. Une fois connecté, vous devrez renommer le fichier wp-config-sample.php en wp-config.php.
Après cela, vous pouvez continuer et modifier le fichier wp-config.php nouvellement créé. Vous devrez ajouter vos informations de base de données en modifiant les lignes suivantes :
define('DB_NAME', 'database-name');
define('DB_USER', 'database-username');
define('DB_PASSWORD', 'database-password');
define('DB_HOST', 'localhost');
N'oubliez pas d'enregistrer vos modifications et de téléverser le fichier sur le serveur.
2. Ajout de clés de sécurité dans WordPress
L'installation par défaut de WordPress ajoute automatiquement des clés de sécurité à votre fichier de configuration. Ces clés de sécurité sont utilisées pour ajouter une couche de sécurité supplémentaire à votre connexion WordPress et à l'authentification par cookie.
Vous pouvez toujours régénérer les clés de sécurité si vous pensez que quelqu'un accède à votre site Web sans authentification appropriée. La modification des clés de sécurité déconnectera tous les utilisateurs connectés.
define( 'AUTH_KEY', 'put your unique phrase here' );
define( 'SECURE_AUTH_KEY', 'put your unique phrase here' );
define( 'LOGGED_IN_KEY', 'put your unique phrase here' );
define( 'NONCE_KEY', 'put your unique phrase here' );
define( 'AUTH_SALT', 'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT', 'put your unique phrase here' );
define( 'NONCE_SALT', 'put your unique phrase here' );
Pour plus d'informations, consultez notre article sur les clés de sécurité WordPress et comment les utiliser.
3. Changer le préfixe des tables WordPress
Une installation WordPress par défaut typique ajoute un préfixe wp_ à tous les noms de table de base de données WordPress. Certains experts en sécurité WordPress pensent que la modification du préfixe des tables peut rendre votre base de données WordPress plus sécurisée.
Pour ce faire, vous devez modifier la ligne suivante dans votre configuration WordPress.
$table_prefix = 'wp_';
Si vous faites cela pour un site Web existant, vous devrez également modifier le préfixe de table dans votre base de données WordPress. Pour ce faire, consultez notre article sur la façon de changer le préfixe de la base de données WordPress.
4. Activer le mode de débogage dans WordPress
WordPress est livré avec une fonctionnalité de débogage pratique qui vous permet d'afficher ou de masquer les erreurs WordPress lorsque vous êtes en mode de débogage. Pour l'activer, vous devrez ajouter cette règle dans votre fichier de configuration WordPress.
define( 'WP_DEBUG', true );
Vous pouvez également activer le débogage tout en masquant les erreurs sur votre site Web et en les enregistrant dans un fichier journal à la place. Pour ce faire, ajoutez les lignes suivantes à vos paramètres de configuration.
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
define( 'WP_DEBUG_DISPLAY', false );
Cela créera un fichier debug.log dans le dossier wp-content de votre site Web et stockera toutes les erreurs et notifications de débogage dans le fichier journal.
5. Modifier l'adresse de votre site ou de WordPress
Normalement, vous pouvez définir vos URL WordPress et de site à partir de la page Paramètres » Général. Cependant, vous ne pourrez peut-être pas le faire si vous n'avez pas accès à votre site WordPress, si vous rencontrez des erreurs de redirection, ou si vous venez de déplacer votre site.
Dans ce cas, vous pouvez modifier vos URL de site et WordPress via le fichier wp-config.php en ajoutant les lignes suivantes :
define('WP_HOME', 'http://www.example.com');
define('WP_SITEURL', 'http://www.example.com');
N'oubliez pas de remplacer example.com par votre propre nom de domaine.
6. Remplacer les autorisations de fichiers
WordPress vous permet de remplacer les autorisations de fichiers si votre hébergeur a des autorisations restrictives pour tous les fichiers utilisateur. La plupart des utilisateurs n'en ont pas besoin, mais cela existe pour ceux qui en ont besoin.
define('FS_CHMOD_FILE', 0644);
define('FS_CHMOD_DIR', 0755);
Pour en savoir plus sur les autorisations de fichiers, consultez notre article sur la façon de corriger l'erreur d'autorisations de fichiers et de dossiers dans WordPress.
7. Modification des paramètres de révision des articles
WordPress dispose d'une fonctionnalité très utile de révisions de publication qui vous permet d'annuler les modifications apportées à vos articles et pages en revenant à une version précédente ou à une sauvegarde automatique.
Vous pouvez désactiver ou modifier les paramètres de révision des publications via le fichier de configuration. Voici différents paramètres de révision des publications que vous pouvez utiliser.
Vous pouvez modifier la fréquence à laquelle WordPress enregistre une sauvegarde automatique sous forme de révision en ajoutant la ligne suivante :
define('AUTOSAVE_INTERVAL', 120); // in seconds
Certains articles de votre site peuvent avoir des dizaines de révisions de publication, en fonction du temps qu'il a fallu pour les écrire. Si vous pensez que cette fonctionnalité vous gêne, vous pouvez limiter le nombre de révisions par article.
define('WP_POST_REVISIONS', 10);
Si, pour une raison quelconque, vous souhaitez désactiver complètement la fonctionnalité de révision des publications (ce qui n'est pas du tout recommandé), vous pouvez utiliser le code suivant pour désactiver les révisions des publications.
define( 'WP_POST_REVISIONS', false );
8. Modification des paramètres de corbeille de WordPress
WordPress est doté d'une fonctionnalité de corbeille appelée Corbeille. Lorsqu'un utilisateur envoie un article à la corbeille, il est toujours stocké sur votre site Web pendant les 30 jours suivants en tant que corbeille. Après ce délai, WordPress les supprime automatiquement définitivement.
Vous pouvez modifier ce comportement en modifiant le nombre de jours pendant lesquels vous souhaitez conserver la corbeille.
define( 'EMPTY_TRASH_DAYS', 15 ); // 15 days
Si cette fonctionnalité ne vous plaît pas, vous pouvez la désactiver en ajoutant la fonction ci-dessous :
define('EMPTY_TRASH_DAYS', 0 );
Remarque : Utiliser zéro signifie que vos articles seront supprimés définitivement. WordPress ne vous demandera pas de confirmation lorsque vous cliquerez sur Supprimer définitivement. Tout clic accidentel pourrait vous coûter cher...
Pour en savoir plus, consultez notre article sur la façon de limiter ou désactiver la fonctionnalité de vidange automatique de la corbeille dans WordPress.
9. Ajout des constantes FTP/SSH à la configuration WordPress
Par défaut, WordPress vous permet de mettre à jour le cœur de WordPress, les thèmes et les plugins depuis le tableau de bord d'administration. Certains hébergeurs exigent une connexion FTP ou SSH chaque fois que vous essayez de mettre à jour, ou installer un nouveau plugin.
En utilisant les codes, vous pouvez définir les constantes FTP ou SSH et ne plus jamais avoir à vous en soucier.
// forces the filesystem method: "direct", "ssh", "ftpext", or "ftpsockets"
define('FS_METHOD', 'ftpext');
// absolute path to root installation directory
define('FTP_BASE', '/path/to/wordpress/');
// absolute path to "wp-content" directory
define('FTP_CONTENT_DIR', '/path/to/wordpress/wp-content/');
// absolute path to "wp-plugins" directory
define('FTP_PLUGIN_DIR ', '/path/to/wordpress/wp-content/plugins/');
// absolute path to your SSH public key
define('FTP_PUBKEY', '/home/username/.ssh/id_rsa.pub');
// absolute path to your SSH private key
define('FTP_PRIVKEY', '/home/username/.ssh/id_rsa');
// either your FTP or SSH username
define('FTP_USER', 'username');
// password for FTP_USER username
define('FTP_PASS', 'password');
// hostname:port combo for your SSH/FTP server
define('FTP_HOST', 'ftp.example.org:21');
Remarque : N'oubliez pas de remplacer le chemin WordPress et ftp.example.com par vos propres informations d'hôte FTP.
10. Autoriser la réparation automatique de la base de données
WordPress est doté d'une fonctionnalité intégrée pour optimiser et réparer la base de données WordPress automatiquement. Cependant, cette fonctionnalité est désactivée par défaut.
Pour activer cette fonctionnalité, vous devez ajouter la ligne suivante à votre fichier de configuration WordPress.
define('WP_ALLOW_REPAIR', true);
Après avoir ajouté ceci, vous devez visiter l'URL suivante pour optimiser et réparer la base de données WordPress.
http://example.com/wp-admin/maint/repair.php
N'oubliez pas de remplacer example.com par votre propre nom de domaine. Vous verrez une page simple avec les options pour réparer ou réparer et optimiser la base de données. Vous n'avez pas besoin d'être connecté pour accéder à cette page.
11. Augmenter la limite de mémoire PHP
Certaines des erreurs WordPress les plus courantes sont causées par une mémoire PHP épuisée. Vous pouvez augmenter la limite de mémoire PHP via le fichier wp-config.php. Copiez simplement le code ci-dessous :
define('WP_MEMORY_LIMIT', '128M');
12. Déplacement du répertoire wp-content
WordPress vous permet de déplacer votre répertoire wp-content. Certains experts pensent que cela peut aider à renforcer la sécurité de WordPress.
Vous devrez ajouter le code suivant à votre fichier wp-config.php :
define( 'WP_CONTENT_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content' );
define( 'WP_CONTENT_URL', 'http://example/blog/wp-content');
define( 'WP_PLUGIN_DIR', $_SERVER['DOCUMENT_ROOT'] . '/blog/wp-content/plugins' );
define( 'WP_PLUGIN_URL', 'http://example/blog/wp-content/plugins');
N'oubliez pas de remplacer example.com par le nom de votre propre domaine.
13. Utiliser des tables d'utilisateurs personnalisées
Par défaut, WordPress enregistre toutes les données utilisateur dans les tables wp_users et wp_usermeta. En utilisant la fonction ci-dessous, vous pouvez spécifier la table où vous souhaitez que vos informations utilisateur soient stockées.
define('CUSTOM_USER_TABLE', $table_prefix.'my_users');
define('CUSTOM_USER_META_TABLE', $table_prefix.'my_usermeta');
14. Activer le réseau multi-sites
Chaque site WordPress est livré avec une fonctionnalité multisite intégrée qui vous permet de créer plusieurs sites WordPress en utilisant la même installation. Pour en savoir plus, consultez notre guide complet sur la façon d'installer et de configurer un réseau WordPress multisite : comment installer et configurer un réseau WordPress multisite.
Vous pouvez activer la fonctionnalité multisite en ajoutant la ligne suivante à votre fichier de configuration WordPress :
define('WP_ALLOW_MULTISITE', true);
15. Sécuriser votre fichier de configuration WordPress
Comme vous pouvez le voir, le fichier wp-config.php contient des paramètres WordPress vraiment importants. Par défaut, il est situé dans le dossier racine de WordPress, mais vous pouvez le déplacer. Il peut être déplacé en dehors de votre répertoire public_html, de sorte que les utilisateurs ne puissent pas y accéder. WordPress sait par défaut chercher dans d'autres répertoires si le fichier n'est pas trouvé dans le dossier racine de WordPress.
Vous pouvez également ajouter le code suivant à votre fichier .htaccess pour limiter l'accès à ce fichier.
# Protect wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Nous espérons que cet article vous a aidé à découvrir des astuces utiles de configuration WordPress que vous ne connaissiez pas. Vous voudrez peut-être aussi consulter notre méga liste de 57+ astuces, trucs et hacks WordPress les plus recherchés que vous pouvez utiliser sur votre site ou nos sélections des outils principaux pour les freelances, designers et développeurs WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Jiří Vaněk
Merci pour cet excellent article. Le point 2 m'a particulièrement intéressé, car j'ai constamment eu du mal à comprendre la fonction de ces clés de sécurité. Merci pour le lien vers du contenu supplémentaire dans l'article, où j'ai enfin pu en apprendre beaucoup plus sur cette fonction et mieux comprendre l'ensemble du problème. Concernant le point 4, est-il bon de laisser le journal de débogage activé, ou doit-il être activé uniquement en cas de problème ?
Support WPBeginner
In most cases it is recommended to not have debug mode active unless you are looking for an error on your site.
Admin
Jiří Vaněk
Merci pour votre réponse. C'était exactement le point sur lequel j'avais des doutes, car j'avais lu sur plusieurs sites que laisser le mode débogage et le journal de débogage activés en permanence pourrait ne pas être entièrement sûr. Je vous suis très reconnaissant de me l'avoir également confirmé. Grâce à vous, j'ai appris à utiliser le mode débogage efficacement, et cela m'a déjà aidé plusieurs fois. Je suis heureux d'avoir maintenant une clarté totale sur quand l'activer et le désactiver.
tareq khury
Bonjour et merci pour ce post important.
Ma question est où dois-je ajouter ces codes, dans le fichier config.php
mais à quelle ligne exactement.
cordialement
Support WPBeginner
Il n'y a pas de ligne spécifique, mais il est généralement préférable d'ajouter le code à la fin afin qu'il soit facile à trouver et à supprimer si vous le souhaitez à l'avenir.
Admin
Ali
Merci beaucoup. Mais je veux savoir quelque chose de plus détaillé sur le point 9. Où placer ce code et plus encore ?
Support WPBeginner
The code would go into your wp-config.php file
Admin
Gurjit Singh
Merci pour ce post utile.
Je cherchais ceci 10. Permettre la réparation automatique de la base de données.
Merci beaucoup.
Merci et cordialement,
Gurjit Singh
Support WPBeginner
Glad our article could help
Admin
Dimanche
Je compte sur vos tutoriels pour le développement de mon site web. Les problèmes ici sont que vous n'avez pas indiqué clairement où ces codes seront collés dans les différents environnements. Dans l'attente de votre réponse.
Sunny Sum
Je veux augmenter ma limite de délai d'attente du serveur, où puis-je trouver ce code ???
Stu Rader
Wow, vraiment génial. Cela a beaucoup aidé.
Je me bats avec une chose lors de la configuration de mon propre CDN (ce que ce qui précède a résolu à 98 % :).
J'essaie d'exclure un sous-dossier sur mon sous-domaine CDN car il provoque une violation d'accès.
J'ai essayé une demi-douzaine de directives NGINX CORS dans un bloc serveur .conf sans succès.
Je veux comprendre comment utiliser ce fichier dans le domaine principal plutôt que comme il est écrit ci-dessous :
L'accès à la police à l'adresse ‘https://cdn.mydomain.com/wp-content/themes/mytheme/includes/lib/assets/fonts/fontawesome/fontawesome-webfont.woff?v=4.7.0’ depuis l'origine ‘https://mydomain.com’ a été bloqué par la politique CORS : Aucun en-tête ‘Access-Control-Allow-Origin’ n'est présent sur la ressource demandée. L'origine ‘https://mydomain.com’ n'est donc pas autorisée à y accéder.
Merci si vous pouvez m'indiquer une solution ou des informations pertinentes que vous pourriez avoir !!
Stu
Hypez
Ils peuvent vérifier les informations dans le fichier wp-config.php si le mot de passe ou les noms de base de données correspondent et les modifier si ce n'est pas le cas.
Gopal
Mon site Web WordPress ajoute des nombres étranges en suffixe à l'URL de chaque page. Pourquoi cela se produit-il ? J'ai modifié les paramètres des permaliens pour afficher les noms des articles ; cela n'a pas aidé.
Pourriez-vous s'il vous plaît me guider ?
Voici quelques URL de pages de mon site :
Support WPBeginner
Essayez ces conseils de dépannage WordPress étape par étape et voyez si cela résout votre problème.
Admin
Alex
J'ai ce « problème » – pour moi, cela est dû au fait que Backup Buddy doit être exécuté en mode cron WP alternatif. La FAQ de Backup Buddy m'a dit d'ajouter ceci :
define(‘ALTERNATE_WP_CRON’, true);
à mon fichier wp_config.php, ce qui ajoute maintenant des nombres aléatoires, etc. aux URL.
C'est ça pour moi, car le supprimer l'arrête mais empêche également Backup Buddy de fonctionner correctement.
David Pascal
J'ai toujours aimé lire le contenu de ce site. Merci pour ces astuces géniales.
ugwu victor
J'utilise le plugin useronline… Quand je suis dans le tableau de bord useronline, je remarque que certains utilisateurs veulent accéder à mon CSS par défaut, télécharger des images avec leur navigateur ! J'ai donc peur qu'ils veuillent pirater mon site ! S'il vous plaît, aidez-moi à les arrêter
Exnius
Salut, super astuces, merci beaucoup. Très utile !
Garratt Campton
Journal d'erreurs WordPress –
Comment faire cela dans un environnement local ?
J'utilise actuellement DesktopServer (Xampp lite – Installe des sites avec l'extension .dev localement, par exemple « mysite.dev ») avec SourceTree (Git) – Cependant, essayer de trouver le chemin que je devrais utiliser pour mon fichier journal d'erreurs s'avère difficile. Puis-je utiliser un chemin d'URL complet tel que « http://mysite.dev/php_error.log » ? ou faut-il le chemin du fichier système « C:/Users/Garratt/Documents/mysite.dev/php_error.log » ?
L'équipe de WPBeginner
Oui.
Apprentissage de l'allemand Munich
Salut, merci pour le super résumé !
J'ai une question : est-ce que tout changement dans wp-config est immédiatement effectif ?
Angsuman Chakraborty
Oui, c'est immédiatement effectif
Nathan Pinno
J'ai une question : Comment transférer la propriété d'un site d'un utilisateur à un autre ? Par exemple, je l'ai configuré avec mon compte administrateur, mais je veux qu'un autre utilisateur soit l'administrateur principal et fasse les mises à jour et les publications. Je doute que je puisse simplement le définir comme administrateur et moi-même comme abonné et que ce soit fait, alors quelle est la bonne façon de procéder ?
L'équipe de WPBeginner
Oui, c'est une façon de faire. Un site WordPress peut également avoir plusieurs administrateurs.
Si vous souhaitez également leur transférer la propriété du domaine, de l'hébergement web et de la base de données, vous devrez créer un compte utilisateur pour eux dans votre panneau de contrôle d'hébergement web. Après cela, vous pourrez leur donner le contrôle complet sur le domaine, l'hébergement et la base de données également.
Nathan Pinno
Ils ont déjà tout ça, je les aide juste à redévelopper leur site web (car il n'a pas une bonne apparence actuellement ni n'est facile à mettre à jour pour le moment). J'ai trouvé ce thème d'église génial pour eux (car c'est le site web de mon église sur lequel je travaille), et je voulais voir à quel point il serait difficile de changer d'administrateurs. La dernière fois qu'un de mes sites avait plusieurs administrateurs, seul le premier administrateur (ID #1) pouvait mettre à jour les plugins, les thèmes et WordPress en général.
Anonyme
Je ne suis pas trop sûr mais d'habitude, vous devez le faire dans votre terminal comme : sudo adduser sudo.
john
Après avoir résolu l'erreur de base de données, je n'ai plus d'erreurs mais j'ai juste une page blanche sans code source ? S'il vous plaît, aidez-moi, que faire maintenant. Merci
Toufiq Hassan Shawon
Merci, ça m'aide beaucoup, pourquoi n'ajoutez-vous pas
define(‘WP_CACHE’, true);
roger
utile !
Alors, qu'en est-il de la sécurisation de votre fichier WP-Config ? merci
Oscar
Juste pour information, le nom d'hôte GoDaddy indiqué ne fonctionne pas (peut-être pas pour tout le monde) et l'option $_ENV non plus.
J'ai trouvé des instructions sur l'endroit où trouver mon nom d'hôte spécifique ici :
http://support.godaddy.com/help/article/39/viewing-your-databases-details?locale=en
Maganizo
Je ne vous remercierai jamais assez ! Vous avez abordé le cœur de tout travail en ligne de manière très claire ! Vous êtes de grands professeurs en effet ! On ne peut pas faire mieux que ça ! Écrivez plus !
brad
Salut les gars
Super site, super infos, je viens de le trouver. avec le sécurisé
Sécurisation de votre fichier WP-Config
où se trouve le code dont nous avons besoin ? s'il vous plaît
Brad
Bon
y a-t-il une configuration dans wordpress 3.5 pour que les fichiers téléchargés utilisent le WP_HOME ou WP_SITEURL défini ? merci
Heather Wood
Génial. Il y a tellement de choses sur wordpress que j'ignorais. Comme le code de réparation de base de données. C'est un excellent article. Je vais certainement le mettre en favoris.
yadicemil
Merci pour ces conseils utiles. Je suis débutant et j'ai un site web wordpress.org.
J'ai suivi vos instructions et modifié le fichier wp-config en copiant les clés sécurisées obtenues sur le site web : https://api.wordpress.org/secret-key/1.1/salt/
Après avoir placé le nouveau fichier de configuration dans le dossier WP-Admin sur le serveur, une erreur s'affiche : « Erreur d'analyse : erreur de syntaxe, T_VARIABLE inattendu... ».
Cette ligne est : « $table_prefix = ‘wp_’; » et elle n'a jamais été modifiée.
Comment puis-je corriger cette erreur ? Merci.
wpbeginner
@yadicemil Vous ne devez pas mettre ceci dans le dossier wp admin.
Mark Hedley
Like it
marco
Tu déchires, merci pour l'info
Tony Cosentino
Excellente information sur un domaine de configuration aussi important. Avec tous les piratages pharmaceutiques qui se produisent récemment, le dernier conseil est mon préféré. Protéger ce fichu fichier wp-config semble être la clé du palais de nos jours.
Merci pour l'effort de rassembler toutes ces informations en un seul endroit pour que nous puissions tous en bénéficier.
Cordialement
Tony
Aidan
Cool, c'est informatif et toujours un bon rappel si j'en oubliais certains.
Merci de partager !
Aminul Islam Sajib
Qu'est-ce que l'ajout de ces # protège wpconfig.php… au fichier .htaccess fait exactement ?
Dois-je faire autre chose après avoir déplacé .htacess de public_html vers le dossier racine ?
Personnel éditorial
Vous ne déplacerez jamais le fichier .htaccess. Ce fichier reste dans votre dossier public_html ou dans le dossier où WordPress est installé… Le code de ce fichier interdira tout accès au fichier wp-config.php depuis le web.
Vous pouvez déplacer le fichier wp-config.php dans le répertoire racine (celui au-dessus de public_html) pour ajouter une couche de sécurité supplémentaire. L'un ou l'autre serait bien… faire les deux est excessif.
Admin
Andrew Nacin
Pour référence, 3.0 n'inclut pas plus de clés de sécurité, ni les installations 2.9 n'étaient moins sécurisées en matière d'authentification.
Les quatre premiers sont des clés. Les quatre derniers sont des sels. Les sels manquaient de wp-config.php avant la version 3.0, mais nous avons en fait ajouté des sels il y a quelques versions. Nous les avons ajoutés à wp-config.php dans la version 3.0 afin de pouvoir les remplir facilement lors de l'installation, mais ils ne sont pas nécessaires.
Si les sels ne sont pas définis (ou restent par défaut, par exemple « Entrez une phrase unique ici »), WP génère simplement des chaînes aléatoires à utiliser comme sels et les stocke dans la base de données.
De plus, pour un journal d'erreurs, vous devriez plutôt utiliser ces constantes :
define( 'WP_DEBUG', true ); // Active le signalement des erreurs.
define( 'WP_DEBUG_DISPLAY', false ); // Masque les erreurs.
define( 'WP_DEBUG_LOG', true ); // Journalise les erreurs dans wp-content/error.log (ou utilisez @ini_set('error_log') )
Cela présente l'avantage supplémentaire d'exposer les notices PHP, qui fournissent aux développeurs des avertissements sur le code qui pourrait être amélioré ou contenir des erreurs.
Personnel éditorial
Merci Andrew. Je ne connaissais pas les clés SALT. Je l'ai juste vu dans la version 3.0 et j'ai pensé que c'était une nouvelle addition.
Admin
Adam W. Warner
Très belle rédaction, et facile à lire pour les débutants. Je vais envoyer les gens ici pour apprendre ;)
Ozh
$_ENV{DATABASE_SERVER} ??
La syntaxe ne me semble pas correcte ($_ENV[‘stuff’] peut-être mais {stuff} je ne pense pas) et je viens de vérifier, je n’ai trouvé aucun hôte auquel j’ai accès qui ait cela défini. Ce n’est certainement pas quelque chose de courant.
À part cela, bon résumé. Notez que WP ne cherche pas "dans d'autres répertoires" pour trouver wp-config.php, il remonte simplement d'un répertoire (ce qui, dans la plupart des cas, est en dehors de la racine du serveur).
gopalb
Merci…. c'est un très bon tutoriel… Pouvez-vous écrire un tutoriel détaillé étape par étape sur "Sécuriser votre fichier WP-Config" pour nous…
Personnel éditorial
The last two steps are pretty easy to follow, but sure will add that one to the list
Admin
Carlos
Excellent article comme toujours. J'aime particulièrement l'astuce du fichier .htaccess.
DaveK
Wow plenty there to get my teeth into, thanks WPB
Angie Bowen
Merci beaucoup pour toutes ces excellentes informations. C'est le côté de WordPress que je dois apprendre davantage, alors je vais utiliser ce post comme tremplin pour vraiment plonger.