Sauvegarde des fichiers de configuration de WordPress

Que sont les sauvegardes de fichiers de configuration ?

WordPress possède un fichier spécial appelé wp-config.php qui stocke les informations de configuration sensibles de votre site Web.

Par défaut, le fichier wp-config.php stocke les informations suivantes :

  • Paramètres MySQL
  • Clés secrètes
  • Préfixe de la table de la base de données
  • ABSPATH

Les développeurs peuvent également stocker d’autres informations sensibles dans ce fichier.

Le fichier wp-config.php peut être sauvegardé manuellement, ou souvent, le fichier peut être sauvegardé automatiquement par un logiciel d’édition sans que le développeur en soit averti. Cela peut laisser le fichier et son contenu exposés aux attaquants.

Quels sont les risques de sécurité liés aux sauvegardes de fichiers de configuration ?

Comme indiqué ci-dessus, si une copie de sauvegarde du fichier wp-config.php est accessible au public par des attaquants, elle peut exposer des informations de configuration sensibles sur votre site Web.

Cela peut inclure le nom d’utilisateur et le mot de passe de votre base de données, qui, s’ils sont mal configurés, pourraient permettre à un attaquant d’accéder à l’intégralité du contenu de votre base de données, ce qui pourrait être dévastateur.

D’autres données sensibles, telles que les clés secrètes de WordPress et d’autres encore, pourraient également être exposées.

Comment vérifier si les sauvegardes des fichiers de configuration de votre site web sont exposées ?

Le scanner de sécurité WordPress WPScan

Notre scanner de sécurité WordPress WPScan à interface de ligne de commande peut détecter les fichiers wp-config exposés publiquement du point de vue extérieur d’un attaquant.

La commande à exécuter pour énumérer les fichiers wp-config publiquement exposés est :

wpscan --url example.com -e cb

Vous pouvez en savoir plus sur l’utilisation de l’outil WPScan CLI dans notre documentation utilisateur.

Plugin WordPress WPScan

Notre plugin de sécurité WordPress affichera un avertissement si le site Web expose publiquement des fichiers wp-config.*.

Conclusions

Le fichier wp-config.php contient des informations de configuration sensibles sur votre site Web WordPress et peut parfois être exposé publiquement par inadvertance.

Si elles sont exposées, les informations de configuration divulguées peuvent être utilisées pour faciliter d’autres attaques contre votre site Web ou ses utilisateurs.

Si votre fichier wp-config.php a été exposé publiquement, nous vous recommandons de changer vos clés secrètes et le mot de passe de la base de données.

Photo by Christina Morillo from Pexels

Author avatar
Yvon
https://oeildelynx.net