🛡️Sécurité WordPress : Pourquoi interdire l'exécution de fichiers PHP dans le dossier /uploads/ ?

⚠️ Une faille méconnue mais critique

Le dossier wp-content/uploads/ de WordPress est destiné à stocker vos images, vidéos, PDF et autres médias. Mais par défaut, il est possible d’y exécuter des fichiers PHP — un risque majeur si un fichier malveillant y est déposé, volontairement ou via une faille de plugin.

🧨 Exemple d’attaque

Un hacker pourrait :

Uploader un fichier malicious.php
Puis y accéder via :
https://votre-site.fr/wp-content/uploads/2025/03/malicious.php

➡️ Résultat : exécution de code à distance, accès aux données, suppression de fichiers, création de comptes admin… bref, site compromis.

🔒 La solution : bloquer l’exécution PHP dans `/uploads/`

La meilleure pratique consiste à interdire toute exécution de fichiers PHP dans ce dossier.

✅ 1. Accédez à `/wp-content/uploads/`

Via FTP ou le gestionnaire de fichiers de votre hébergeur.

✅ 2. Créez un fichier nommé `.htaccess` (s’il n’existe pas)

✅ 3. Collez ce code à l’intérieur :

<FilesMatch "\.php$">
    Order Allow,Deny
    Deny from all
</FilesMatch>

🛠️ Ce que cela fait :

Bloque l’exécution de tout fichier .php
Sans empêcher l’affichage de vos images et documents
Fonctionne sur un serveur Apache (compatible avec la majorité des hébergeurs)

📌 En résumé

✅ Le dossier uploads ne devrait jamais exécuter de code.
🔥 Une faille dans un plugin peut permettre l’upload d’un fichier PHP.
🧯 Un simple fichier .htaccess peut bloquer ces attaques.
🔐 Cette pratique fait partie du « hardening » WordPress recommandé.

✍️ Besoin d’aide pour sécuriser davantage votre site WordPress ? Contactez-nous, on vous aide à dormir tranquille 😉

🛡️Sécurité WordPress : Pourquoi interdire l’exécution de fichiers PHP dans le dossier /uploads/ ?