LASHÔN - WordPress Création Sites Internet

Navigation Menu

Le php.ini pour WordPress – Optimiser et sécuriser son site ou blog

Le php.ini pour WordPress – Optimiser et sécuriser son site ou blog

Posted on 11 janvier 2016 in Internet | 1 comment

PHP.INI est un fichier de configuration du serveur PHP. Vous savez déjà que votre blog ou site WordPress fonctionne avec ce type de serveur. C’est pourquoi on choisit presque toujours un plan d’hébergement Web en Linux et non pas en Windows. Que fait-il ? Il détermine tout ce que vous indique le fichier phpinfo.php. Soit. Ce qui nous intéresse, c’est ce que peuvent en faire de simples blogueurs. Par exemple, nous allons définir un dossier d’erreurs, visible par les administrateurs plutôt que les internautes. Il peut aussi changer la capacité des scripts php de mémoire, donc la taille des uploads (images, mp3, sauvegardes ou importations de vos articles sous la forme du fichier d’exportation xml). On peut surtout encore définir des paramètres de sécurité et optimiser son blog.

Cet article fait partie de la série Sécurité et optimisation d’un blog WordPress. Il fait suite à Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat.

Avertissement : Si votre hébergeur fonctionne en Apache réel et non interprété en cgi (comme chez 1and1), vous pouvez utiliser les codes proposés pour votre .htaccess. Sinon, vous ne devez utiliser que ceux proposés pour le php.ini.

Le phpinfo

php

Configurer votre serveur PHP. Pour rappel, WordPress exige au minium une version PHP 5.3.1

Il vous donne toutes les informations inhérents à votre blog. Pour le voir, chargez en ligne un fichier phpinfo.php à la racine de votre blog (= dans le dossier où se trouve votre blog WP) avec ces seules lignes de code :

<?php phpinfo(); ?>

Ensuite

Masquer PHP

Ce n’est pas efficace extraordinairement mais il n’y a pas de petite précaution négligeable. On va truquer les apparence et faire en sorte que PHP ressemble à un autre langage. Évidemment, contre un hacker humain, ça ne sert à rien. Mais contre un script automatique…
Dans .htaccess ajoutez l’une de ces lignes :

# Afin que PHP ressemble à un autre langage
AddType application/x-httpd-php .asp .py .pl

ou

# Afin que PHP ressemble à un langage inexistant
AddType application/x-httpd-php .bop .foo .133t

ou

# Afin que PHP ressemble à du html
AddType application/x-httpd-php .htm .html

Puis renommez tous vos fichiers avec les extensions choisies.

Ou bien, encore plus simplement, dans votre php.ini ajoutez :

expose_php = Off

Cela cachera aux navigateurs la réponse header avec l’information X-Powered-By PHP/5.x.x. Autrement dit, ni version ni quoi.

http://wordpress.org/tags/phpini

Créer le fichier php.ini

Comme pour tout fichier : avec un éditeur de texte (avec Notepad pour Windows et Linux, Smultron pour Mac).

Ensuite protégez-le en ajoutant dans .htaccess :

<Files .php.ini>
order allow,deny
 deny from all
 </Files>

Augmenter la limite de mémoire

Oui mais sans exagérer hein ! Si vous tentez de passer en giga (mais pourquoi donc ?), par défaut WordPresss ramènera votre blog à 32M (ou 64M en multisites). D’autre part, votre hébergeur limite aussi cette capacité. La bonne nouvelle est que WP a prévu de tenir compte d’une limitation manuelle (fichier /wp-includes/default-constants.php ligne 37) :

	// set memory limits.
	if ( function_exists('memory_get_usage') && ( (int) @ini_get('memory_limit') < abs(intval(WP_MEMORY_LIMIT)) ) )
		@ini_set('memory_limit', WP_MEMORY_LIMIT);

f

LIRE

Quand son blog disparait parce que WordPress a mauvais caractère

Quand son blog disparait parce que WordPress a mauvais caractère

Posted on 16 décembre 2010 in Internet | 0 comments

La version 3.0.3 rend WP propre, sécurisé, fiable, mais hautain !

La page blanche

Disparition

Un blog exige de la maintenance, sans quoi un jour il disparaît

Certains l’auront peut-être remarqué, mon blog avait disparu cette nuit jusqu’en début d’après midi. Une page blanche le remplaçait. Plus exactement, j’avais installé une page index.html de maintenance en attendant de pouvoir résoudre le problème. Mais pourquoi, diable, nos blogs disparaissent-ils parfois sans que l’on soit comptable d’une erreur de manipulation ?

Hier j’ajoute un sous-domaine pour mon site et lui détermine un CNAME. Rien à voir avec mon domaine principal. Je n’y touche pas. Je n’effectue aucune modification par FTP sur aucun fichier, rien. Dix minutes plus tard plus tard s’installe un grand vide sur lashon.fr, une épure, la page blanche. Je vérifie tout comme il se doit : wp-config.php, .htaccess, base de données, fichier log… Rien de non conforme. Je remarque à la gestion des noms de domaine que mon domaine principal est lui aussi en mode « mise à jour ». Pas supposé mais de bonne composition j’attends qu’il ait fini sa mise à jour non demandée. Mais quand il a fini, toujours la page blanche. Deuxième vérification complète partout. Incompréhensible. Encore plus incompréhensible, un fichier phpinfo histoire de vérifier ne fonctionne pas, page blanche également. Là, ça urge, le problème est ailleurs. Plus qu’à téléphoner chez mon hébergeur. J’obtiens tout de suite un technicien qui vérifie tout. Le méchant responsable est mon fichier php.ini. Je veux bien imaginer que je l’aie mal configuré, mais dans ce cas pourquoi fiche-t-il tout à coup le bordel alors qu’il n’y a aucun changement de ce côté-là, qu’il trône à la racine de mon site et dans tous les dossiers depuis deux ans, bien tranquillement sans jamais causer de souci ? Un fichier ini c’est fort pratique pour gérer quelques bonnes mesures de sécurité, paramétrer la mémoire et les fonctions indésirables. Mais non, tout à coup mon fichier ini est devenu indésirable. Le technicien m’assure qu’il n’y a aucun changement de leur côté et je les crois. Pourtant ini est indésirable et a fait disparaître mon blog suite à un simple ajout de sous-domaine. Alors qui est responsable ? Probablement des changements subtils dans le nouveau WP et la façon de l’interpréter chez l’hébergeur. Je regarde, je fouille les nouveaux fichiers.

Dans le travail pour mes clients aussi j’ai remarqué une plus grande irascibilité de WP chez leur hébergeur. Les changements de sécurité dans la nouvelle version WP 3.0.3 étaient sans-doute nécessaire mais du coup les voici devenus soupe-au-lait. Ils exigent dorénavant qu’on les traite avec plus de tact.

Mes images et WordPress 3.0.3

Dans la même catégorie de l’étrange, il y a eu mes vignettes disparues, elles aussi sans aucune manipulation nouvelle autre que la mise à jour du core de WP.

Subitement le dossier uploads placé en sous-domaine chez moi ne s’accordait plus avec les nouveaux fichiers modifiés dans wp-includes. Pourtant cela ne devrait pas. C’est encore ici une mauvaise coordination de la manière dont est géré l’upload d’une part et la destination des sous-domaines d’autre part. Soudain il faut modifier la façon de coordonner. Comme quoi, si on effectue des hacks dans son blog ou si l’on met en place des chemins différents, il faut s’attendre à devoir modifier à tout moment. Pas que je ne le savais pas, je me coltine ce problème souvent. Mais je pense aux bloggeur lambda, ni informaticien ni webmaster ni spécialiste wordpress. Alors un conseil si vous faites partie de cette catégorie : ne chipotez pas trop avec votre blog si vous n’êtes pas certain de pouvoir corriger le tir seul. Ou faites appel à un professionnel pour assurer la maintenance de votre site.

UPDATE : Il est évident que je ne pouvais pas rester sans les configurations de sécurité et de mémoire d’un php.ini. Aussi j’en ai remis un en ligne, en vérifiant commande par commande ce qui passe. Et tout est bien passé, tel qu’avant l’incident. Les mesures qui ont entrainé ma page blanche me semblent étranges car me voici à nouveau avec un ini et un blog valide. Faire et défaire c’est toujours faire ?

UPDATE avril 2011 : ayant migré ce blog vers mon nouvel hébergeur Westhost, plus besoin de ce fichier ini et autres joyeusetés; tout tourne parfaitement tout seul.

LIRE