Bannière Radiblog

Le dossier le plus ciblé des sites WordPress… et celui qui m’a joué un sale tour

Parradiblog

“La citation du jour : L’amour est une équation à deux inconnues avec des variables très instables.”



WordPress… notre ami fidèle qui fait tourner 40 % du web mondial. Mais comme tout bon ami, il a ses petites faiblesses. Et l’une des plus connues chez les pirates, c’est ce cher dossier uploads. Oui, celui-là même où tu balances toutes tes images de chats, tes PDF pédagogiques, tes vidéos et autres médias d’articles :

/public_html/wp-content/uploads/

La porte d’entrée des robots malins

Ton WordPress doit pouvoir écrire dans ce dossier, sinon impossible de poster la dernière photo ou ton PDF. Mais cette liberté d’écriture, c’est exactement ce que certains robots adorent exploiter.

Le scénario classique :

  1. Un robot trouve une faille dans ton plugin, ton formulaire, ou ton thème mal protégé.

  2. Il dépose un petit fichier “piège”, avec un nom comme :

shell.php
wp-login.php
cache.php
images.php

directement dans /wp-content/uploads/.
3. Puis il l’appelle via ton navigateur, ce qui pourrait permettre à un script de s’exécuter et de compromettre ton site.

Garder ses dossiers, c’est aussi garder la mémoire

Avant juin 2025, j’avais pris soin de garder tous mes dossiers WordPress intacts. Et c’est en les explorant que j’ai pu voir exactement par où le pirate était passé.

Astuce sécurité : le .htaccess

Pour sécuriser ce dossier sans bloquer tes images et PDF, j’ai ajouté un fichier .htaccess dans /wp-content/uploads/ :

<FilesMatch « \.php$ »>
Order Allow,Deny
Deny from all
</FilesMatch>

Résultat :

Tes images continuent de s’afficher
Tes PDF sont toujours accessibles
WordPress peut toujours uploader

Mais…

Les fichiers PHP malicieux ne peuvent plus s’exécuter.

 Astuce : ce petit .htaccess est comme une barrière invisible. Les visiteurs voient tes images normalement, mais les robots ne passent pas.

Petit contrôle rapide pour vérifier ton uploads

Les extensions normales sont :

.jpg .jpeg .png .gif .webp .pdf .mp4 .zip

Si tu vois des intrus du style :

.php .phtml .php5 .php7 .ico.php .jpg.php

Il faut agir immédiatement.

Astuce : fais ce contrôle régulièrement, même si ton site semble tranquille. Ça t’évitera bien des sueurs froides.

Mini-checklist sécurité WordPress uploads

  • Ajouter le .htaccess pour bloquer l’exécution de fichiers PHP

  • Vérifier régulièrement les extensions des fichiers dans /uploads/

  • Garder des sauvegardes complètes de tous les dossiers

  • Mettre à jour WordPress, plugins et thèmes pour réduire les failles

  • Scanner le site avec un plugin de sécurité fiable

Moralité

Ce dossier est comme le portail de ton jardin : laisse-le grand ouvert, et les intrus y rentreront. Protège-le, et tes images de chats resteront tranquilles.

Et perso… c’est exactement par cette porte que mon blog a été piraté. Heureusement, avoir gardé tous mes dossiers avant juin 2025 m’a permis de comprendre par où le pirate était passé. Ça m’a appris que même un blog bien tenu peut se faire pirater si on ne ferme pas correctement la porte et qu’on ne garde pas ses dossiers.

Partagez, si vous avez aimé!!!

Publications similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *