Les permissions ou CHMOD, c’est quoi exactement ?
Imaginez votre site WordPress comme une maison. Chaque fichier, chaque dossier, c’est une pièce de cette maison. Les permissions, c’est l’équivalent de votre trousseau de clé. Qui peut entrer ? Qui peut redécorer ? Et qui peut juste jeter un œil par le trou de la serrure ?
Sur le web, on a trois types de clés : lecture, écriture, exécution. Et pour chaque type, on décide à qui on les confie : au propriétaire, au groupe, ou à tout le monde.
La Mécanique des permissions
Sur Unix, qui est le terreau de nombreux serveurs web hébergeant des sites WordPress, les permissions sont codifiées par des nombres. On parle de systèmes octaux, allant de 0 à 7, où chaque chiffre a sa signification :
- 4 pour la lecture (r), permettant de voir le contenu d’un fichier ou d’un dossier.
- 2 pour l’écriture (w), autorisant la modification ou la suppression.
- 1 pour l’exécution (x), indispensable pour lancer des scripts ou parcourir des dossiers.
Ces permissions sont attribuées à trois catégories d’utilisateurs :
- Le propriétaire du fichier (souvent l’utilisateur sous lequel tourne votre site WordPress).
- Le groupe (un ensemble d’utilisateurs pouvant partager certains droits sur les fichiers).
- Les autres (tout le monde sur le web).
Exemples techniques
Pour donner un trousseau de clés complet au propriétaire, tout en restreignant l’accès aux invités, on utilise des combinaisons spécifiques :
- 755 pour les répertoires : Le propriétaire a le plein pouvoir (7 = 4+2+1, lecture + écriture + exécution), tandis que le groupe et les autres peuvent entrer et regarder (5 = 4+1, lecture + exécution) sans toucher à rien. Cela permet au serveur web de servir les pages, aux utilisateurs de naviguer dans les structures de dossiers sans altérer le contenu.
- 644 pour les fichiers : Le propriétaire peut lire et modifier (6 = 4+2, lecture + écriture), mais le groupe et les autres sont limités à la consultation (4, lecture). Cela protège le code source, les configurations et le contenu de votre site de modifications non autorisées, tout en restant accessible pour être lu par le serveur et affiché aux visiteurs.
Pourquoi ces valeurs ?
Le choix de 755 et 644 n’est pas arbitraire. Il équilibre sécurité et fonctionnalité. Un fichier exécutable mal sécurisé (777, par exemple) serait une porte ouverte pour exécuter n’importe quel script malveillant.
À l’inverse, des permissions trop restrictives (600, où seul le propriétaire peut lire et écrire) pourraient empêcher votre site de fonctionner correctement, car le serveur web et les visiteurs ne pourraient pas accéder aux ressources nécessaires.
Récapitulatif des différents chmod et de leur utilisation
| Permission (chmod) | Description | Utilisation recommandée |
|---|---|---|
| 777 | Lecture, écriture et exécution pour tous | À éviter, sauf pour les dossiers nécessitant des permissions d’écriture par tous les utilisateurs (très rare) |
| 755 | Lecture et exécution pour tous, écriture pour le propriétaire | Idéal pour les répertoires, permettant au serveur web et aux visiteurs d’accéder aux contenus sans modifier |
| 700 | Lecture, écriture et exécution uniquement pour le propriétaire | Parfait pour les fichiers sensibles, limitant l’accès au seul propriétaire |
| 666 | Lecture et écriture pour tous | À utiliser avec prudence, peut être nécessaire pour certains fichiers temporairement, mais augmente le risque de modifications non autorisées |
| 644 | Lecture pour tous, écriture pour le propriétaire | Standard pour les fichiers, sécurise le contenu tout en le rendant accessible en lecture |
| 600 | Lecture et écriture uniquement pour le propriétaire | Idéal pour les fichiers très sensibles, n’offrant aucun accès aux autres utilisateurs |
| 555 | Lecture et exécution pour tous, aucune écriture | Utile pour les scripts et les exécutables qui ne doivent pas être modifiés |
| 500 | Lecture et exécution uniquement pour le propriétaire | Convient aux scripts et aux applications qui ne doivent être exécutés que par le propriétaire |
| 400 | Lecture uniquement pour le propriétaire | Parfait pour les documents sensibles, assurant qu’ils ne peuvent être ni modifiés, ni exécutés |
Manipulation Avancée
Pour les gourous de la ligne de commande, ajuster ces permissions se fait via chmod :
chmod 755 /chemin/vers/repertoire chmod 644 /chemin/vers/fichier
Ces commandes configurent les permissions de manière sécuritaire et efficace. Mais attention, l’usage de chmod nécessite prudence et connaissance. Un mauvais réglage peut rendre votre site inaccessible ou vulnérable.
Pourquoi les pirates modifient les permissions ?
Modifier les permissions permet aux pirates de s’installer confortablement et, si possible, passer inaperçus. On retrouve ces modifications dans tous les pirates, que ce soit un piratage par redirection, ou un piratage par mots clés Japonais. il y a de forte chance pour que vos chmods ne soient plus les mêmes.
- Ouvrir grand les portes : En jouant avec les permissions, si par malheur ils les passent à 777. Ils peuvent modifier, supprimer, ajouter ce qu’ils veulent.
- Planquer des passages secrets : Ces artistes de l’évasion numérique adorent cacher des backdoors. Modifier les permissions pour glisser ces petites portes dérobées leur assure un accès permanent.
- Prendre les commandes : Leur but ? Monter en grade rapidement. Ils cherchent à modifier les permissions pour s’octroyer des droits de super utilisateur, se transformant de simple visiteur en maître des lieux.
- Mettre hors jeu la sécurité : En trafiquant les permissions, ils peuvent désactiver vos défenses. Tout comme un cambrioleur désactiverait votre système d’alarme.
Comment tenir les pirates à la porte ?
Face à ces manœuvres, une seule devise, vigilance et anticipation. Vos permissions doivent être aussi verrouillées qu’un coffre-fort. Gardez un œil sur les logs.
Et surtout, investissez dans un bon système de sécurité, un gardien 24/7 pour votre site WordPress ainsi que dans un outils de monitoring de site web pour savoir quand votre site est à l’arrêt. Car généralement, l’injection de code malveillant déclenche des erreurs 500 et donc des coupures de services.
