Dans WordPress, il existe un lien discret qui peut transformer une simple erreur en catastrophe, ou un compte admin compromis en prise de contrôle totale : l’éditeur de fichiers (thème et extensions) dans l’administration.
Sur le papier, c’est pratique : tu peux modifier un fichier “vite fait”. En réalité, c’est surtout une voie rapide vers deux problèmes très concrets : l’erreur humaine (un copier coller malheureux, et écran blanc) et l’injection de code (si quelqu’un récupère un accès admin, même temporairement).
Je vais te montrer pourquoi couper cette fonctionnalité est un vrai gain sécurité, comment le faire proprement avec DISALLOW_FILE_EDIT, quel test à faire après, et surtout les pièges qui donnent l’impression de sécuriser… tout en augmentant les risques.
Pourquoi l’éditeur de fichiers est un risque réel ?
L’éditeur de thème et l’éditeur d’extensions dans l’administration WordPress ont un point commun : ils permettent de modifier des fichiers exécutés sur ton site, directement depuis le navigateur. Donc, si un compte avec droits suffisants se connecte, il peut injecter du PHP, ajouter un script malveillant, ou casser le site en une ligne.
Il y a trois scénarios très classiques.
Le premier, c’est l’accès admin volé. Ce n’est pas toujours un “grand piratage hollywoodien”. Parfois, c’est une fuite d’identifiants, un mot de passe réutilisé, un phishing, ou une attaque brute force qui finit par passer. Et une fois entré, l’éditeur est une rampe de lancement : pas besoin de déposer un fichier via FTP, pas besoin de permissions serveur particulières, tout est déjà là, prêt à l’emploi. C’est exactement pour ça que je recommande d’aborder la sécurité comme un cadre réaliste, basé sur la surface d’attaque et les risques les plus probables, dans Stratégie sécurité WordPress réaliste.
Le deuxième scénario, c’est la mauvaise manipulation. Tu veux “juste” retirer un bout de code ou coller un snippet trouvé sur un forum. Sauf qu’un point virgule manquant, une accolade en trop, ou un fichier modifié au mauvais endroit, et ton site devient un écran blanc. Sur un site business, ça veut dire une administration inaccessible, une page de vente KO, et une journée qui commence fort.
L’éditeur dans l’admin, c’est un peu comme faire de la plomberie avec une scie sauteuse : tu peux, mais tu vas probablement regretter.
Le troisième scénario, plus subtil, c’est le risque organisationnel. Si plusieurs personnes ont un rôle admin “par facilité”, tu augmentes mécaniquement la possibilité qu’un accès soit trop ouvert. Si tu veux garder un WordPress sain, l’idée est de limiter les admins et d’utiliser les bons rôles, comme expliqué dans Gérer les utilisateurs WordPress : rôles et permissions.
Désactiver l’éditeur ne rend pas ton site invulnérable. En revanche, cela retire une capacité dangereuse, souvent inutile au quotidien. C’est du durcissement intelligent et tu réduis les dégâts possibles si quelque chose tourne mal.
Comment désactiver l’édition de fichiers proprement
La méthode la plus simple et la plus fiable est d’ajouter une constante dans wp-config.php : DISALLOW_FILE_EDIT. WordPress explique précisément ce réglage et son intérêt sécurité dans la documentation Modifier le fichier wp-config.php.
Exemple PHP :
// wp-config.php
define('DISALLOW_FILE_EDIT', true);
Deux règles importantes pour le faire proprement.
Règle 1 : placer la constante au bon endroit. Concrètement, tu l’ajoutes dans wp-config.php avant la ligne qui charge WordPress (souvent juste avant le require de wp-settings.php). L’objectif est simple : la constante doit être définie avant que l’admin ne construise ses menus.
Règle 2 : teste immédiatement. Après avoir ajouté la constante :
- connecte-toi à l’admin ;
- vérifie que les menus “Éditeur de thème” et “Éditeur d’extensions” ont disparu ;
- vérifie que tes mises à jour et ton constructeur de pages fonctionnent comme avant.
Si tu veux une approche encore plus “verrouillée”, tu peux aussi utiliser un MU-plugin pour imposer ce réglage, ce qui évite qu’un plugin classique ne le modifie ou qu’un changement dans l’administration ne le réactive. J’explique le principe et les cas d’usage dans Les MU-plugins WordPress : à quoi servent-ils et comment les utiliser ?
Exemple PHP :
// wp-content/mu-plugins/10-security-basics.php
<?php
defined('ABSPATH') || exit;
if (!defined('DISALLOW_FILE_EDIT')) {
define('DISALLOW_FILE_EDIT', true);
}
Pourquoi un MU-plugin peut être intéressant ? Parce qu’il est chargé très tôt et qu’il n’est pas désactivable depuis l’admin WordPress. Pour un réglage sensible, c’est une ceinture de sécurité très efficace.Et si tu préfères une méthode guidée “pas à pas” via un gestionnaire de fichiers, il existe des tutoriels côté hébergeur, comme celui-ci qui montre où chercher dans wp-config.php. Le principe reste le même : tu ajoutes DISALLOW_FILE_EDIT, puis tu testes.
SolidWP – la tranquillité d’esprit en quelques clics !
SolidWP, la solution ultime pour renforcer la sécurité de votre site.
Avec SolidWP, vous accédez à des fonctionnalités avancées contre les cyber-menaces.
Ce qui “casse tout” et comment l’éviter
Désactiver l’éditeur est simple. Les problèmes arrivent quand on le fait sans méthode.
Premier piège : définir DISALLOW_FILE_EDIT deux fois. Ça arrive quand tu ajoutes la constante à la main, puis qu’un plugin de sécurité tente de l’ajouter aussi.
Résultat possible : warning, comportement étrange, ou fichier wp-config.php modifié de façon sale. La parade est simple : dans un MU-plugin, entoure toujours ta constante avec un if (!defined()), comme dans l’exemple plus haut.
Deuxième piège : ajouter la constante trop bas dans wp-config.php, après le chargement de WordPress. Dans ce cas, l’admin WordPress peut déjà avoir construit ses menus, et tu vas croire que “ça ne marche pas”. Si tu as un doute, repère la ligne qui charge wp-settings.php et place ta constante avant.
Troisième piège : croire que couper l’éditeur remplace le reste. Non. C’est une couche, pas une stratégie complète. Si un attaquant a un accès “admin”, il peut toujours installer une extension, modifier des réglages, ajouter un compte, ou injecter via d’autres solutions. C’est pour ça que je relie toujours ce réglage à un ensemble cohérent : limiter les tentatives de connexion, renforcer les mots de passe, et réduire les accès à l’admin. Si tu veux une méthode concrète côté attaques automatisées, Protéger son site WordPress contre les attaques brute force te donne une base solide, avec une logique simple et actionnable.
Quatrième piège : confondre “plus de sécurité” et “plus de friction”. Par exemple, bloquer l’admin par IP sans plan de secours peut te bloquer toi-même, surtout si tu travailles en mobilité. La bonne méthode, c’est celle qui réduit la surface d’attaque sans rendre inaccessible ton site.
L’éditeur de fichiers WordPress, c’est comme un briquet dans une station-service. Ça ne sert pas à grand-chose au quotidien, et quand ça sert, c’est rarement pour une bonne raison.
Checklist après la mise en place : quoi vérifier pour être sûr que tu gagnes en sécurité sans perdre en business
Quand tu désactives l’éditeur, ton objectif est double : réduire le risque, et garder un site pleinement exploitable.
Voici ma checklist “anti panique” :
- Vérifie l’admin : les menus d’édition de fichiers ont disparu.
- Vérifie les mises à jour : plugin, thème, WordPress, tout doit fonctionner normalement.
- Vérifie tes pages principales : accueil, offres, contact, tunnel s’il existe.
- Vérifie ton constructeur : Elementor ou Gutenberg, édition OK, pas d’erreur JS visible.
- Vérifie ton accès de secours : un compte admin de secours existe, protégé, et est fonctionnel.
Ensuite, profite-en pour durcir deux points qui vont très bien ensemble avec ce réglage :
- les rôles : moins d’admins, plus de contrôle ;
- les accès : limiter les tentatives et renforcer l’authentification.
Enfin, garde une règle de bon sens : évite de modifier du code sur un site en production “au navigateur”. Si tu dois intervenir sur un fichier, fais-le via un flux propre : staging, versioning, déploiement. C’est plus long de 5 minutes… et ça te fait gagner des heures quand une mise à jour arrive ou qu’un problème surgit.
Et si tu te demandes “est-ce que ça vaut vraiment le coup ?”, la réponse est simple : oui, parce que ça retire une capacité dangereuse, souvent inutile. C’est exactement le genre de petite mesure qui fait une grosse différence dans une stratégie sécurité réaliste.
En conclusion
Désactiver l’édition de fichiers WordPress est un des meilleurs réglages “prévention”, c’est simple, rapide, et ça réduit fortement les dégâts possibles en cas d’accès admin compromis ou une mauvaise manipulation. Avec DISALLOW_FILE_EDIT, tu supprimes une autoroute vers l’injection de code et tu rends ton admin plus difficile à détourner.
Le bon réflexe est de l’intégrer dans un ensemble cohérent : moins d’administrateurs, accès renforcés, tentatives limitées, et une routine de maintenance propre. Tu n’as pas besoin d’un bunker. Tu as besoin d’un site fiable, maintenable, et sécurisé.
Si tu veux sécuriser ton WordPress avec une checklist adaptée à ton usage, ou vérifier que ton administration est sécurisé sans casser ton site, tu peux me contacter pour faire le point calmement.
Je suis Xavier, fondateur de XT DESIGN WEB. Mon truc : transformer des offres parfois floues en solution WordPress claires, rapides et bien référencées. Mon parcours atypique (École Boulle → 21 ans chef de projet & architecte de solutions → 6+ ans webdesigner/webmaster) m’aide à marier esthétique et rigueur technique pour livrer des sites beaux, stables et faciles à gérer. J’accompagne les TPE/PME, indépendants et startups sur la création, le SEO et la maintenance, avec pédagogie, transparence et zéro jargon. Tu veux un site qui te simplifie la vie (et qui convertit) ? Réservons 30min ensemble.
Webdesigner WordPress & Webmaster, j’accompagne les Indépendants‧es et les Entreprises depuis 2018 dans la création de sites performants, bien référencés et pensés pour convertir. Mon objectif : vous aider en alliant design, technique et stratégie digitale pour faire décoller votre activité. 🚀
