5 à 6 minutes Niveau : Débutant / Intermédiaire
Objectif de cette astuce
Comprendre dans quels cas WordPress expose un éditeur de code dans le tableau de bord, pourquoi c’est un risque de sécurité, et comment le neutraliser selon votre configuration.
Mise en contexte : tout dépend de votre thème
Avant d’aller plus loin, une précision importante : la présence ou l’absence de l’éditeur de fichiers dans WordPress dépend du type de thème actif.
Avec un thème classique (Astra, Divi, OceanWP, un thème sur mesure PHP…) — WordPress affiche dans le menu Apparence → Éditeur de thème et Extensions → Éditeur d’extensions. Ces deux interfaces permettent de modifier directement les fichiers PHP et CSS depuis le navigateur.
Avec un thème bloc / FSE (Twenty Twenty-Three, Twenty Twenty-Four, Twenty Twenty-Five, Ollie…) — ces entrées de menu n’existent plus. Depuis WordPress 5.9, les thèmes blocs fonctionnent sans fichiers PHP de template modifiables : ils sont remplacés par l’interface Apparence → Éditeur (le Full Site Editing). Il n’y a donc pas d’éditeur de code à désactiver côté thème.
Point pédagogique : La grande majorité des sites en production utilisent encore des thèmes classiques. Et même sur un site FSE, l’éditeur d’extensions reste présent et modifiable. L’astuce reste donc pertinente dans les deux cas.
Pourquoi c’est un risque — thème classique
Le plus gros problème avec l’éditeur de fichiers intégré est qu’il donne un accès complet pour ajouter n’importe quel type de code à votre site. Si un pirate a pénétré dans votre zone d’administration WordPress, il peut utiliser l’éditeur intégré pour accéder à toutes vos données WordPress. Les pirates peuvent également l’utiliser pour distribuer des logiciels malveillants ou lancer des attaques DDoS depuis votre site.
Il y a aussi le risque d’erreur humaine : une faute de frappe dans un fichier PHP peut provoquer un écran blanc et rendre le site inaccessible, sans aucune possibilité d’annulation.
Méthode 1 — Désactiver via wp-config.php (recommandée, tous types de thèmes)
C’est la méthode la plus propre et la plus fiable. Elle fonctionne quel que soit le type de thème actif.
/* Désactive Apparence → Éditeur de thème */
/* Désactive Extensions → Éditeur d'extensions */
define('DISALLOW_FILE_EDIT', true);Désactiver cette fonctionnalité est une bonne pratique de sécurité pour éviter les mauvaises manipulations de fichiers ou les piratages.
Pour aller plus loin sur les sites en production figée :
/* Bloque aussi l'installation et les mises à jour d'extensions */
define('DISALLOW_FILE_MODS', true);
DISALLOW_FILE_MODSbloque absolument tout depuis le tableau de bord : installations, mises à jour, éditeurs. À réserver aux sites en production stables dont les mises à jour sont gérées autrement (WP-CLI, accès FTP direct).
Méthode 2 — Via une extension de sécurité (alternative sans accès FTP)
Si vous n’avez pas accès au fichier wp-config.php (hébergement mutualisé sans gestionnaire de fichiers, client sans accès FTP), plusieurs extensions de sécurité tout-en-un proposent cette option en un clic depuis le tableau de bord.
Extensions recommandées qui incluent cette fonctionnalité :
Wordfence Security — Wordfence → All Options → chercher “File Editor” → désactiver. C’est l’extension de sécurité WordPress la plus installée, avec plus de 5 millions de sites actifs.
All In One Security (AIOS) — WP Security → Filesystem Security → File Editor → cocher “Disable WordPress File Editor”. Interface entièrement en français, idéale pour les débutants.
iThemes Security — Security → Settings → WordPress Tweaks → “Disable File Editor”.
Conseil de formateur : Si vous utilisez déjà une de ces extensions de sécurité sur le site, pas besoin de dupliquer la protection dans
wp-config.php. Les deux méthodes aboutissent exactement au même résultat — la constanteDISALLOW_FILE_EDITest activée dans les deux cas.
Et si j’ai besoin de modifier un fichier malgré tout ?
Méthode professionnelle : passez par FTP avec FileZilla — téléchargez le fichier, modifiez-le localement dans VS Code ou Notepad++, re-déposez-le sur le serveur.
Méthode temporaire : commentez la ligne dans wp-config.php en ajoutant // devant, effectuez votre modification, puis décommentez :
// define('DISALLOW_FILE_EDIT', true); ← temporairement désactivéSi vous souhaitez autoriser temporairement l’édition de fichiers, vous pouvez simplement remplacer true par false. Modifiez-le à nouveau lorsque vous avez terminé. One.com
Récapitulatif selon la situation
| Situation | Éditeur de thème visible ? | Action recommandée |
|---|---|---|
| Thème classique actif | Oui | Ajouter DISALLOW_FILE_EDIT dans wp-config.php |
| Thème bloc / FSE actif | Non (déjà absent) | Vérifier quand même l’éditeur d’extensions |
| Pas d’accès FTP/cPanel | — | Utiliser Wordfence ou AIOS |
| Site en production figée | — | Ajouter aussi DISALLOW_FILE_MODS |
Ce qu’il faut retenir
Même si les thèmes blocs ont fait disparaître l’éditeur de thème de beaucoup de sites récents, l’éditeur d’extensions reste présent sur tous les WordPress — et constitue un vecteur d’attaque tout aussi sérieux. Que vous passiez par wp-config.php ou par une extension de sécurité, désactiver ces éditeurs est une mesure de trente secondes qui supprime un risque réel, sans aucun impact sur l’utilisation quotidienne du site.