Hardening WordPress

Réduire la surface d'attaque de WordPress en appliquant les meilleures pratiques de sécurisation.

wp-config.php

define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );
define( 'FORCE_SSL_ADMIN', true );
$table_prefix = 'wp_x7k_'; // Préfixe non standard

Protection .htaccess (Apache)

# Protéger wp-config.php
<files wp-config.php>
  order allow,deny
  deny from all
</files>

# Bloquer l'accès direct aux fichiers PHP dans uploads
<Directory "/wp-content/uploads">
  <Files "*.php">
    deny from all
  </Files>
</Directory>

# Désactiver la navigation dans les répertoires
Options -Indexes

Identifiants sécurisés

Ne jamais utiliser admin comme identifiant
Mot de passe : 16+ caractères, généré aléatoirement
Activer la 2FA avec WP 2FA ou Google Authenticator

Protection brute force

# Limiter les tentatives via .htaccess
# Ou utiliser Wordfence / Fail2Ban côté serveur

# Changer l'URL de connexion avec WPS Hide Login
# wp-admin → /mon-acces-secret

⚠️

Audits réguliers Utilisez Wordfence ou WPScan pour scanner régulièrement les vulnérabilités de votre installation.

Permissions de fichiers

find /var/www/html -type d -exec chmod 755  \;
find /var/www/html -type f -exec chmod 644  \;
chmod 600 wp-config.php