Sécuriser Wordpess | .htaccess et wp-config.php

Nous allons ici procéder à une check-list vous permettant de sécuriser une installation wordpress via différents ajouts.

Modifier le préfixe des tables

Afin de sécuriser au mieux wordpress, il est impératif de modifier le préfixe des tables avant l’installation, dans le cas où vous ne pas fait pour vous pouvez vous rattraper via cet article.

/**
 * Préfixe de base de données pour les tables de WordPress.
 *
 * Vous pouvez installer plusieurs WordPress sur une seule base de données
 * si vous leur donnez chacune un préfixe unique. 
 * N'utilisez que des chiffres, des lettres non-accentuées, et des caractères soulignés!
 */
$table_prefix  = 'wp_';

/**

A la place du traditionnelle wp_, vous pouvez mettre vu_, 4O_ ou toute autres chose qui ne soit pas logique pour quelqu’un qui viendrait sur votre sites avec de mauvaises intentions.

Sécuriser via son .htacces

Plusieurs ajouts existent pour votre fichier .htaccess, il vous permettront de securiser des points sensible de votre installation.

Protéger votre fichier wp-config.php

<Files wp-config.php> 
   order allow,deny  
   deny from all  
</Files>

Protéger votre fichier .htaccess

<Files .htaccess>
   order allow,deny  
   deny from all  
</Files>

Cachez tous les répertoires

Options All -Indexes

Ce code permettra de désactiver l’exploration de vos répertoires. Avant ce code vous auriez pu savoir quels plugins je disposais via cet adresses www.creazo.fr/wp-content/plugins mais maintenant vous tombez sur une page blanche.

Modifier vos Clefs uniques d’authentification et salage

Il est important aussi de modifier vos clefs uniques d’authentification et salage, l’adresse dans le code de wp-config.php, vous donneras des combinaisons aléatoires à intégrer par un simple copier-coller.

/**#@+
 * Clefs uniques d'authentification et salage.
 *
 * Remplacez les valeurs par défaut par des phrases uniques !
 * Vous pouvez générer des phrases aléatoires en utilisant 
 * {@link https://api.wordpress.org/secret-key/1.1/salt/ le service de clefs secrètes de WordPress.org}.
 * Vous pouvez modifier ces phrases à n'importe quel moment, afin d'invalider tous les cookies existants.
 * Cela forcera également tous les utilisateurs à se reconnecter.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         ',k4tsMJ,fh0a#b+9wurPydG<|@wC{-<S:+#Oz@l%.D4Bp7xRu,+&.1iCG1~WHJ{@');
define('SECURE_AUTH_KEY',  '7Z84%<+*ixQ:F=](ds)4Bf!QbCQ7(Q~8R>0@D2IavLJ7;;mN;2_y57dwp*O2_>bl');
define('LOGGED_IN_KEY',    '?cM$d.6!l+-Se]p`bQ:hwO+IyR%)d)iC<nd9^Ss__g&2)tsG2-vG@&3KzJCGzg0B');
define('NONCE_KEY',        'J^<ZNA5UpxX*.{>Q;+2{PbydCs8=}Y[5Xet,mNR]Y{VS!L1$@*I^5*ULjHZn-+F)');
define('AUTH_SALT',        '=v834JuEuE![kZ|7<+E94A|xi;F2z:2J=qL8}O!q<.HEAS-ff(i@PS>c+s;U5+5q');
define('SECURE_AUTH_SALT', 'X$%a|aSY{+BQ8Xe JO-yj/lG]h?E+K+Xz+(-:4tqe-h|5=oF,JdK==!#i{l8>OnO');
define('LOGGED_IN_SALT',   's<>Nno54w+_R:3IggI<H+!9fr5U)B>rg+DC#4I*Fpf #GFN{S|E00?v*6okcU_o4');
define('NONCE_SALT',       '+u+-{IsXohQPh3_&|s;uZOO+/T85@kWBR-BkIXN}+|jr_+LN`{{FI%MY1)6!_Y@s');
/**#@-*/