[ WordPress ] Sécuriser les fichiers sensibles

Hello !

Petit article très rapide sur la sécurité de son site sous WordPress ( mais on peut aussi l’adapter pour d’autres CMS ).
L’idée est simplement d’éviter les tentatives de hacks…
Vous avez du voir certains fichiers relativement sensible dans quelques dossiers de votre site WordPress comme par exemple à la racine :

• license.txt
• readme.html ( fournis votre version de WordPress utilisée )
• wp-config-sample.php ( même si pas réellement accessible )

Et certains ce trouvant dans vos dossiers de plugins ( qui reste simple d’accès quand on connait le mode de fonctionnement ) :

• wp-content/plugins/*/readme.txt
• …

Peut importe les versions que vous utilisez mais sachez qu’elles sont bien visible par vos visiteurs !
Vous pouvez toujours supprimer les fichiers ( avec un find par exemple ) mais ils reviendrons à chaque mise à jour.

L’idée est de rajouter une configuration dans votre fichier « .htaccess » afin d’interdire l’accès à certains types de fichiers.
N’oubliez pas que la valeur « AllowOverride » doit être définie à « All » dans votre vhost, sinon le « .htaccess » ne sera pas pris en charge.
J’utilise toujours les dernières versions dès qu’elles sont disponibles et voici ce que j’ai rajouté dans mon « .htaccess » :

# BEGIN DJERFY Security WordPress
<FilesMatch "(readme|license|wp-settings|wp-config-sample)\.(php|html|txt)">
     Deny from all
</FilesMatch>
# END DJERFY Security WordPress

A vous de faire une adaptation par rapport à vos besoins.
C’est relativement dommage que cette configuration ne soit pas mise en place par défaut.

Vous avez à votre disposition les commentaires si vous avez des configurations à proposer !
A bientôt