Login

  • Choisir un login autre que “admin”
  • Mot de passe fort sans allusion au domaine ni hébergeur
https

Ajouter dans le .htaccess à la racine du wordpress le code suivant (nettoyer cache navigateur)

<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTPS} off          [OR]
    RewriteCond %{HTTP_HOST} ^www\.   [NC]
    RewriteRule ^ https://desclicks.net%{REQUEST_URI} [R=301,L,NE]
</IfModule>

Masquer les erreurs de login (à refaire maj ?) functions.php

add_filter('login_errors', create_function('$no_login_error', " return 'Mauvais identifiants'; ")); 

Désactiver modif code wp-config.php

define(‘DISALLOW_FILE_EDIT’,true);

Activer Maj auto

wp-config.php

define( 'WP_AUTO_UPDATE_CORE', true);

Modifier wp-content

wp-config.php

define('WP_CONTENT_DIR', dirname(__FILE__) . '/repertoire-site/repertoire-content');

une autre modif nécessaire pour bonne prise en compte ?

.htaccess

wp-config.php

si pas bougé, ajouter au .htaccess du répertoire

  <files wp-config.php>
  order allow,deny
  deny from all
  </files>

wp-admin.php

  • changer la page avec extension : WPS Hide login
  • bloquer les tentatives de connexions via d'autres adresses ip en ajoutant dans wp-admin un .htaccess en adaptant l'adresse IP
order deny,allow
deny from all
allow from IP

Masquer Numéro de Version

Cacher le numéro de version pour éviter l'exploitation de failles spécifiques à celle-ci

readme.txt

  <files readme.html>
  order allow,deny
  deny from all
  </files>

desactiver editeur code

wp-config.php - evite l'édition des fichier en cas de hack

  define('DISALLOW_FILE_EDIT', true);

changer prefix wp

Protéger wp-admin

extension sécurité