Login
- Choisir un login autre que “admin”
- Mot de passe fort sans allusion au domaine ni hébergeur
https
Ajouter dans le .htaccess à la racine du wordpress le code suivant (nettoyer cache navigateur)
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off [OR] RewriteCond %{HTTP_HOST} ^www\. [NC] RewriteRule ^ https://desclicks.net%{REQUEST_URI} [R=301,L,NE] </IfModule>
Masquer les erreurs de login (à refaire maj ?) functions.php
add_filter('login_errors', create_function('$no_login_error', " return 'Mauvais identifiants'; "));
Désactiver modif code wp-config.php
define(‘DISALLOW_FILE_EDIT’,true);
Activer Maj auto
wp-config.php
define( 'WP_AUTO_UPDATE_CORE', true);
Modifier wp-content
wp-config.php
define('WP_CONTENT_DIR', dirname(__FILE__) . '/repertoire-site/repertoire-content');
une autre modif nécessaire pour bonne prise en compte ?
.htaccess
wp-config.php
si pas bougé, ajouter au .htaccess du répertoire
<files wp-config.php> order allow,deny deny from all </files>
wp-admin.php
- changer la page avec extension : WPS Hide login
- bloquer les tentatives de connexions via d'autres adresses ip en ajoutant dans wp-admin un .htaccess en adaptant l'adresse IP
order deny,allow deny from all allow from IP
Masquer Numéro de Version
Cacher le numéro de version pour éviter l'exploitation de failles spécifiques à celle-ci
readme.txt
<files readme.html> order allow,deny deny from all </files>
desactiver editeur code
wp-config.php - evite l'édition des fichier en cas de hack
define('DISALLOW_FILE_EDIT', true);
changer prefix wp
Protéger wp-admin
extension sécurité
https://winningwp.com/best-wordpress-security-plugins-and-services/
https://wpformation.com/11-rappels-securite-wordpress/ https://www.fabricecourt.com/formation/securiser-efficacement-son-site-wordpress/ https://wpchannel.com/wordpress/tutoriels-wordpress/14-astuces-securiser-site-wordpress/ https://www.malekal.com/securiser-wordpress/ https://codex.wordpress.org/Hardening_WordPress