10 conseils pour sécuriser son site sous WordPress 6. Attention aux droits sur les fichiers du site

Toujours dans l'optique de réduire la surface d'attaque du site, Thierry Pigot, consultant WordPress, suggère de se livrer au nettoyage des fichiers inutiles.

"Il faut bien supprimer toutes les extensions ou thèmes non utilisés, mais aussi vérifier les droits d'écriture des fichiers et dossiers sur le serveur. Il est ainsi indispensable de protéger en écriture les fichiers wp-config.php et .htaccess du site, ainsi que d'interdire l'exécution de fichiers .php dans certains dossiers."

Limiter les droits des fichiers et répertoires

Inutile de prêter le flanc à des malwares ou des commandes qui vont supprimer ou modifier certains fichiers de votre site WordPress à votre insu. A l'aide d'un bon client FTP, il faut n'attribuer aux fichiers et répertoires que les permissions strictement nécessaires au bon fonctionnement du site, notamment l'accès en écriture.

Par exemple, seul l'administrateur doit avoir un droit d'écriture sur le répertoire ?/wp-admin/' de même que sur le répertoire ?/wp-includes/' où se trouvent les librairies de la plateforme. Le répertoire ?/wp-content/' doit être en mode écriture pour l'administrateur ainsi que pour le serveur Web.

Le site wordpress.org livre ainsi les droits à accorder répertoire par répertoire pour sécuriser WordPress. Des consignes à appliquer à la lettre.