Bloquer l'accès aux fichiers sensibles de WordPress empêche l'accès public à certains fichiers contenant des informations sensibles, telles que des identifiants de connexion, ou toutes autres informations permettant d'identifier les méthodes de piratage applicables à votre site Web WordPress.
Pour loquer l'accès aux fichiers sensibles de WordPress, vous devez ajouter une règle au fichier de configuration Apache httpd.conf :
<LocationMatch "(?i:(?:wp-config\\.bak|\\.wp-config\\.php\\.swp|(?:readme|license|changelog|-config|-sample)\\.(?:php|md|txt|htm|html)))">
Require all denied
</LocationMatch>
Si vous utilisez Nginx comme proxy inversé, il faut également ajouter une règle au fichier nginx.conf :
location ~* "(?:wp-config\.bak|\.wp-config\.php\.swp|(?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|htm|html))" {
return 403;
}
Vous pouvez par ailleurs bloquer l'accès à certaines extensions de fichier ; pour cela référez vous à cette autre question.
