Tout savoir sur WordPress
Tutoriel WordPress

Sécuriser le fichier wp-config.php de WordPress

Le fichier wp-config.php de WordPress contient des informations sensibles, comme les identifiants de connexion à la base de données. Pour éviter les risques de hack, il faut le protéger.

Le fichier wp-config.php de WordPress contient des informations très sensibles au sujet de votre installation, y compris les détails de votre base de données, le préfixe de table et des clés secrètes.

Par conséquent, ce fichier doit être sécurisé pour éviter les risques de hack !

Pour éviter qu’un pirate arrive à obtenir les identifiants de votre base de données et détruire tout ce que vous avez réalisé sur votre blog, quelques lignes de code dans le fichier .htaccess de WordPress empêcheront toutes les personnes malveillantes de vous jouer un mauvais tour.

<files wp-config.php>
   order allow,deny
   deny from all
</files>
Cet article a été mis à jour il y a 2418 jours - Il n'est peut être plus à jour !

Article écrit par Jonathan B.

Jonathan est le co-fondateur de WP Media, startup connue pour être l’auteur de WP Rocket et Imagify. Il est aussi co-organisateur du WordCamp Lyon et Paris.

14 Commentaires

  1. Je n’ai encore jamais vu de témoignage de personnes piratée par l’intermédiaire de ce fichier. Mais bon, ça ne peut pas faire de mal…

  2. Ou bien remontez le d’un cran dans l’arborescence, même si il arrive hors du /www/ dans votre hébergement. Là au moins, personne n’y aura accès, mais WordPress saura le trouver.

  3. Idem, j’ai trouvé un plugin qui permettais de créer une faille pouvant lire les fichier php en clair, si le fichier wp-config.php est protégé ou déplacé un cran plus haut dans l’arborescence, alors il ne sera pas accessible via HTTP.
    ;)

  4. Je n’ai pas de fichier .htaccess, de plus j’ai enté de suivre vos conseils de sécurité, j’ai à peu prés compris, masi pour le conseil de monter un cran plus haut les fichiers, la je bloque. Car mon site est à la racine de mon hebergement, donc si je créé un dossier dans le quel je mets mon wordpress, je n’ai plus acces au site apres.

  5. @Gaetoon : Si votre site est hébergé sur un mutualisé, il ne sera pas possible de mettre en place cette solution car vous ne pouvez pas avoir accès au dossier parant. Pour le fichier .htaccess, si il n’existe pas, il y a deux cas de figure : vous n’avez pas activé la lecture des fichiers invisibles ou vous n’avez pas créer de permalien.

  6. Je ne sais pas si c’est un hébergement mutualisé, je suis chez l’hébergeur gratuit lenyx.
    En fait j’ai créé ce fichier .htaccess pour mettre les combines de ce blog.
    Par contre une question, en quoi les permaliens sont ils liés à ce fichier ?
    Désolé mais je suis totalement débutant, j’apprends de jour en jour.

  7. oui j’ai eu cette attaque via un script de téléchargement de pdf qui permettait de remonter via l’url au fichier wp-config. pas en écriture, mais les login/pass de la base sont dispos …
    Je l’avais mis, du coup, sur le serveur un cran au dessus de la racine du site mais cette méthode est plus cool : merci du tuyau

  8. Bonjour, je loue actuelement un serveur dédié chez OVH pour héberger 5 sites avec wordpress mais j’ai un petit problèmevotre astuce avec le .htaccess, soit je sais pas ou le mettre soit il ne marche pas avec mon wordpress mais la limite reste a 2.0Mo.
    Actuellement, je l’ai mis dans / dans /var dans /var/www dans /home/user/www/lycee mais rien n’y fais, la limite reste a 2Mo …

    P.S : désolé pour le up d’un ans…

cd01dd21263f681652dc672cab36510eHHHHHHHHH