WebSentinel.
Tutoriels

Sécuriser WordPress sans plugin : les réglages natifs qui changent tout

· Nicolas Pivaut

Les plugins de sécurité WordPress sont utiles — mais ils ajoutent du poids et des dépendances. WordPress intègre nativement plusieurs mécanismes de sécurité que la plupart des sites n’exploitent pas.

1. Changer le préfixe des tables de base de données

Par défaut, WordPress préfixe toutes ses tables avec wp_. Les attaques SQL automatisées ciblent ce préfixe. Changez-le à l’installation ou via migration (mx7_, site26_…).

2. Masquer la version de WordPress

WordPress affiche sa version dans le code source — information utile pour les attaquants. Ajoutez dans functions.php de votre thème enfant :

remove_action('wp_head', 'wp_generator');
function remove_wp_version_strings($src) {
    return remove_query_arg('ver', $src);
}
add_filter('style_loader_src', 'remove_wp_version_strings');
add_filter('script_loader_src', 'remove_wp_version_strings');

3. Protéger wp-config.php

wp-config.php contient vos identifiants base de données. Ajoutez dans .htaccess :

<files wp-config.php>
order allow,deny
deny from all
</files>

Idéalement, déplacez wp-config.php un niveau au-dessus du dossier racine.

4. Désactiver l’édition de fichiers depuis le back-office

Un pirate qui accède à votre admin peut injecter du code via l’éditeur de thème. Bloquez-le dans wp-config.php :

define('DISALLOW_FILE_EDIT', true);

5. Bloquer l’exécution de PHP dans les uploads

Créez un .htaccess dans wp-content/uploads/ :

<Files "*.php">
  Order Deny,Allow
  Deny from all
</Files>

6. Forcer HTTPS

Si votre certificat SSL est actif, forcez HTTPS dans .htaccess :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

7. Supprimer le compte admin par défaut

Le nom d’utilisateur admin est la cible de toutes les attaques par force brute. Créez un compte avec un nom différent, donnez-lui les droits admin, reconnectez-vous, supprimez l’ancien.

Aller plus loin

Pour un site e-commerce ou à fort trafic, un plugin de sécurité actif reste recommandé pour la surveillance temps réel et le WAF. Nos forfaits de maintenance WordPress incluent cette surveillance continue.

Ressources complémentaires

Articles similaires

Conformité légale

Bouton de rétractation conforme

Module sur-mesure + installation + support 12 mois. WooCommerce, PrestaShop, Shopify. 149 €.

En savoir plus