Comment bloquer l'accès aux fichiers sensibles de WordPress ?

Bloquer l'accès aux fichiers sensibles de WordPress empêche l'accès public à certains fichiers contenant des informations sensibles, telles que des identifiants de connexion, ou toutes autres informations permettant d'identifier les méthodes de piratage applicables à votre site Web WordPress.

Pour loquer l'accès aux fichiers sensibles de WordPress, vous devez ajouter une règle au fichier de configuration Apache httpd.conf :

<LocationMatch "(?i:(?:wp-config\\.bak|\\.wp-config\\.php\\.swp|(?:readme|license|changelog|-config|-sample)\\.(?:php|md|txt|htm|html)))">
 Require all denied
</LocationMatch>

Si vous utilisez Nginx comme proxy inversé, il faut également ajouter une règle au fichier nginx.conf :

location ~* "(?:wp-config\.bak|\.wp-config\.php\.swp|(?:readme|license|changelog|-config|-sample)\.(?:php|md|txt|htm|html))" {
  return 403;
}

Vous pouvez par ailleurs bloquer l'accès à certaines extensions de fichier ; pour cela référez vous à cette autre question.