Le dossier wp-content sur WordPress contient des données sensibles comme le thème que vous utilisez, vos plugins, tous vos médias (images, documents, etc) et pas mal d’informations qui rendent votre site vulnérable si n’importe qui peut y accéder.
Pour empécher que ce fichier soit accessible, ajouter la ligne de code ci-dessous à votre fichier .htaccess situé à la racine de votre site :
Options -Indexes
Voici d’autres méthodes pour réaliser cette action de sécurité.
Utiliser un plugin de sécurité
Je conseille fortement d’installer une extension de sécurité sur WordPress, j’estime même que c’est indispensable.
Elle permettra de colmater les brèches des différentes failles de sécurité comme celle présentée dans ce post en quelques clics seulement. Plutôt pas mal si vous n’avez pas un profil technique.
À mon humble avis, le meilleur plugin WordPress de sécurité est Wordfence et a une option pour empêcher l’accès à votre dossier « wp-content ».
Ajouter une surcouche de restrictions
Vous pouvez, en plus d’avoir ajouté la ligne au .htaccess ou activé l’option sur Wordfence, ajouter une sécurité supplémentaire pour interdire l’accès direct aux fichiers PHP qui sont présents dans votre répertoire « wp-content ».
Cela empêchera l’exécution de scripts malveillants. Pour cela, ajoutez ces lignes au fichier .htaccess :
<FilesMatch "\.(php|phtml|php3|php4|php5|php7|phps)$">
Order Deny,Allow
Deny from all
</FilesMatch>
Bien choisir le niveau de permission de vos dossiers
Pour permettre à votre site de bien fonctionner et qu’une personne mal intentionnées n’accède à votre site, il faut éditer ce qu’on appelle les « permissions d’accès » à vos fichiers et dossier.
Pour cela, vous allez devoir choisir :
- La permission 644 pour les fichiers de votre site
- La permission 755 pour les dossiers
Attention : le fichier wp-config.php est une exception et doit être en permission 600.
Dîtes moi en commentaires si vous n’arrivez pas à faire ces manipulations.