Voici une petite astuce WordPress que je ne connaissais pas et qui franchement est bien utile pour éviter de se faire souffler son wp-config.php. Imaginons que vous ayez votre site dans le répertoire suivant :
/var/www/blog/wordpress/
et que votre apache pointe dessus. Il suffit qu’un jour, il y ai un bug au niveau du module PHP, des droits et des indexes (je sais ça fait beaucoup), ou alors une faille dans un plugin à la con, et hop, un robot ou un pirate pourrait lire le fichier le plus précieux de votre installation WordPress : Le wp-config.php qui contient surtout le mot de passe d’accès à votre base de données.
Pas cool.
Alors pour augmenter d’un cran la sécurité, il suffit de déplacer ce wp-config.php un répertoire au dessus… Donc avec mon exemple, dans /var/www/blog/, là où apache ne pointe pas, mettant hors d’atteinte votre wp-config.php. Quand je dis hors d’atteinte, je parle surtout des attaques automatisées car avec une faille PHP, effectivement, le hackeur peut en toute logique fouiller partout sur votre serveur, donc trouver le wp-config. Un fois ce fichier de conf déplacé, rien de plus à faire, WordPress détecte automatiquement votre wp-config.php dans le répertoire du niveau supérieur et tout roule !
Merci à Romain pour le partage.
Puis n’oubliez pas d’aller fureter du côté de ce guide to learn wordpress security.
[Source où vous trouverez d’autres astuces liées à la sécurité d’un wordpress]