Le fichier wp-config.php est le cœur de votre site WordPress : il contient les informations d'identification de votre base de données, vos clés d'authentification et d'autres paramètres sensibles. Si des pirates y accèdent, ils peuvent s’emparer de l’intégralité de votre site, injecter des logiciels malveillants, voler des données ou tout supprimer. Avec des attaques automatisées ciblant des vulnérabilités connues telles que les fichiers de configuration exposés, la protection de wp-config.php est une étape de sécurité non négociable.
Chez Cope Business, nous sécurisons toujours wp-config.php lors de notre services d'audit technique SEO et les processus de renforcement des sites : c’est l’une des premières choses que nous vérifions pour éviter les violations.
Ce guide explique pourquoi wp-config.php est une cible et fournit des méthodes étape par étape pour le protéger à l'aide d'autorisations, de règles .htaccess, de plugins et de bonnes pratiques, le tout sans connaissances techniques avancées.
Pourquoi les pirates ciblent wp-config.php et pourquoi le protéger ?
- Données sensibles: Contient le nom d'utilisateur/mot de passe de la base de données, les clés secrètes pour l'authentification
- Accès facile : Si les autorisations sont incorrectes ou si le serveur est mal configuré, il est exposé
- Vecteur d'attaque commun: Les robots recherchent wp-config.php à exploiter
- Conséquences: Prise de contrôle complète du site, vol de données, dommages SEO causés par des logiciels malveillants
Le protéger réduit les risques de 80 à 90 % liés aux attaques de base – associez-le à des mots de passe forts, au 2FA et à des sauvegardes régulières pour une sécurité totale.
Méthode 1 : définir les autorisations de fichiers sécurisées (la plus simple et la plus essentielle)
Des autorisations incorrectes (par exemple, 666 ou 777) permettent à quiconque de lire/modifier le fichier.
Autorisation recommandée : 600 ou 640
- 600 : Propriétaire lecture/écriture uniquement
- 644 : Propriétaire lecture/écriture, autres lecture seule (si votre serveur l'exige)
Mesures
- Accédez à votre site via FTP (FileZilla) ou via un gestionnaire de fichiers d'hébergement (cPanel > File Manager).
- Recherchez wp-config.php dans le dossier racine.
- Clic droit → Autorisations de fichiers ou Modifier les autorisations.
- Entrez 600 (ou 640 si 600 pose des problèmes).
- Cochez « Appliquer à ce fichier uniquement » → Enregistrer.
- Test : votre site devrait toujours fonctionner ; essayez d'accéder à yoursite.com/wp-config.php - devrait afficher 403 Forbidden ou vide.
Si vous utilisez SSH/Terminal:
Frapper
cd /chemin/vers/wordpress/root chmod 600 wp-config.phpAvantages: Rapide, pas de plugins, protection au niveau du serveur.
Inconvénients: Peut nécessiter un ajustement sur certains hôtes (contacter le support en cas d'erreurs).
Méthode 2 : bloquer l’accès avec .htaccess (protection forte)
Cela empêche l'accès direct du navigateur à wp-config.php.
Étapes (serveurs Apache – hébergement le plus partagé)
- Ouvrez .htaccess dans le dossier racine (sauvegardez d’abord !).
- Ajoutez ce code en haut :
texte order allow,deny deny from all - Sauvegarder.
- Test : Accédez à yoursite.com/wp-config.php – Erreur 403 interdite.
Pour les serveurs NGINX (VPS comme DigitalOcean) : Ajouter à la configuration du serveur (ou demander à l'hôte) :
texte
emplacement ~* ^/wp-config.php$ { tout refuser ; }Avantages: Bloque l'accès direct, facile.
Inconvénients: Nécessite une modification .htaccess ; tous les hôtes ne le permettent pas.
Méthode 3 : utiliser un plugin de sécurité (automatisé et complet)
Les plugins ajoutent des couches supplémentaires comme la surveillance et la protection automatique.
Plugin recommandé : All in One WP Security & Firewall (gratuit)
- Installer Sécurité et pare-feu WP tout-en-un depuis Plugins > Ajouter un nouveau.
- Activer → Aller à WP Security > Pare-feu > Règles de base du pare-feu.
- Activer Protéger le fichier wp-config.php (ou similaire dans d'autres plugins).
- Enregistrer – le plugin ajoute automatiquement les règles .htaccess.
Plugin alternatif: Sécurité Sucuri (gratuit) ou Clôture de mots (gratuit/pro) — les deux ont des fonctionnalités de protection de fichiers.
Avantages: Automatique, inclut d'autres outils de sécurité.
Inconvénients: Ajoute un plugin (mais ça vaut le coup pour une sécurité totale).
Meilleures pratiques supplémentaires pour protéger wp-config.php
- Déplacer wp-config.php — Placez-le un répertoire au-dessus de la racine (WordPress détecte automatiquement).
- Ajouter des clés de sécurité supplémentaires — Générez de nouvelles clés d'authentification dans wp-config.php (utilisez le générateur de clés WordPress.org).
- Limiter l'accès à la base de données — Utilisez un utilisateur de base de données unique avec des privilèges limités (pas de racine complète).
- Sauvegardes régulières — Utilisez UpdraftPlus pour sauvegarder wp-config.php et la base de données.
- Surveiller les changements — Utilisez des plugins de sécurité pour alerter sur les modifications de fichiers.
- Astuce SEO — Les sites sécurisés sont mieux classés à long terme ; associez-le à des optimisations de vitesse.
Pensées finales
Protéger wp-config.php des pirates est une étape de sécurité rapide et essentielle : commencez par des autorisations sécurisées (600/640) et un blocage .htaccess, puis ajoutez un plugin comme All in One WP Security pour des couches supplémentaires.
Un wp-config.php sécurisé assure la sécurité de l’ensemble de votre site.
Vous rencontrez des problèmes de sécurité ou avez besoin d’un audit de renforcement complet ? Contacter Cope Business pour une consultation technique SEO gratuite – nous sécuriserons votre wp-config.php, renforcerons l’ensemble de votre site et optimiserons les performances et la tranquillité d’esprit.
