La pluspart des hacks wordpress résultent soit de l'utilisation d'un script php dans le dossier wp-content/uploads, soit de l'exploit d'une faille dans les plugins / themes.
Il est facile de sécuriser le dossier uploads via une règle dans le .htaccess, ajoutez le code suivant dans un fichier .htaccess dans le dossier /wp-contents/uploads :
<Files "*.php"> Order Deny,Allow Deny from All </Files>
Dans la même optique, il n'y a normalement aucune raison qu'un fichier .php situé dans les dossiers themes ou plugins soit appelé depuis une autre URL que celle de votre site.
Ajouter les lignes suivantes au fichier .htaccess situé à la racine de votre site va bloquer tout accès à un fichier .php qui n'est pas fait depuis votre nom de domaine :
# bloque l'accès aux fichiers .php des dossiers theme et plugins
# (les 2 premières lignes permettent de creer des exceptions veillez a adapter le code a votre site) : #RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php #RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/ RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
#RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php #RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
Attention qu'il reste toujours important et crucial de maintenir votre version de wordpress et de tous ses themes et plugins à jour !