Si un attaquant ne pouvait accéder qu’à un seul fichier de votre site WordPress, ce serait wp-config.php. Ce fichier contient littéralement tout ce dont un hacker a besoin pour compromettre votre site : identifiants de base de données, clés secrètes d’authentification, préfixe des tables, et configuration système complète.
Pourtant, selon le rapport Patchstack 2025, plus de 68% des sites WordPress piratés présentaient une configuration de sécurité insuffisante sur leurs fichiers critiques. Le fichier wp-config.php est exposé, lisible, ou insuffisamment protégé sur des millions d’installations.
Dans ce guide, vous allez apprendre :
Le fichier wp-config.php se trouve à la racine de votre installation WordPress. Il est généré automatiquement lors de l’installation et contient :
define('DB_NAME', 'nom_de_votre_base');
define('DB_USER', 'utilisateur_mysql');
define('DB_PASSWORD', 'votre_mot_de_passe');
define('DB_HOST', 'localhost');Ces quatre lignes suffisent à un attaquant pour accéder directement à toutes vos données : articles, utilisateurs, mots de passe hashés, commandes WooCommerce, formulaires de contact.
define('AUTH_KEY', 'votre-cle-unique');
define('SECURE_AUTH_KEY', 'votre-cle-unique');
define('LOGGED_IN_KEY', 'votre-cle-unique');
define('NONCE_KEY', 'votre-cle-unique');Ces clés servent à sécuriser les cookies WordPress. Si un hacker les connaît, il peut forger des sessions d’authentification et se connecter comme n’importe quel utilisateur, y compris l’administrateur.
Le préfixe de table ($table_prefix) par défaut est wp_. Connu à l’avance par les attaquants, il facilite les injections SQL automatisées. Les constantes système (debug, uploads, etc.) donnent une cartographie précise de votre installation.
Si votre serveur n’est pas correctement configuré, le fichier peut être accessible directement via l’URL https://votresite.com/wp-config.php. Bien que WordPress ajoute des protections basiques, certaines configurations Apache/Nginx défaillantes laissent le fichier exposé.
Les vulnérabilités de type Local File Inclusion dans des thèmes ou plugins permettent à un attaquant de lire le contenu de wp-config.php. Selon le NVD (NIST), les LFI représentent l’une des catégories de vulnérabilités WordPress les plus exploitées en 2025-2026.
Des plugins de sauvegarde mal configurés peuvent créer des archives .zip ou .tar.gz accessibles publiquement et contenant wp-config.php. Des outils de scan automatisés cherchent en permanence ces fichiers.
Une fois la base de données compromise via SQLi, l’attaquant peut lire la table wp_options pour reconstruire les paramètres de connexion, voire accéder aux tables de configuration étendues.
Des vulnérabilités Path Traversal dans certains plugins (comme la CVE récemment signalée sur EmailKit) permettent de remonter l’arborescence des fichiers et d’accéder à wp-config.php.
Le protocole FTP transmet les identifiants en clair. Une interception réseau suffit pour récupérer vos accès FTP et lire/modifier wp-config.php directement sur le serveur.
Un fichier wp-config.php avec des permissions 777 ou 666 est lisible et modifiable par tous les processus sur le serveur — une catastrophe en hébergement mutualisé où des dizaines de sites partagent le même environnement.
WordPress supporte nativement le déplacement de wp-config.php un niveau au-dessus de la racine publique. Si votre site est dans /public_html/, déplacez wp-config.php dans / (répertoire parent).
# Exemple : déplacer le fichier
mv /home/user/public_html/wp-config.php /home/user/wp-config.phpWordPress le détecte automatiquement. Les navigateurs et bots ne peuvent plus y accéder car ce répertoire n’est pas servi publiquement.
Ajoutez ces règles dans votre fichier .htaccess à la racine :
<files wp-config.php>
order allow,deny
deny from all
</files>Cette règle bloque tout accès HTTP direct au fichier, quel que soit le navigateur ou l’IP source. C’est la protection minimale absolue.
Si vous utilisez Nginx, ajoutez ce bloc dans votre configuration de serveur :
location = /wp-config.php {
deny all;
return 404;
}Les permissions recommandées pour wp-config.php sont 400 ou 440 (lecture seule pour le propriétaire uniquement) :
chmod 400 wp-config.php
# ou
chmod 440 wp-config.phpVérifiez les permissions actuelles avec :
ls -la wp-config.phpSi votre site a subi une intrusion (ou si vos clés n’ont jamais été changées), rendez-vous sur https://api.wordpress.org/secret-key/1.1/salt/ pour générer de nouvelles clés, puis remplacez les 8 lignes correspondantes dans wp-config.php. Tous les utilisateurs seront déconnectés, invalidant toute session piratée.
Le préfixe par défaut wp_ est connu de tous les outils d’attaque automatisés. Utilisez un préfixe unique lors de l’installation, ou changez-le avec un plugin de sécurité :
$table_prefix = 'swp7k_'; // Exemple de préfixe personnalisé⚠️ Attention : Ce changement nécessite de mettre à jour toutes les tables existantes en base de données. Faites une sauvegarde complète avant.
Le mode debug de WordPress peut exposer des informations sensibles sur votre configuration serveur. Assurez-vous que ces constantes sont correctement définies :
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);Ces deux constantes empêchent toute modification de fichiers via l’éditeur WordPress (même si un hacker accède à l’admin) et désactivent les mises à jour/installations automatiques non autorisées :
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);Pour en savoir plus sur la sécurisation de la connexion admin, consultez notre guide désactiver XML-RPC WordPress et notre article sur l’authentification 2FA WordPress.
Des milliers de fichiers wp-config.php avec des identifiants réels sont exposés publiquement sur GitHub chaque année. Ajoutez toujours le fichier dans votre .gitignore :
wp-config.php
wp-config-local.phpLes identifiants MySQL générés automatiquement par certains hébergeurs (type admin / password123) sont vulnérables. Utilisez des mots de passe de minimum 32 caractères avec caractères spéciaux.
Le mode debug WordPress peut afficher des chemins de fichiers, des requêtes SQL et des informations système qui facilitent le travail des attaquants.
Pour tester votre protection, vous pouvez utiliser notre guide de scan de vulnérabilités WordPress ou effectuer ces vérifications manuelles :
https://votresite.com/wp-config.php dans un navigateur → vous devez obtenir une erreur 403 ou 404, jamais le contenu du fichierSelon Wordfence, les sites qui implémentent l’ensemble de ces protections réduisent leur surface d’attaque de 73% sur les vecteurs ciblant les fichiers de configuration.
Non. Ce fichier est indispensable au fonctionnement de WordPress. Sans lui, votre site affiche une erreur fatale. Vous pouvez le déplacer (un niveau au-dessus de la racine web) mais jamais le supprimer.
Certains hébergeurs managés (WP Engine, Kinsta, Cloudways) appliquent des protections par défaut. Mais selon l’étude Patchstack 2025, seulement 26% des attaques sont bloquées côté hébergeur. Ne comptez pas uniquement sur votre hébergeur.
Des plugins comme Wordfence ou iThemes Security ajoutent des couches de protection, mais ils ne remplacent pas les protections au niveau serveur (.htaccess, permissions, déplacement du fichier). Les deux approches sont complémentaires.
Agissez immédiatement : (1) changez tous les mots de passe MySQL, (2) renouvelez les clés secrètes WordPress, (3) scannez la base de données pour des backdoors, (4) vérifiez les fichiers modifiés récemment. Si vous avez besoin d’aide, notre équipe propose un service de nettoyage d’urgence WordPress.
Sécuriser wp-config.php n’est pas optionnel en 2026. C’est la première ligne de défense de votre installation WordPress. En appliquant les 8 méthodes de ce guide — déplacement hors racine, restrictions .htaccess, permissions strictes, clés renouvelées — vous fermez la plupart des vecteurs d’attaque ciblant ce fichier critique.
La sécurité WordPress est un processus continu. Combinez cette protection avec une connexion admin sécurisée et des mises à jour régulières pour une posture de sécurité solide.
Besoin d’un audit de sécurité complet de votre site WordPress ? Notre équipe d’experts analyse votre configuration, détecte les failles et vous accompagne dans la mise en place des protections. Contactez-nous →
Les attaques supply chain WordPress ciblent la chaîne de distribution des plugins et thèmes. Découvrez comment elles fonctionnent, les IOC à surveiller et les mesures concrètes pour protéger votre site.
Votre base de données MySQL est le cœur de WordPress : elle contient tout. Découvrez comment la sécuriser avec 8 techniques concrètes pour 2026.
Découvrez quelles permissions de fichiers appliquer sur WordPress (644, 755, 600) pour sécuriser votre installation et éviter les intrusions. Guide complet 2026 avec commandes SSH.
Apprenez à configurer les bonnes permissions de fichiers WordPress (chmod 755/644/640). Guide complet SSH, FTP, WP-CLI pour sécuriser votre site contre les intrusions.
Un backdoor CVSS 10 découvert dans Smart Slider 3 PRO 3.5.1.35 et deux failles XSS dans Gravity Forms 2.9.30 : analyse et mesures d’urgence pour protéger votre site WordPress.
Votre site WordPress a été piraté ? Suivez ce guide de remédiation complet : détection, nettoyage des fichiers infectés, base de données, sécurisation post-hack et demande de révision Google.
Nos experts français assurent un support et une prestation de qualité.
