Sécuriser le site après WordPress

Un site statique n’est jamais “invulnérable”, mais il supprime une très grosse partie de la surface d’attaque : plus d’admin WordPress, plus de plugins, plus de base de données, plus d’XML-RPC, moins de code côté serveur.

À faire

HTTPS, hébergement propre, mots de passe forts, accès SFTP seulement, sauvegardes hors serveur, suppression des comptes inutiles, en-têtes de sécurité.

À éviter

Upload libre de fichiers, vieux scripts PHP oubliés, permissions 777, partage d’accès, stockage de secrets dans des fichiers publics.

À surveiller

Renouvellement TLS, disponibilité du site, sauvegardes testées, journaux serveur, liens Amazon cassés, formulaires éventuellement spammés.

Fichiers fournis

server/.htaccess pour Apache et server/nginx-security-snippet.conf pour Nginx.

Conseil direct

Pour ton usage, reste en statique pur. N’ajoute pas de PHP si tu n’en as pas besoin. Chaque ligne de code serveur en plus est une zone de risque en plus.