Pour des raisons de sécurité, il est dans la plupart du temps, conseillé de désactiver les scripts PHP dans les répertoires :

  • plugins
  • uploads
  • themes

Voici un code à insérer dans le .htaccess à la racine de votre site. Ce code permet d’interdire l’accès direct à des fichiers PHP.

Pas de panique, les fichiers PHP vont continuer à fonctionner dans votre site WordPress.
Par contre, plus personne ne pourra accéder à un script PHP depuis l’extérieur.

Cela limite l’utilisation de script malveillant depuis l’extérieur. Si malgré toutes vos précautions, un bot a réussi à injecter du code malveillant dans une partie de votre site, il ne pourra pas exécuter ce code.

Attention, certains plugins mal écrit appellent des scripts directement depuis l’administration.
Désactiver PHP dans le répertoire Plugins peut donc faire dysfonctionner des plugins mal codés. À surveiller donc..

<IfModule mod_rewrite.c>
# si RewriteEngine On est déjà dans le .htaccess, supprimez la ligne ci-dessous.
RewriteEngine On
# Désactiver php dans le répertoire uploads
RewriteRule ^wp\-content/uploads/.*\.(?:php[1-7]?|pht|phtml?|phps)\.?$ - [NC,F]
# Désactivez php dans le répertoire plugins
RewriteRule ^wp\-content/plugins/.*\.(?:php[1-7]?|pht|phtml?|phps)\.?$ - [NC,F]
# Désactivez php dans le répertoire themes
RewriteRule ^wp\-content/themes/.*\.(?:php[1-7]?|pht|phtml?|phps)\.?$ - [NC,F]
</IfModule>
,