1/ Mettre des .htaccess dans tous les dossiers en vue du non-listage des répertoires (fichiers oubliés qui peuvent être sensibles etc.)

2/ Mettre un .htaccess dans le répertoire d’accès à l’interface d’administration (par exemple le répertoire ecrire pour spip). Avec un .htpasswd,  c’est encore meiux.

3/ Regarder si il n’y a pas des fichiers de sauvegardes sql, de fichiers textes avec du code php, de fichiers  dans les répertoires du site internet. Regarder aussi si la base de donnée est uniquement accessible depuis ce serveur.

4/ Regarder les mots de passe des membres (administrateurs, rédacteurs) et faire qu’ils soient compliqués 8 caractères minimums minucules, majuscules, chiffres, caractères et qu’ils soient utilisés QUE pour ce site. Ne pas prédéfinir les mots de passes pour les admins et membres et les envoyés par mail, il faut qu’eux même les choissisent.

5/ De même pour les mot de passe de phpmyadmin et ssh si ils sont trop facile.