Garder ton site en sécurité devrait être une priorité absolue pour chaque administrateur. WordPress est une plateforme sécurisée dès le départ, mais cela ne signifie pas qu’elle est impénétrable aux attaques. Heureusement, même si tu n’es pas un expert en sécurité, tu peux utiliser un fichier appelé .htaccess pour renforcer les politiques de sécurité de ton site.
.htaccess est un fichier de configuration pour le serveur web Apache, qui héberge de nombreux sites WordPress. C’est un outil puissant qui aide à protéger ton site et à améliorer ses performances grâce à quelques modifications mineures de son code. En éditant ce fichier, tu peux bannir des utilisateurs, créer des redirections, prévenir des attaques, et même interdire l’accès à des parties spécifiques de ton site.
Introduction Au Fichier .htaccess
.htaccess est l’abréviation de « HyperText Access ». C’est un fichier de configuration qui détermine comment les serveurs basés sur Apache interagissent avec votre site. En termes plus simples, .htaccess contrôle comment les fichiers dans un répertoire peuvent être accédés. Tu peux le considérer comme un garde pour ton site car il décide qui laisser entrer et ce qu’ils sont autorisés à faire.
Par défaut, un fichier .htaccess est généralement inclus dans ton installation WordPress. Le principal objectif de ce fichier est d’améliorer la sécurité et la performance. De plus, il te permet également de modifier les paramètres de ton serveur web.
Tu trouveras très probablement ton fichier .htaccess dans le répertoire racine de ton site. Puisque .htaccess s’applique à son propre répertoire et à tous les sous-répertoires de ce dossier principal, il impacte tout ton site WordPress.
Il est également à noter que le fichier .htaccess n’a pas d’extension de fichier. Le point au début assure simplement que le fichier reste caché.
Comment Modifier Ton Fichier .htaccess WordPress
Modifier le fichier .htaccess est, en pratique, aussi simple que de modifier tout autre fichier texte. Cependant, comme il s’agit d’un fichier principal, apporter des modifications peut avoir des conséquences imprévues.
Pour cette raison, il est essentiel que tu sauvegardes ton site avant de commencer, que tu sois débutant ou développeur expérimenté.
Quand tu es prêt à modifier ton fichier .htaccess, tu peux y accéder en utilisant le Protocole de Transfert de Fichier Sécurisé (SFTP) ou le Secure Shell (SSH). Tu trouveras le fichier .htaccess dans le répertoire racine de ton site :
Ouvre le fichier avec ton éditeur de texte préféré, tel que TextEdit ou Notepad. Si le fichier n’a jamais été modifié auparavant, tu verras les informations par défaut suivantes :
Il est important de ne rien ajouter ni modifier entre les balises # BEGIN et # END. Au lieu de cela, tout nouveau code doit être ajouté après ce bloc.
À ce stade, tout ce que tu as à faire, c’est ajouter ton code et enregistrer le fichier. Lorsque tu inclus plusieurs nouvelles fonctions, il est préférable d’enregistrer et de tester chacune séparément. Si une erreur se produit, cela facilitera grandement le dépannage pour identifier quelle modification a causé le problème.
Bien que presque toutes les installations WordPress contiendront déjà un fichier .htaccess, dans certains cas, tu devras peut-être en créer un. Tu peux le faire avec un éditeur de texte de ton choix, tant que tu l’enregistres avec le bon nom de fichier : .htaccess sans extension.
Il est également important de configurer les paramètres de permission des fichiers correctement. Tu peux ensuite télécharger .htaccess dans le répertoire racine de ton site.
9 Choses Que Tu Peux Faire Avec Ton Fichier .htaccess WordPress
Maintenant que tu es familiarisé avec le fichier .htaccess, il est temps de t’en rapprocher. Nous allons te présenter plusieurs façons de renforcer facilement la sécurité et les performances de ton site en modifiant ce fichier.
Utilise simplement les extraits de code que nous avons fournis ci-dessous, et n’oublie pas de créer une sauvegarde avant de commencer !
1. Refuser L’accès À Certaines Parties De Ton Site
Une des choses les plus utiles que tu peux faire avec .htaccess est de refuser l’accès à certaines pages et fichiers. Il y a quelques fichiers que tu devrais envisager de cacher de cette manière pour des raisons de sécurité, comme ton fichier wp-config.php.
Tu peux faire cela en ajoutant le code suivant, qui provoquera l’apparition d’une erreur 404 si quelqu’un tente de voir le fichier :
<Files ~ "/wp-config.php"> Order Allow,Deny Deny from All </Files>
Dans les cas où les données sensibles doivent être cachées, il peut être utile de restreindre l’accès au répertoire correspondant. Comme de nombreux sites WordPress utilisent la même structure de dossiers, cette configuration peut rendre votre site vulnérable. Si tu ajoutes la ligne suivante, cela désactivera la fonctionnalité de listing de répertoire par défaut :
Options -Indexes
Cela empêchera les utilisateurs et les robots d’indexation de voir la structure de tes dossiers. Si quelqu’un essaie d’y accéder, une page d’erreur 403 lui sera affichée.
2. Redirection et Réécriture des URLs
Créer des redirections te permet d’envoyer automatiquement les utilisateurs vers une page spécifique. Les redirections peuvent être particulièrement utiles si une page a été déplacée ou supprimée, et que tu souhaites que les utilisateurs qui tentent d’accéder à cette page soient dirigés ailleurs.
Tu peux réaliser cela avec un plugin tel que Redirection, mais il est également possible de le faire en modifiant le fichier .htaccess. Pour créer une redirection, utilise le code suivant :
Redirection /oldfile.html http://www.example.com/newfile.html
Tu peux probablement voir ce qui se passe ici. La première partie est le chemin vers l’ancien fichier, tandis que la seconde partie est l’URL vers laquelle tu souhaites rediriger les visiteurs.
3. Force Ton Site À Se Charger Sécurisé Avec HTTPS
<style>.embed-container { position: relative; padding-bottom: 56.25%; height: 0; overflow: hidden; max-width: 100%; } .embed-container iframe, .embed-container object, .embed-container embed { position: absolute; top: 0; left: 0; width: 100%; height: 100%; }</style><div class=’embed-container’><iframe src=’https://www.youtube.com/embed/QeicRf_Ri3Y’ frameborder=’0′ allowfullscreen></iframe></div>
Si tu as ajouté un certificat SSL à ton domaine, tel que le certificat gratuit Let’s Encrypt de DreamHost, il est conseillé de forcer ton site à se charger en utilisant HTTPS. Cela garantira que ton site est plus sûr pour toi et tes visiteurs.
Tu peux le réaliser en ajoutant le code suivant :
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] Ton site va maintenant rediriger automatiquement toutes les requêtes HTTP pour les forcer à utiliser HTTPS à la place. Par exemple, si un utilisateur essaie d’accéder à http://www.example.com, il sera automatiquement redirigé vers https://www.example.com.
4. Modifier Les Paramètres De Cache
Caching de navigateur est un processus où certains fichiers du site web sont temporairement enregistrés sur le dispositif local d’un visiteur pour permettre aux pages de se charger plus rapidement. En utilisant .htaccess, tu peux modifier la durée pendant laquelle tes fichiers sont conservés dans le cache du navigateur jusqu’à ce qu’ils soient mis à jour avec de nouvelles versions.
Il existe plusieurs méthodes pour cela, mais pour cet exemple, nous utiliserons une fonction appelée mod_headers. Le code suivant modifiera le temps de mise en cache maximal pour tous les fichiers jpg, jpeg, png, et gif :
<ifModule mod_headers.c> <filesMatch ".(jpg|jpeg|png|gif)$"> Header set Cache-Control "max-age=2592000, public" </filesMatch>
Nous avons défini le temps maximum à 2 592 000 secondes, ce qui équivaut à 30 jours. Tu peux modifier cette durée si tu le souhaites, ainsi que les extensions de fichier qui seront affectées. Si tu veux ajouter différents paramètres pour différentes extensions, ajoute simplement plus de fonctions mod_header.
5. Prévenir Certaines Attaques Par Injection De Script
Injection de script (ou ‘injection de code’) cherche à modifier l’exécution d’un site ou d’une application en ajoutant un code invalide. Par exemple, quelqu’un pourrait ajouter un script dans un champ de texte sur ton site puis le soumettre, ce qui pourrait amener ton site à exécuter réellement le script.
Tu peux ajouter le code suivant pour te protéger contre certains types d’injection de script :
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L] Ton site devrait maintenant être capable de détecter et d’arrêter les tentatives d’injection de script et de rediriger le coupable vers ta page index.php.
Cependant, il est important de noter que cet exemple ne protégera pas contre tous les types d’attaques par injection. Bien que ce code particulier puisse certainement être utile, tu ne devrais pas l’utiliser comme ta seule protection contre ce type d’attaque.
6. Arrêtez Les Attaques D’Énumération Des Noms D’Utilisateur
L’énumération des noms d’utilisateur est un processus où les noms d’utilisateur de ton site sont récoltés en examinant la page d’auteur de chaque utilisateur. Cela est particulièrement problématique si quelqu’un parvient à trouver ton nom d’utilisateur admin, ce qui facilite grandement l’accès des bots à ton site.
Tu peux aider à prévenir l’énumération des noms d’utilisateur en ajoutant le code suivant:
RewriteCond %{REQUEST_URI} !^/wp-admin [NC]
RewriteCond %{QUERY_STRING} author=d
RewriteRule .* - [R=403,L] Cela arrêtera certaines tentatives pour énumérer les noms d’utilisateur et affichera une page d’erreur 403 à la place. Garde à l’esprit que cela ne préviendra pas toutes les énumérations, et tu devrais tester ta sécurité de manière approfondie. Nous recommandons également de renforcer davantage ta page de connexion en mettant en place l’Authentification Multifacteur.
7. Empêcher Le Hotlinking D’images
Le hotlinking d’images est un problème fréquent qui se produit lorsque des images sur votre serveur sont affichées sur un autre site. Tu peux arrêter cela en ajoutant le code suivant à .htaccess:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www.)?example.com/.*$ [NC]
RewriteRule .(png|gif|jpg|jpeg)$ https://www.example.com/wp-content/uploads/hotlink.gif [R,L] Remplace example.com par ton propre domaine, et ce code empêchera le chargement des images sur tous les autres sites. À la place, l’image que tu spécifies sur la dernière ligne sera chargée. Tu peux utiliser cela pour envoyer une image alternative aux sites qui tentent d’afficher des graphiques depuis ton serveur.
Fais attention, cela peut causer des problèmes lorsque tu souhaites que des images apparaissent de manière externe, comme sur des moteurs de recherche. Tu pourrais également envisager de lier à un script au lieu d’une image statique, puis répondre avec une image filigranée ou une image contenant une publicité.
8. Contrôle Tes Extensions De Fichier
En utilisant .htaccess, tu peux contrôler comment les fichiers de différentes extensions sont chargés par ton site. Il y a beaucoup de choses que tu peux faire avec cette fonctionnalité, comme exécuter des fichiers en tant que PHP, mais nous allons simplement examiner un exemple de base pour le moment.
Le code suivant va supprimer l’extension de fichier des fichiers PHP lorsqu’ils sont chargés. Tu peux utiliser ceci avec n’importe quel type de fichier, tant que tu remplaces toutes les instances de “php” par l’extension que tu souhaites :
RewriteEngine On
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /.*index HTTP/
RewriteRule ^(.*)index$ http://example.com/$1 [L,R=301]
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([^/]+)/$ http://example.com/$1 [L,R=301]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /(.+).php HTTP/
RewriteRule ^(.+).php$ http://example.com/$1 [L,R=301]
RewriteRule ^([a-z]+)$ /$1.php [L] Cela entraînera le chargement de tous les fichiers PHP sans afficher leur extension dans l’URL. Par exemple, le fichier index.php apparaîtra simplement comme index.
9. Forcer Le Téléchargement Des Fichiers
Enfin, lorsqu’un fichier est demandé sur ton site, le comportement par défaut est de l’afficher dans le navigateur. Par exemple, si tu héberges un fichier audio, il commencera à être joué dans le navigateur plutôt que d’être enregistré sur l’ordinateur du visiteur.
Tu peux modifier cela en forçant le site à télécharger le fichier à la place. Cela peut être fait avec le code suivant :
AddType application/octet-stream mp3
Dans cet exemple, nous avons utilisé des fichiers mp3, mais tu peux utiliser la même fonction pour txt, mov, ou toute autre extension pertinente.
Améliore La Sécurité Et La Performance De Ton Site
Le .htaccess fichier offre de la flexibilité pour contrôler le comportement de ton serveur web. Tu peux également l’utiliser pour augmenter la performance de ton site et obtenir plus de contrôle sur qui peut accéder à quelles informations.
Avec .htaccess, tu peux refuser l’accès à certaines parties de ton site web. De plus, il te permet de rediriger des URL, de forcer ton site à se charger via HTTPS et de prévenir certaines attaques par injection de scripts.
Modifier ton fichier .htaccess est juste une manière d’améliorer la sécurité de ton site. Choisir un fournisseur d’hébergement WordPress sécurisé en est une autre. Découvre nos plans d’hébergement géré DreamPress pour voir comment nous pouvons booster la sécurité et les performances de ton site web !
Fais Plus avec DreamPress
Les utilisateurs de DreamPress Plus et Pro bénéficient d’un accès à Jetpack Professional (et à plus de 200 thèmes premiums) sans coût supplémentaire!
Découvrir les Plans