Le fichier « .htaccess » (abréviation de « Hypertext Access ») dans le répertoire de votre blog est un fichier de configuration que vous pouvez utiliser pour remplacer les paramètres de votre serveur web.
Avec de bonnes commandes, vous pouvez activer ou désactiver certaines fonctionnalités et des caractéristiques supplémentaires pour protéger votre site web contre les spammeurs, les pirates et autres menaces.
Certaines de ces commandes comprennent les redirections, la protection de certains fichiers, ou des fonctions plus avancées telles que la protection par un mot de passe ou la protection d’une image du hotlinking.
Dans ce tutoriel, nous allons voir quelques modifications simples que vous pouvez ajouter à votre fichier « .htaccess » pour renforcer la sécurité de votre blog.
Mais avant, si vous n’avez jamais installé WordPress, découvrez Comment installer un blog WordPress en 7 étapes et Comment rechercher, installer et activer un thème WordPress sur votre blog
Ensuite allons vers ce pourquoi nous sommes là.
Modification du fichier .htaccess
Lorsque vous activez les permaliens sur WordPress, un fichier .htaccess est automatiquement créé à la racine de votre site web.
Lorsque WordPress écrit dans un fichier « .htaccess », il écrit toujours les données entre les hastags suivant :
# BEGIN WordPress
#WordPress End.
Le caractère «#» désigne les commentaires dans le fichier, donc ils n’affecteront pas votre configuration.
Ces fichiers sont puissants et la moindre erreur de syntaxe, comme l’oubli d’un caractère « <« , peut rendre votre site web indisponible. Il est donc important de faire une sauvegarde de votre fichier .htaccess avant de faire des modifications.
Lire aussi notre guide sur Quelques astuces htaccess que vous ignorez probablement
Certains systèmes d’exploitation ne vous permettent pas de créer un fichier .htaccess. La meilleure façon de contourner ce problème est :
- En utilisant le Bloc-notes ou un éditeur de texte similaire, ajouter vos commandes dans l’éditeur
- Enregistrez le fichier sous un fichier .txt
- Ensuite envoyez le fichier sur votre site web
- Une fois téléchargé, renommez le fichier pour « .htaccess »
Vous devez aussitôt rafraîchir votre blog, afin de voir si tout se passe bien. Dans le cas contraire, vous pouvez toujours restaurer l’ancien fichier .htaccess.
Comment protéger votre fichier wp-config.php
L’un des fichiers les plus importants de votre installation WordPress est le fichier wp-config.php.
Ce fichier se trouve à la racine de votre installation WordPress et contient les détails sur la configuration de base de votre blog, tel que vos clés de sécurité WordPress et les informations de connexion à la base de données. Ces informations sont bien sûr sensibles et ceux qui y accèdent peuvent endommager votre blog.
Découvrez aussi nos 10 plugins WordPress pour protéger le contenu d’un site web
Vous pouvez protéger votre fichier « wp-config.php » en ajoutant le texte suivant sur votre fichier htaccess. :
<file wp-config.php> order allow,deny deny from all </file>
Bien sûr, vous serez toujours en mesure d’accéder au fichier via le FTP et sur le cPanel.
Comment empêcher la navigation dans les dossiers WordPress
Protéger vos dossiers WordPress, est une sécurité par obscuration. Cette méthode masquera vos dossiers, ce qui empêchera aux utilisateurs de voir votre contenu.
C’est une bonne pratique pour masquer vos dossiers, qui fonctionne très bien avec les autres méthodes de protection (que nous listons dans cet article).
Pour masquer vos dossiers, vous devez ajouter ce code sur le fichier .htaccess :
Options all –indexes
Comment empêcher le Hotlinking sur votre blog
Le hotlinking épuise votre bande passante, cela arrive lorsque des personnes utilisent vos images sur un autre site web. Si près de 10.000 personnes parviennent à voir cette image sur un autre site web, alors les frais de bande passante ne seront pas à la charge du nouveau site web (qui fait usage de votre image), mais à votre charge.
Vous pouvez donc ajouter un code sur votre fichier .htaccess pour empêcher le hotlinking sur votre blog :
RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www.)?votrenomdedomaine/.*$ [NC] RewriteRule .(gif|jpg)$ http://votrenomdedomaine /hotlink.gif [R,L]
N’oubliez pas de modifier la valeur « votrenomdedomaine » par votre nom de domaine, et « hotlink.gif » vers une image qui indique que le hotlinking est désactivé sur votre blog.
Restreindre l’accès à votre tableau de bord
Il existe quelques moyens pour protéger l’accès à votre tableau de bord. Le moyen le plus simple est de faire usage des adresses IP (surtout si vous accédez à votre blog depuis un même endroit). Pour cela, vous devez ajouter la ligne de code suivante sur un nouveau fichier .htaccess.
order deny,allow allow from votreip deny from all
Modifier la valeur « votreip » par votre adresse IP. Pour connaître votre adresse IP, accédez au site web suivant : Mon-IP, une fois que vous aurez ajouté votre IP et sauvegardé le fichier htaccess, envoyez-le dans le dossier « /wp-admin » (et non plus à la racine de l’installation).
Consultez aussi notre guide sur Comment personnaliser le tableau de bord WordPress pour un client
En effectuant cette action, vous serez seul à accéder à votre tableau de bord. Pour ajouter une nouvelle adresse IP (pour de nouveaux administrateurs par exemple), vous devrez modifier le fichier .htaccess qui se trouve dans le dossier « /wp-admin », et ajouter juste après votre adresse IP, le code suivant :
admin_ip_1, admin_ip_2, admin_ip_3
Où « admin_ip_1 », « admin_ip_2 » et « admin_ip_3 » seront remplacés par des adresses IP valides correspondantes aux différents IP des administrateurs.
Protégez votre fichier « .htaccess »
Vous ne serez jamais en sécurité, si la base même de votre système de sécurité est vulnérable. Vous devez donc impérativement, protéger votre fichier .htaccess. Lorsqu’un visiteur tentera d’accéder à votre fichier « .htaccess », le serveur génèrera une page d’erreur automatiquement (403).
Pour protéger votre fichier « .htaccess », vous devez ajouter ce code :
<Files .htaccess> order allow,deny deny from all </Files>
En résumé
Modifier votre fichier « .htaccess » ou créer de nouveau pour des sous-dossiers peuvent considérablement augmenter la sécurité de votre blog. Vous pourrez donc utilisez ces conseils pour booster la sécurité de votre blog en additions avec d’autres mesures que vous aurez apprise sur le web ou ici sur blogpascher.
Découvrez aussi quelques thèmes et plugins WordPress premium
Vous pouvez utiliser d’autres plugins WordPress pour donner une apparence moderne et pour optimiser la prise en main de votre blog ou site web.
Nous vous proposons donc ici quelques plugins WordPress premium qui vous aideront à le faire.
1. Facebook Comments for WordPress and WooCommerce
« WP Facebook Comments » est un plugin WordPress premium qui permet aux utilisateurs de commenter le contenu de votre blog en utilisant leurs comptes Facebook.
Les utilisateurs peuvent également choisir de partager leurs activités de commentaires avec leurs amis (et les amis de leurs amis) sur Facebook.
Lisez notre article sur Comment le marketing de contenu affecte le référencement de votre blog
Ce plugin est livré avec des outils de modération intégrés et un classement de rapport social.
Télécharger | Démo | Hébergement Web
2. Zxeion
Zxeion est un puissant plugin WordPress premium chargé d’améliorer la sécurité de votre site Web. Ce plugin contient une collection d’outils de protection et de sécurité qui permettront de protéger votre site Web, contre d’éventuelles attaques.
Son système de protection en temps réel vous aidera à déterminer les menaces sur votre site web, et à les bloquer, sans que vous n’ayez à faire quoi que ce soit.
Découvrez nos 10 thèmes WordPress pour créer un site Web d’événement
Ses principales fonctionnalités sont : la protection en temps réel, l’excellent support client, les mises à jour régulières, un bloqueur d’adresse IP, l’excellente documentation, l’interface moderne et professionnelle, un support client dédié et autres
Télécharger | Démo | Hébergement Web
3. WP Membership
Le plugin WordPress premium WP Membership a l’avantage d’être multilingue et est livré à ce jour avec près de 11 langues dans son répertoire. Il vous aidera comme le fait les autres plugins WordPress de cette liste à protéger votre contenu.
Comme fonctionnalités principales, il propose entre autres : le support de plusieurs passerelles de paiement – Paypal, Stripe-, plusieurs modèles de grille de prix, 2 modèles de pages dédiés à l’inscription, 5 modèles de section profil.
Mais, sa force repose sur le fait que vous n’aurez quasiment pas à le configurer, ni à le personnaliser. Installez le tout simplement et commencez à protéger votre contenu.
Télécharger | Démo | Hébergement Web
Ressources recommandées
Découvrez d’autres ressources recommandées qui vous accompagneront dans la création et la gestion de votre site web.
- 9 plugins WordPress pour restreindre l’accès à votre contenu
- 9 plugins WordPress pour personnaliser votre page d’accueil
- 6 plugins WordPress pour assurer la conformité GDPR d’un blog
- 5 plugins WordPress pour créer des tableaux responsive
Conclusion
Voilà ! C’est tout pour ce tutoriel. Nous espérons qu’il vous aidera à améliorer la sécurité de votre blog WordPress. N’hésitez pas à le partager avec vos amis sur vos réseaux sociaux préférés.
Cependant, vous pourrez aussi consulter nos ressources, si vous avez besoin de plus d’éléments pour mener à bien vos projets de création de sites internet, en consultant notre guide sur la création de blog WordPress.
Et si vous avez des suggestions ou des remarques, laissez-les dans notre section commentaires.
…
Bonjour,
Merci pour ses informations, j’ai déjà eu des blogs hackés par injection dans la base de données d’identifiants comme admin/admin, ensuite ils entrent dans votre blog et y font ce qu’ils veulent.
Avec un htaccess en plus, il ne parviennent pas à la page de login, voici ce que j’ai fais :
Mise en place du fichier htaccess dans le root du serveur (pas le site)
ErrorDocument 401 « Unauthorized Access »
ErrorDocument 403 « Forbidden »
AuthName « Authorized Only »
AuthType Basic
AuthUserFile /home/…/.motdepasse <-chemin selon votre hébergeur
require valid-user
et un fichier .motdepasse qui contient votre login et mot de passe crypté avec cette adresse : http://www.htaccesstools.com/htpasswd-generator/
Cela donne deux login à faire quand on travaille sur son wordpress mais je préfère cela que me réveiller avec un blog piraté !
Patrick
Bonjour Patrick,
Oui, c’est une bonne astuce et merci pour le partage. Après je dirai qu’elle s’adresse plus aux blogueurs intermédiaires.
Thierry