skip to Main Content

5 astuces htaccess pour améliorer la sécurité de votre blog WordPress

Divi : le thème WordPress le plus facile à utiliser

Divi : Le meilleur thème WordPress de tous les temps !

Avec plus de 600.000 téléchargements, Divi est le thème WordPress le plus populaire au monde. Il est complet, facile à utiliser et livré avec plus de 62 templates gratuits. [ Recommandé ]

Le fichier « .htaccess » (abréviation de « Hypertext Access ») dans le répertoire de votre blog est un fichier de configuration que vous pouvez utiliser pour remplacer les paramètres de votre serveur web.

Avec de bonnes commandes, vous pouvez activer ou désactiver certaines fonctionnalités et des caractéristiques supplémentaires pour protéger votre site contre les spammeurs, les pirates et autres menaces.

Certaines de ces commandes comprennent les redirections, la protection de certains fichiers, ou des fonctions plus avancées telles que la protection par un mot de passe ou la protection d’une image du hotlinking.

Dans ce tutoriel, nous allons voir quelques modifications simples que vous pouvez ajouter à votre fichier « .htaccess » pour renforcer la sécurité de votre blog.

Modification du fichier .htaccess

Lorsque vous activez les permaliens sur WordPress, un fichier .htaccess est automatiquement créé à la racine de votre site installation.

Lorsque WordPress écrit dans un fichier « .htaccess », il écrit toujours les données entre les hastags suivant : # BEGIN WordPress et #WordPress End. Le caractère «#» désigne les commentaires dans le fichier, donc ils n’affecteront pas votre configuration.

Ces fichiers sont puissants et la moindre erreur de syntaxe, comme l’oubli d’un caractère « <« , peut rendre votre site indisponible. Il est donc important de faire une sauvegarde de votre fichier .htaccess avant de faire des modifications.

Certains systèmes d’exploitation ne vous permettent pas de créer un fichier .htaccess. La meilleure façon de contourner ce problème est :

  • En utilisant le Bloc-notes ou un éditeur de texte similaire, ajouter vos commandes dans l’éditeur
  • Enregistrez le fichier sous un fichier .txt
  • Ensuite envoyez le fichier sur votre site
  • Une fois téléchargé, renommez le fichier pour « . htaccess »

Vous devez aussitôt rafraichir votre blog, afin de voir si tout se passe bien. Dans le cas contraire, vous pouvez toujours restaurer l’ancien fichier .htaccess.

Comment protéger votre fichier wp-config.php

L’un des fichiers les plus importants de votre installation WordPress est le fichier wp-config.php.

Ce fichier se trouve à la racine de votre installation WordPress et contient les détails sur la configuration de base de votre blog, tel que vos clés de sécurité WordPress et les informations de connexion à la base de données. Ces informations sont bien sur sensibles et ceux qui y accèdent peuvent endommager votre blog.

Vous pouvez protéger votre fichier « wp-config.php »  en ajoutant le texte suivant sur votre fichier htaccess. :

<file wp-config.php>

Cherchez-vous les meilleurs thèmes et plugins WordPress ?

Téléchargez les meilleurs plugins et thèmes WordPress sur Envato et créez facilement votre site web. Déjà plus de 49.720.000 de téléchargements. [EXCLUSIF]

order allow,deny

deny from all

</file>

Bien sûr, vous serez toujours en mesure d’accéder au fichier via le FTP et sur le cPanel.

Comment empêcher la navigation dans les dossiers WordPress

Protéger vos dossiers WordPress, est une sécurité par obscuration. Cette méthode masquera vos dossiers, ce qui empêchera aux utilisateurs de voir votre contenu.

C’est une bonne pratique pour masquer vos dossiers, qui fonctionne très bien avec les autres méthodes de protection (que nous listons dans cet article).

Pour masquer vos dossiers, vous devez ajouter ce code sur le fichier .htaccess :

Options all –indexes

Comment empêcher le Hotlinking sur votre blog

Le hotlinking épuise votre bande passante, cela arrive lorsque des personnes utilisent vos images sur un autre site web. Si près de 10.000 personnes parviennent à voir cette image sur un autre site web, alors les frais de bande passante ne seront pas à la charge du nouveau site (qui fait usage de votre image), mais à votre charge.

Vous pouvez donc ajouter un code sur votre fichier .htaccess pour empêcher le hotlinking sur votre blog :

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www.)?votrenomdedomaine/.*$ [NC]

RewriteRule .(gif|jpg)$ http://votrenomdedomaine /hotlink.gif [R,L]

Créez Facilement votre site Web avec Elementor

Elementor vous permet de créer facilement n'importe quel design de site Web avec un look professionnel. Arrêtez de payer cher pour ce que vous pouvez faire vous-même. [ Gratuit ]

N’oubliez pas de modifier la valeur « votrenomdedomaine » par votre nom de domaine, et « hotlink.gif » vers une image qui indique que le hotlinking est désactivé sur votre blog.

Restreindre l’accès à votre tableau de bord

Il existe quelques moyens pour protéger l’accès à votre tableau de bord. Le moyen le plus simple est de faire usage des adresses IP (surtout si vous accédez à votre blog depuis un même endroit). Pour cela, vous devez ajouter la ligne de code suivante sur un nouveau fichier .htaccess.

order deny,allow

allow from votreip

deny from all

Modifier la valeur « votreip » par votre adresse ip. Pour connaître votre adresse ip, accédez au site web suivant : Mon-IP, une fois que vous aurez ajouté votre IP et sauvegardé le fichier htaccess, envoyez-le dans le dossier « /wp-admin » (et non plus à la racine de l’installation).

En effectuant cette action, vous serez seul à accéder à votre tableau de bord. Pour ajouter une nouvelle adresse IP (pour de nouveaux administrateurs par exemple), vous devrez modifier le fichier .htaccess qui se trouve dans le dossier « /wp-admin », et ajouter juste après votre adresse IP, le code suivant :

admin_ip_1, admin_ip_2, admin_ip_3

Où « admin_ip_1 », « admin_ip_2 » et « admin_ip_3 » seront remplacés par des adresses IP valides correspondantes aux différents IP des administrateurs.

Protégez votre fichier « .htaccess »

Vous ne serez jamais en sécurité, si la base même de votre système de sécurité est vulnérable. Vous devrez donc impérativement, protéger votre fichier .htaccess. Lorsqu’un visiteur tentera d’accéder à votre fichier « .htaccess », le serveur génèrera une page d’erreur automatiquement (403).

Pour protéger votre fichier « .htaccess », vous devez ajouter ce code :

<Files .htaccess>

Créez Facilement votre Boutique en ligne

Téléchargez gratuitement WooCommerce, le meilleurs plugins e-commerce pour vendre vos produits physiques et numériques sur WordPress. [GRATUIT]

order allow,deny

deny from all

</Files>

En résumé

Modifier votre fichier « .htaccess » ou créer de nouveau pour des sous-dossiers peuvent considérablement augmenter la sécurité de votre blog. Vous pourrez donc utilisez ces conseils pour booster la sécurité de votre blog en additions avec d’autres mesures que vous aurez apprise sur le web ou ici sur blogpascher.

Vous pouvez partager cet article avec vos proches pour qu’ils en profitent également. N’hésitez pas à nous donner votre avis.

Cet article comporte 2 commentaires
  1. Bonjour,

    Merci pour ses informations, j’ai déjà eu des blogs hackés par injection dans la base de données d’identifiants comme admin/admin, ensuite ils entrent dans votre blog et y font ce qu’ils veulent.

    Avec un htaccess en plus, il ne parviennent pas à la page de login, voici ce que j’ai fais :

    Mise en place du fichier htaccess dans le root du serveur (pas le site)

    ErrorDocument 401 « Unauthorized Access »
    ErrorDocument 403 « Forbidden »

    AuthName « Authorized Only »
    AuthType Basic
    AuthUserFile /home/…/.motdepasse <-chemin selon votre hébergeur
    require valid-user

    et un fichier .motdepasse qui contient votre login et mot de passe crypté avec cette adresse : http://www.htaccesstools.com/htpasswd-generator/

    Cela donne deux login à faire quand on travaille sur son wordpress mais je préfère cela que me réveiller avec un blog piraté !

    Patrick

    1. Bonjour Patrick,

      Oui, c’est une bonne astuce et merci pour le partage. Après je dirai qu’elle s’adresse plus aux blogueurs intermédiaires.

      Thierry

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Back To Top
14 Partages
Partagez13
Tweetez1
Enregistrer