skip to Main Content

5 astuces htaccess pour améliorer la sécurité d’un blog WordPress

Divi : le thème WordPress le plus facile à utiliser

Divi : Le meilleur thème WordPress de tous les temps !

Avec plus de 701.000 téléchargements, Divi est le thème WordPress le plus populaire au monde. Il est complet, facile à utiliser et livré avec plus de 62 templates gratuits. [ Recommandé ]

Le fichier « .htaccess » (abréviation de « Hypertext Access ») dans le répertoire de votre blog est un fichier de configuration que vous pouvez utiliser pour remplacer les paramètres de votre serveur web.

Avec de bonnes commandes, vous pouvez activer ou désactiver certaines fonctionnalités et des caractéristiques supplémentaires pour protéger votre site web contre les spammeurs, les pirates et autres menaces.

Certaines de ces commandes comprennent les redirections, la protection de certains fichiers, ou des fonctions plus avancées telles que la protection par un mot de passe ou la protection d’une image du hotlinking.

Dans ce tutoriel, nous allons voir quelques modifications simples que vous pouvez ajouter à votre fichier « .htaccess » pour renforcer la sécurité de votre blog.

Mais avant, si vous n’avez jamais installé WordPress, découvrez Comment installer un blog WordPress en 7 étapes et Comment rechercher, installer et activer un thème WordPress sur votre blog 

Ensuite allons vers ce pourquoi nous sommes là.

Modification du fichier .htaccess

Lorsque vous activez les permaliens sur WordPress, un fichier .htaccess est automatiquement créé à la racine de votre site web.

Lorsque WordPress écrit dans un fichier « .htaccess », il écrit toujours les données entre les hastags suivant :

# BEGIN WordPress
 #WordPress End. 

Le caractère «#» désigne les commentaires dans le fichier, donc ils n’affecteront pas votre configuration.

Ces fichiers sont puissants et la moindre erreur de syntaxe, comme l’oubli d’un caractère « <« , peut rendre votre site web indisponible. Il est donc important de faire une sauvegarde de votre fichier .htaccess avant de faire des modifications.

Lire aussi notre guide sur Quelques astuces htaccess que vous ignorez probablement

Certains systèmes d’exploitation ne vous permettent pas de créer un fichier .htaccess. La meilleure façon de contourner ce problème est :

  • En utilisant le Bloc-notes ou un éditeur de texte similaire, ajouter vos commandes dans l’éditeur
  • Enregistrez le fichier sous un fichier .txt
  • Ensuite envoyez le fichier sur votre site web
  • Une fois téléchargé, renommez le fichier pour « .htaccess »

Vous devez aussitôt rafraîchir votre blog, afin de voir si tout se passe bien. Dans le cas contraire, vous pouvez toujours restaurer l’ancien fichier .htaccess.

Comment protéger votre fichier wp-config.php

L’un des fichiers les plus importants de votre installation WordPress est le fichier wp-config.php.

Ce fichier se trouve à la racine de votre installation WordPress et contient les détails sur la configuration de base de votre blog, tel que vos clés de sécurité WordPress et les informations de connexion à la base de données. Ces informations sont bien sûr sensibles et ceux qui y accèdent peuvent endommager votre blog.

Découvrez aussi nos 10 plugins WordPress pour protéger le contenu d’un site web

Vous pouvez protéger votre fichier « wp-config.php »  en ajoutant le texte suivant sur votre fichier htaccess. :

Créez Facilement votre site Web avec Elementor

Elementor vous permet de créer facilement n'importe quel design de site Web avec un look professionnel. Arrêtez de payer cher pour ce que vous pouvez faire vous-même. [ Gratuit ]

<file wp-config.php>

order allow,deny

deny from all

</file>

Bien sûr, vous serez toujours en mesure d’accéder au fichier via le FTP et sur le cPanel.

Comment empêcher la navigation dans les dossiers WordPress

Protéger vos dossiers WordPress, est une sécurité par obscuration. Cette méthode masquera vos dossiers, ce qui empêchera aux utilisateurs de voir votre contenu.

C’est une bonne pratique pour masquer vos dossiers, qui fonctionne très bien avec les autres méthodes de protection (que nous listons dans cet article).

Pour masquer vos dossiers, vous devez ajouter ce code sur le fichier .htaccess :

Options all –indexes

Comment empêcher le Hotlinking sur votre blog

Le hotlinking épuise votre bande passante, cela arrive lorsque des personnes utilisent vos images sur un autre site web. Si près de 10.000 personnes parviennent à voir cette image sur un autre site web, alors les frais de bande passante ne seront pas à la charge du nouveau site web (qui fait usage de votre image), mais à votre charge.

Vous pouvez donc ajouter un code sur votre fichier .htaccess pour empêcher le hotlinking sur votre blog :

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http://(www.)?votrenomdedomaine/.*$ [NC]

RewriteRule .(gif|jpg)$ http://votrenomdedomaine /hotlink.gif [R,L]

N’oubliez pas de modifier la valeur « votrenomdedomaine » par votre nom de domaine, et « hotlink.gif » vers une image qui indique que le hotlinking est désactivé sur votre blog.

Restreindre l’accès à votre tableau de bord

Il existe quelques moyens pour protéger l’accès à votre tableau de bord. Le moyen le plus simple est de faire usage des adresses IP (surtout si vous accédez à votre blog depuis un même endroit). Pour cela, vous devez ajouter la ligne de code suivante sur un nouveau fichier .htaccess.

order deny,allow

allow from votreip

deny from all

Modifier la valeur « votreip » par votre adresse IP. Pour connaître votre adresse IP, accédez au site web suivant : Mon-IP, une fois que vous aurez ajouté votre IP et sauvegardé le fichier htaccess, envoyez-le dans le dossier « /wp-admin » (et non plus à la racine de l’installation).

Consultez aussi notre guide sur Comment personnaliser le tableau de bord WordPress pour un client

En effectuant cette action, vous serez seul à accéder à votre tableau de bord. Pour ajouter une nouvelle adresse IP (pour de nouveaux administrateurs par exemple), vous devrez modifier le fichier .htaccess qui se trouve dans le dossier « /wp-admin », et ajouter juste après votre adresse IP, le code suivant :

admin_ip_1, admin_ip_2, admin_ip_3

Où « admin_ip_1 », « admin_ip_2 » et « admin_ip_3 » seront remplacés par des adresses IP valides correspondantes aux différents IP des administrateurs.

Protégez votre fichier « .htaccess »

Vous ne serez jamais en sécurité, si la base même de votre système de sécurité est vulnérable. Vous devez donc impérativement, protéger votre fichier .htaccess. Lorsqu’un visiteur tentera d’accéder à votre fichier « .htaccess », le serveur génèrera une page d’erreur automatiquement (403).

Pour protéger votre fichier « .htaccess », vous devez ajouter ce code :

<Files .htaccess>

order allow,deny

deny from all

</Files>

En résumé

Modifier votre fichier « .htaccess » ou créer de nouveau pour des sous-dossiers peuvent considérablement augmenter la sécurité de votre blog. Vous pourrez donc utilisez ces conseils pour booster la sécurité de votre blog en additions avec d’autres mesures que vous aurez apprise sur le web ou ici sur blogpascher.

Cherchez-vous les meilleurs thèmes et plugins WordPress ?

Téléchargez les meilleurs plugins et thèmes WordPress sur Envato et créez facilement votre site web. Déjà plus de 49.720.000 de téléchargements. [EXCLUSIF]

Découvrez aussi quelques thèmes et plugins WordPress premium  

Vous pouvez utiliser d’autres plugins WordPress pour donner une apparence moderne et pour optimiser la prise en main de votre blog ou site web.

Nous vous proposons donc ici quelques plugins WordPress premium qui vous aideront à le faire.

1. Facebook Comments for WordPress and WooCommerce

« WP Facebook Comments » est un plugin WordPress premium qui permet aux utilisateurs de commenter le contenu de votre blog en utilisant leurs comptes Facebook.

Facebook comments for wordpress and woocommerce plugin wordpress

Les utilisateurs peuvent également choisir de partager leurs activités de commentaires avec leurs amis (et les amis de leurs amis) sur Facebook.

Lisez notre article sur Comment le marketing de contenu affecte le référencement de votre blog

Ce plugin est livré avec des outils de modération intégrés et un classement de rapport social.

Télécharger | Démo | Hébergement Web

2. Zxeion

Zxeion est un puissant plugin WordPress premium chargé d’améliorer la sécurité de votre site Web. Ce plugin contient une collection d’outils de protection et de sécurité qui permettront de protéger votre site Web, contre d’éventuelles attaques.

Zxeion plugins wordpress proteger site contre malwares attaques virus

Son système de protection en temps réel vous aidera à déterminer les menaces sur votre site web, et à les bloquer, sans que vous n’ayez à faire quoi que ce soit.

Découvrez nos 10 thèmes WordPress pour créer un site Web d’événement

Ses principales fonctionnalités sont : la protection en temps réel, l’excellent support client, les mises à jour régulières, un bloqueur d’adresse IP, l’excellente documentation, l’interface moderne et professionnelle, un support client dédié et autres

Télécharger | Démo | Hébergement Web

3. WP Membership

Le plugin WordPress premium WP Membership a l’avantage d’être multilingue et est livré à ce jour avec près de 11 langues dans son répertoire. Il vous aidera comme le fait les autres plugins WordPress de cette liste à protéger votre contenu.

Wp membership

Comme fonctionnalités principales, il propose entre autres : le support de plusieurs passerelles de paiement – Paypal, Stripe-, plusieurs modèles de grille de prix, 2 modèles de pages dédiés à l’inscription, 5 modèles de section profil.

Mais, sa force repose sur le fait que vous n’aurez quasiment pas à le configurer, ni à le personnaliser. Installez le tout simplement et commencez à protéger votre contenu.

Créez Facilement votre Boutique en ligne

Téléchargez gratuitement WooCommerce, le meilleurs plugins e-commerce pour vendre vos produits physiques et numériques sur WordPress. [Recommandé]

Télécharger | Démo | Hébergement Web 

Ressources recommandées

Découvrez d’autres ressources recommandées qui vous accompagneront dans la création et la gestion de votre site web.

Conclusion

Voilà ! C’est tout pour ce tutoriel. Nous espérons qu’il vous aidera à améliorer la sécurité de votre blog WordPress. N’hésitez pas à le partager avec vos amis sur vos réseaux sociaux préférés

Cependant, vous pourrez aussi consulter nos ressources, si vous avez besoin de plus d’éléments pour mener à bien vos projets de création de sites internet, en consultant notre guide sur la création de blog WordPress.

Et si vous avez des suggestions ou des remarques, laissez-les dans notre section commentaires.

… 

Cet article comporte 2 commentaires

  1. Bonjour,

    Merci pour ses informations, j’ai déjà eu des blogs hackés par injection dans la base de données d’identifiants comme admin/admin, ensuite ils entrent dans votre blog et y font ce qu’ils veulent.

    Avec un htaccess en plus, il ne parviennent pas à la page de login, voici ce que j’ai fais :

    Mise en place du fichier htaccess dans le root du serveur (pas le site)

    ErrorDocument 401 « Unauthorized Access »
    ErrorDocument 403 « Forbidden »

    AuthName « Authorized Only »
    AuthType Basic
    AuthUserFile /home/…/.motdepasse <-chemin selon votre hébergeur
    require valid-user

    et un fichier .motdepasse qui contient votre login et mot de passe crypté avec cette adresse : http://www.htaccesstools.com/htpasswd-generator/

    Cela donne deux login à faire quand on travaille sur son wordpress mais je préfère cela que me réveiller avec un blog piraté !

    Patrick

    1. Bonjour Patrick,

      Oui, c’est une bonne astuce et merci pour le partage. Après je dirai qu’elle s’adresse plus aux blogueurs intermédiaires.

      Thierry

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Back To Top