Améliorez la sécurité de votre site avec .htaccess
Le fichier .htaccess (abréviation de « Hypertext Access ») se situe dans le répertoire principal de votre site. Il s’agit d’un fichier de configuration que vous pouvez utiliser pour remplacer les paramètres de votre serveur web. Avec les commandes adéquates, vous pouvez activer ou désactiver des fonctionnalité et des caractéristiques supplémentaires pour protéger votre site des spammeurs, pirates et autres menaces.
Certaines de ces caractéristiques comprennent les redirections de base, le hotlinking pour des fichiers particuliers, ou des fonctions plus avancées telles que la protection par mot de passe.
Dans cet article, nous allons voir comment grâce à quelques modifications simples vous pouvez renforcer la sécurité de votre site grâce au fichier .htaccess.
Editer le fichier .htaccess
Lorsque vous activez les permaliens dans WordPress, un fichier .htaccess est automatiquement créé dans le répertoire racine de votre site d’installation.
Lorsque WordPress écrit dans le fichier .htaccess, il écrit toujours les données entre les lignes de commentaires # BEGIN WordPress et # End WordPress
Le caractère « # » désigne les lignes de commentaires et ces lignes n’affectent pas la configuration.
Le fichiers .htaccess est très puissant et la moindre erreur de syntaxe, comme l’oubli d’un caractère « <« , peut bloquer votre site. Il est donc important de faire une sauvegarde de votre fichier .htaccess avant de faire des modifications.
Certains systèmes d’exploitation ne vous permettent pas de créer un fichier .htaccess. La meilleure façon de contourner ce problème est de:
- Utiliser le Bloc-notes ou un éditeur de texte similaire
- Ajouter vos commandes de configuration
- Enregistrez le fichier avec l’extension .txt
- Téléchargez le fichier sur votre site
- Une fois le fichier téléchargé, renommez le fichier .htaccess
Je vous conseille fortement de rafraîchir la page de votre site après chaque modification du fichier .htaccess afin de pouvoir rapidement revenir à une version précédente de votre fichier .htaccess au cas où des changements génèrent des erreurs.
Protéger wp-config.php
L’un des fichiers les plus importants de votre installation de WordPress est le fichier wp-config.php
Le fichier wp-config se trouve à la racine de votre répertoire WordPress et contient les détails de la configuration de base de votre site, tels que vos clés de sécurité WordPress, les informations de connexion à la base de données. Cette information, bien sûr, est sensible et ceux qui y accèdent peuvent détruire votre site.
Vous pouvez protéger votre fichier wp-config.php en ajoutant les lignes suivantes à votre fichier .htaccess:
<files wp-config.php> order allow,deny deny from all </files>
Bien sûr, vous serez toujours en mesure d’accéder à vos fichiers via FTP, ou via la console d’administration de votre hébergeur.
Empêcher la navigation des répertoires
Protéger vos répertoires des yeux indélicats est un des principes de base de la sécurité des sites Internet. Autrement dit, il s’agit de cacher à l’ingérence visiteurs le contenu de vos répertoires. En fait, c’est l’équivalent web de cacher votre argent sous votre matelas.
Cette pratique qui empêche l’exploration des répertoires et évite de graves problèmes, ainsi que la mise en œuvre d’autres mesures pour sécuriser votre site sont très utiles au quotidien. Pour désactiver la navigation des répertoires, ajoutez les lignes ci-dessous à votre fichier .htaccess :
Options All -Indexes
Empêcher le Hot Linking des images
Le Hot Linking ou direct linking consiste à utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog, dans un forum, etc. En d’autres termes, au lieu d’enregistrer l’image et de l’installer sur son propre serveur Web, le hotlinkeur crée un lien direct vers le serveur d’origine.
Source : Wikipedia
L’explication du hotlinking ci-dessus ne peut être plus précise. L’ajout de lignes suivantes à votre fichier .htaccess arrêtera le hotlinking depuis votre site et diminuera sensiblement la bande passante consommée par les personnes indélicates :
RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC] RewriteRule .(gif|jpg)$ http://www.yoursite.com/hotlink.gif [R,L]
Il faudra remplacer yoursite.com par votre nom de domaine, et modifier hotlink.gif par un fichier image sur votre serveur qui indique que le hotlinking est désactivé.
Restreindre l’accès à votre console Administrateur
Il y a plusieurs façons de protéger votre zone d’administration WordPress (le répertoire wp-admin) des pirates. Un moyen simple est d’en limiter l’accès, à condition que vous accédiez toujours à votre site depuis le même emplacement. La solution consiste à créer un nouveau fichier .htaccess avec les lignes suivantes :
order deny,allow allow from 192.168.5.1 deny from all
Remplacez l’adresse IP 192.168.5.1 par votre propre adresse IP (vous pouvez trouver votre adresse IP grâce à http://www.whatismyip.com/ si vous ne la connaissez pas).Ensuite, téléchargez le fichier .htaccess ainsi créé dans le dossier wp-admin de votre site. Cela vous permettra d’accéder à la zone d’administration de votre site, mais bloquera toutes les autres tentatives
Vous pouvez ajouter des adresses IP supplémentaires pour d’autres administrateurs de votre site, ou même d’autres endroits à partir desquels vous accédez à votre site, à condition toutefois que les adresses IP ne soient pas celles de lieux publics (cafés Internet, bornes wifi, etc…). Vous pouvez le faire en ajoutant des lignes supplémentaires énumérant les adresse IP, en les séparant par des virgules, comme par exemple :
allow from 192.168.5.1, 192.168.9.2, 192.168.3.4
Protégez votre fichier .htaccess
Il est inutile de sécuriser les fichiers de votre site si votre fichier .htaccess est toujours ouvert aux quatre vents. Quand un visiteur tente d’accéder à votre fichier .htaccess, le serveur génère automatiquement une erreur 403 Accès Interdit, même si les paramètres d’ autorisations de fichiers sont ceux par défaut.
Vous pouvez renforcer votre sécurité en ajoutant le code suivant à votre fichier .htaccess :
<Files .htaccess> order allow,deny deny from all </Files>
Mise à jour le 26/10/2015: Pour tous ceux qui souhaiteraient aller plus loin avec .htaccess, je vous suggère de lire l’excellent article Le guide ultime du fichier .htaccess dans WordPress, complété par un guide gratuit, le tout écrit par Alex Bortolotti du site WPMarmite.
En conclusion
Modifier votre fichier .htaccess, ou en créer un nouveau pour les sous-répertoires peut renforcer la sécurité de votre site. Pourtant, il est préférable de suivre les conseils de cet article pour compléter les mesures de sécurité que vous avez déjà mise en place pour votre site.
Nous reviendrons prochainement sur le fichier .htaccess avec d’autres points complétant la sécurité.
A présent cet à vous, n’hésitez pas à partager vos propres trucs et astuces pour .htaccess dans les commentaires ci-dessous.
Et tant qu’à partager, indiquez à vos amis sur les réseaux sociaux que cet article peut les intéresser, merci d’avance.
Publié à l'origine le : 4 juillet 2014 @ 12 h 36 min