Sécurité WordPress

5 étapes pour sécuriser votre site avec .htaccess

4 juillet 2014

5 étapes pour sécuriser votre site avec .htaccess

Améliorez la sécurité de votre site avec .htaccess

Le fichier .htaccess (abréviation de « Hypertext Access ») se situe dans le répertoire principal de votre site. Il s’agit d’un fichier de configuration que vous pouvez utiliser pour remplacer les paramètres de votre serveur web. Avec les commandes adéquates, vous pouvez activer ou désactiver des fonctionnalité et des caractéristiques supplémentaires pour protéger votre site des spammeurs, pirates et autres menaces.

htaccess

Certaines de ces caractéristiques comprennent les redirections de base, le hotlinking pour des fichiers particuliers, ou des fonctions plus avancées telles que la protection par mot de passe.

Dans cet article, nous allons voir comment grâce à quelques modifications simples vous pouvez renforcer la sécurité de votre site grâce au fichier .htaccess.

Editer le fichier .htaccess

Lorsque vous activez les permaliens dans WordPress, un fichier .htaccess est automatiquement créé dans le répertoire racine de votre site d’installation.

Lorsque WordPress écrit dans le fichier .htaccess, il écrit toujours les données entre les lignes de commentaires # BEGIN WordPress et # End WordPress

Le caractère « # » désigne les lignes de commentaires et ces lignes n’affectent pas la configuration.
Le fichiers .htaccess est très puissant et la moindre erreur de syntaxe, comme l’oubli d’un caractère « <« , peut bloquer votre site. Il est donc important de faire une sauvegarde de votre fichier .htaccess avant de faire des modifications.

Certains systèmes d’exploitation ne vous permettent pas de créer un fichier .htaccess. La meilleure façon de contourner ce problème est de:

  1. Utiliser le Bloc-notes ou un éditeur de texte similaire
  2. Ajouter vos commandes de configuration
  3. Enregistrez le fichier avec l’extension .txt
  4. Téléchargez le fichier sur votre site
  5. Une fois le fichier téléchargé, renommez le fichier .htaccess

Je vous conseille fortement de rafraîchir la page de votre site après chaque modification du fichier .htaccess afin de pouvoir rapidement revenir à une version précédente de votre fichier .htaccess au cas où des changements génèrent des erreurs.

Protéger wp-config.php

L’un des fichiers les plus importants de votre installation de WordPress est le fichier wp-config.php

protéger wp-config avec htaccess

Le fichier wp-config se trouve à la racine de votre répertoire WordPress et contient les détails de la configuration de base de votre site, tels que vos clés de sécurité WordPress, les informations de connexion à la base de données. Cette information, bien sûr, est sensible et ceux qui y accèdent peuvent détruire votre site.

Vous pouvez protéger votre fichier wp-config.php en ajoutant les lignes suivantes à votre fichier .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

Bien sûr, vous serez toujours en mesure d’accéder à vos fichiers via FTP, ou via la console d’administration de votre hébergeur.

Empêcher la navigation des répertoires

Protéger vos répertoires des yeux indélicats est un des principes de base de la sécurité des sites Internet. Autrement dit, il s’agit de cacher à l’ingérence visiteurs le contenu de vos répertoires. En fait, c’est l’équivalent web de cacher votre argent sous votre matelas.

Empêcher la navigation des répertoires
Crédit Photo : jscreationzs

Cette pratique qui empêche l’exploration des répertoires et évite de graves problèmes, ainsi que la mise en œuvre d’autres mesures pour sécuriser votre site sont très utiles au quotidien. Pour désactiver la navigation des répertoires, ajoutez les lignes ci-dessous à votre fichier .htaccess :

Options All -Indexes

Empêcher le Hot Linking des images

Le Hot Linking ou direct linking consiste à utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog, dans un forum, etc. En d’autres termes, au lieu d’enregistrer l’image et de l’installer sur son propre serveur Web, le hotlinkeur crée un lien direct vers le serveur d’origine.

Source : Wikipedia

L’explication du hotlinking ci-dessus ne peut être plus précise. L’ajout de lignes  suivantes à votre  fichier .htaccess arrêtera le hotlinking depuis votre site et diminuera sensiblement la bande passante consommée par les personnes indélicates :

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.yoursite.com/hotlink.gif [R,L]

Il faudra remplacer yoursite.com par votre nom de domaine, et modifier hotlink.gif par un fichier image sur votre serveur qui indique que le hotlinking est désactivé.

Restreindre l’accès à votre console Administrateur

Il y a plusieurs façons de protéger votre zone d’administration WordPress (le répertoire wp-admin) des pirates. Un moyen simple est d’en limiter l’accès, à condition que vous accédiez toujours à votre site depuis le même emplacement. La solution consiste à créer un nouveau fichier .htaccess avec les lignes suivantes :

order deny,allow
allow from 192.168.5.1
deny from all

Remplacez l’adresse IP 192.168.5.1 par votre propre adresse IP (vous pouvez trouver votre adresse IP grâce à http://www.whatismyip.com/ si vous ne la connaissez pas).Ensuite, téléchargez le fichier .htaccess ainsi créé dans le dossier wp-admin de votre site. Cela vous permettra d’accéder à la zone d’administration de votre site, mais bloquera toutes les autres tentatives

Vous pouvez ajouter des adresses IP supplémentaires pour d’autres administrateurs de votre site, ou même d’autres endroits à partir desquels vous accédez à votre site, à condition toutefois que les adresses IP ne soient pas celles de lieux publics (cafés Internet, bornes wifi, etc…). Vous pouvez le faire en ajoutant des lignes supplémentaires énumérant les adresse IP, en les séparant par des virgules, comme par exemple :

allow from 192.168.5.1, 192.168.9.2, 192.168.3.4

 Protégez votre fichier .htaccess

Il est inutile de sécuriser les fichiers de votre site si votre fichier .htaccess est toujours ouvert aux quatre vents. Quand un visiteur tente d’accéder à votre fichier .htaccess, le serveur génère automatiquement une erreur 403 Accès Interdit, même si les paramètres d’ autorisations de fichiers sont ceux par défaut.

htaccess

Vous pouvez renforcer votre sécurité en ajoutant le code suivant à votre fichier .htaccess :

<Files .htaccess>
order allow,deny
deny from all
</Files>

Mise à jour le 26/10/2015: Pour tous ceux qui souhaiteraient aller plus loin avec .htaccess, je vous suggère de lire l’excellent article Le guide ultime du fichier .htaccess dans WordPress, complété par un guide gratuit, le tout écrit par Alex Bortolotti du site WPMarmite.

 En conclusion

Modifier votre fichier .htaccess, ou en créer un nouveau pour les sous-répertoires peut renforcer la sécurité de votre site. Pourtant, il est préférable de suivre les conseils de cet article pour compléter les mesures de sécurité que vous avez déjà mise en place pour votre site.

Nous reviendrons prochainement sur le fichier .htaccess avec d’autres points complétant la sécurité.

A présent cet à vous, n’hésitez pas à partager vos propres trucs et astuces pour .htaccess dans les commentaires ci-dessous.

Et tant qu’à partager, indiquez à vos amis sur les réseaux sociaux que cet article peut les intéresser, merci d’avance.

22 commentaires
  1. Micka

    Ah ! Ca fonctionne bien maintenant ;-) Bravo !

  2. Hubert

    Tout le plaisir est pour moi :)

  3. patrice

    Bonjour,J'ai commencé à configurer mon .htaccess comme vous le conseillez, mais je me pose une question concernant la zone admin: comment protéger sa zone d'administration de son site wordpress, quand on n'a pas une ip fixe? Et question complémentaire liée: Quels sont les avantages et inconvénients d'une ip fixe?Merci

  4. Hubert

    Bonjour, Qu'entendez vous par IP Fixe? Si vous avez une box pour vous connecter à Internet, vous avez une IP qui vous est propre est c'est cette adresse IP qu'il faut utiliser pour protéger l'accès à votre administration. Une IP fixe signifie que l'auteur est digne de foi, du moins c'est ce que les lecteurs pensent en général. Toutefois avoir une IP fixe n'est, à mon avis, utile qu'à compter d'un certain niveau de popularité.

  5. Jean Sébastien

    Bonjour,Je me pose la même question que Patrice quant à la manière de sécuriser un fichire .htaccess à partir d'une adresse ip dynamique.Merci des conseils.

  6. Hubert

    Je ne veux pas trop m'avancer, masi à ma connaissance, sécuriser un fichier .htaccess à partir d’une adresse ip dynamique n'est pas possible, mais je vais creuser, sait-on jamais et si je trouve une solution j'en ferai un article.

  7. Saiko

    : Bonjour, j'ai un problème au niveau de l'affichage de mon site en version mobile avec mon réseaux cellulaire 3G.Mon site fonctionne parfaitement sur mon pc et il marche également bien sur mon mobile avec un réseaux 4G et WIFI.Le problème est lorsque je veut me rendre dessus avec un réseaux 3G - EDGE celui ne s'affiche pas du tout correctement.J'ai beau chercher une solution mais je n'arrive pas à trouver de quoi cela peut t'il venir...J'espere trouver une solution au près de vous si une personne peut m'aider...Je vous remercie pleinement de votre soutiens.

  8. Hubert

    Pouvez vous me donner l'URL de votre site que je puisse tester?

  9. bruno

    je vais installer wordpress sur mon hébergement, tu écris que :"Lorsque vous activez les permaliens dans WordPress, un fichier .htaccess est automatiquement créé dans le répertoire racine de votre site d’installation."est ce donc suffisant pour continuer à utiliser et mettre à jour les nouvelles versions des plugins et de wordpress ? Merci, je vais attendre ta réponse. Bruno

  10. Hubert

    Ce n'est pas suffisant loin de là. le fichier .htaccess a de nombreuses fonctionnalités, mais il ne s'occupe nullement de la mise à jour de WordPress, des plugin ou des thèmes. WordPress se met à jour automatiquement pour toutes les mises à jour mineures (ex 4.0 vers 4.0.1), mais pour les màj majeures il faut faire le choix de l'installation automatique, ou le faire manuellement. Pour les plugin et les thèmes il existe plusieurs plugin qui peuvent te prévenir des mises à jour à effectuer. Certains plugin se mettent à jour automatiquement, mais ils sont encore peu nombreux. Je reviendrai prochainement sur le fichier htaccess.

  11. bruno

    merci pour ta réponse, j'attendrai ton prochain article sur le fichier htaccess...avec pour ma part une demande " comment l'installer".

  12. Hubert

    Je ne manquerai pas d'y répondre

  13. Dépannage informatique 76

    Merci pour ce superbe billet ... Pour sécuriser facilement et efficacement votre site wordpress je vous recommande d installer l extension ITheme security ... Ce plugins de sécurité détecte tout ce qui ne va pas ,reste à cliquer afin de corriger les problèmes ,Itheme security permet également de renommer le compte administrateur de modifier votre fichier .htacess..... Une extension fiable et très bien noté ... et surtout très complète ...

  14. Assistance informatique rouen

    Pour sécuriser les sites de mes clients j utilise le plugin Itheme security . Itheme security est simple d utilisation,complète, fiable et extrêmement bien noté par les utilisateurs…. il détecte ce qui ne va pas ,il y a juste à cliquer afin de corriger les problèmes .. Cette extension permet également de renommer le compte Admin ,de modifier votre .htacess ….

  15. Hubert

    C'est le premier plugin conseillé pour une sécurité efficace.

  16. Hubert

    C'est le premier plugin conseillé pour une sécurité efficace.

  17. viriis

    Merci pour cet article intéressant. Juste pour répondre à "patrice" (comment protéger sa zone d’administration de son site wordpress, quand on n’a pas une ip fixe?) Impossible il faut obligatoirement avoir une ip fix (statique). Demander a votre fournisseur d'internet chez orange sa coûte 10euro et c'est a vie (si je m'en rappelle bien), free c'est gratuit et autmatique je crois bref la plupart du temps vous avez une ip dinamique qui change a chaque reboot de la box.

  18. Hubert

    Merci pour cette réponse qui intéressera de nombreux lecteurs.

  19. Emmanuel

    Bonjour, par le passé, j’ai fait l’expérience de vouloir modifier mon fichier htaccess en le rapatriant via Filezilla sur mon PC... Cependant mon PC était hacké sans que je le sache (et ceci malgré l’anti-virus Mac Afee, dont j’avais une licence officielle)... Le hacker a pu donc accéder à mon tableau de bord facilement et se mettre comme Administrateur de mon site ! J’ai dû le virer à 2 reprises avant de comprendre ce qui s’était passé ! Réponse: en fait sous Windows les fichiers htacces ne sont pas masqués lorsqu’ils sont téléchargés sur nos PC... (chose qui est faite nativement sous Mac !). Info trouvée sur internet à l’époque ! Cdmt, Emmanuel.

  20. Hubert

    Une excellente chose à savoir pour les utilisateurs de Windows. Merci.

  21. Deuns26

    Merci @Emmanuel sympa l'info. Deuns26

  22. Hubert

    C'est ce que je disais ;)

  23. Patrick Javelle

    Merci pour l'article, simple et concis. Après avoir eu un site Wordpress piraté il y a quelques années, je modifie systématiquement le HTACCESS de tous mes nouveaux sites. C'est un réflexe, tout comme renommer le préfixe de la base de données (WP_ par défaut...). Wordpress attire de plus en plus les hackers et il devient primordial de protéger les sites qui l'utilisent.

Laisser un commentaire

You have to agree to the comment policy.

-25% sur ElegantThemes.com Maintenant !Cliquez-ici !
+