{"id":1989,"date":"2012-02-16T02:23:43","date_gmt":"2012-02-16T01:23:43","guid":{"rendered":"https:\/\/www.creativejuiz.fr\/blog\/?p=1989"},"modified":"2015-01-18T16:13:16","modified_gmt":"2015-01-18T15:13:16","slug":"dossier-securiser-wordpress-fichier-htaccess","status":"publish","type":"post","link":"https:\/\/www.creativejuiz.fr\/blog\/wordpress\/dossier-securiser-wordpress-fichier-htaccess","title":{"rendered":"Dossier WordPress – S\u00e9curiser davantage WordPress avec le fichier .htaccess"},"content":{"rendered":"

Le fichier .htaccess<\/code> permet de communiquer avec la machine qui h\u00e9berge votre site internet.
\nLe fichier dont je ferai r\u00e9f\u00e9rence dans cet article doit \u00eatre plac\u00e9 \u00e0 la racine de votre blog, c’est \u00e0 dire au m\u00eame niveau que votre fichier wp-config.php<\/code>.
\nDans certains cas, il est possible de placer un fichier .htaccess<\/code> dans un dossier pour limiter l’impact sur les fichiers. Les instructions du fichier .htaccess<\/code> plac\u00e9 dans un dossier prend le dessus sur le fichier .htaccess<\/code> parent, si les instructions rentrent en conflit.<\/p>\n

N’oubliez pas de faire une sauvegarde syst\u00e9matique de votre fichier .htaccess<\/code> avant toute intervention. Vous pourrez facilement replacer en ligne votre sauvegarde si jamais le nouveau fichier est mal \u00e9crit.<\/p>\n

Emp\u00eacher la navigation dans les dossiers<\/h2>\n

\"\"<\/p>\n

Certains h\u00e9bergeurs ne bloquent pas la possibilit\u00e9 de naviguer directement dans les dossiers d’un site. (d\u00e9sol\u00e9 pour la personne qui reconnaitra le dossier Galerie<\/strong> de son site \ud83d\ude09 )<\/em>
\nAinsi, en tapant http:\/\/mon_super_site.net\/wp-includes\/ il est parfois possible de naviguer dans les fichiers de ce dossier, puis dans les sous-dossiers.
\nPour bloquer cette possibilit\u00e9 il suffit de rentrer cette ligne de code dans votre fichier .htaccess<\/code> :<\/p>\n

Options -Indexes<\/code><\/pre>\n
Attention, ce code n’emp\u00eache pas le contenu d’un dossier d’\u00eatre index\u00e9, il faudra renseigner le fichier robots.txt<\/code><\/a> pour cela.<\/p>\n
Modifier le \u00ab\u00a0register globals\u00a0\u00bb<\/h2>\n
Ce param\u00e8tre existe depuis PHP4 et permet de s\u00e9curiser les variables globales.
\nIl est important de r\u00e9gler le register_globals<\/code> \u00e0 off<\/code>.
\nIl est possible de r\u00e9gler ceci gr\u00e2ce au fichier .htaccess<\/code>, avec la ligne suivante :<\/p>\n
php_flag register_globals off<\/code><\/pre>\n
Si vous \u00eates chez OVH<\/strong> ce sera plut\u00f4t :<\/p>\n
SetEnv REGISTER_GLOBALS 0<\/code><\/pre>\n
Attention, chez OVH ce param\u00e8tre est par d\u00e9faut r\u00e9gl\u00e9 \u00e0 on<\/code> !<\/p>\n
Merci \u00e0 Julio<\/a> pour l’info s\u00e9cu !<\/p>\n
Bannir des adresses IP<\/h2>\n
\"\"<\/p>\n
Il peut arriver qu’une personne qui ne vous aime pas (si si \u00e7a arrive), ou qu’un robot se mette \u00e0 poster non-stop sur votre blog, 10, 20 commentaires ind\u00e9sirables par jour.
\nLes robots et les personnes ind\u00e9sirables peuvent \u00eatre bannis gr\u00e2ce \u00e0 leur adresse IP. WordPress vous la donne lorsque la personne poste un commentaire sur votre blog, mais elle peut aussi appara\u00eetre dans les mails de contact gr\u00e2ce \u00e0 certains plugins proposant des formulaires de contact.
\nEn ajoutant ce code \u00e0 votre fichier .htaccess<\/code>, vous bannirez les personnes visitant votre site avec l\u00a0\u00bbadresse IP 123.456.789 et l’adresse IP 987.654.321.<\/p>\n
order allow,deny\r\nallow from all\r\ndeny from 123.456.789\r\ndeny from 987.654.321<\/code><\/pre>\n
Pour bannir davantage d’IP, il suffit de dupliquer la derni\u00e8re ligne autant de fois que n\u00e9cessaire en renseignant l’IP \u00e0 bannir.<\/p>\n
Autoriser votre seule adresse IP dans le dossier wp-admin<\/code><\/h2>\n
Cette technique n’a d’int\u00e9r\u00eat que si le nombre d’intervenant est limit\u00e9 et connu, et surtout si vous \u00e9ditez votre site depuis le m\u00eame ordinateur.
\nDe m\u00eame, il vous faudra une IP fixe, ou alors vous serez oblig\u00e9 d’autoriser une plage d’IP.<\/p>\n
AuthUserFile \/dev\/null\r\nAuthGroupFile \/dev\/null\r\nAuthName \"Wordpress Admin Access Control\"\r\nAuthType Basic\r\n\r\norder deny,allow\r\ndeny from all\r\nallow from 123.456.789<\/code><\/pre>\n
Si vous souhaitez rajouter des autorisations pour d’autres IP, dupliquez simplement la derni\u00e8re ligne en renseignant la bonne adresse.
\nLe fichier .htaccess<\/code> doit \u00eatre plac\u00e9 dans le dossier \/wp-admin<\/code> de votre installation.<\/p>\n
Interdire l’acc\u00e8s aux fichiers importants<\/h2>\n
\"\"<\/p>\n
Interdire l’acc\u00e8s \u00e0 wp-config.php<\/code> qui est le fichier qui liste certaines informations sur l’installation de WordPress, notamment les identifiants de connexion \u00e0 votre base de donn\u00e9es, ainsi que le pr\u00e9fixe des tables.
\nPour \u00e9viter qu’il puisse \u00eatre atteint directement, interdisez simplement son affichage :<\/p>\n
# protect wpconfig.php\r\n<files wp-config.php>\r\norder allow,deny\r\ndeny from all\r\n<\/files><\/code><\/pre>\n
Une autre solution consiste \u00e0 placer wp-config.php<\/code> \u00e0 l’ext\u00e9rieur du dossier www<\/code> de votre espace web. En effet, WordPress arrive \u00e0 le retrouver m\u00eame \u00e0 l’ext\u00e9rieur de www<\/code>.<\/p>\n
De la m\u00eame mani\u00e8re il est possible d’interdire l’acc\u00e8s au fichier readme.html ou au fichier .htaccess<\/code> lui-m\u00eame.<\/p>\n
# protect readme.html\r\n<files readme.html>\r\norder allow,deny\r\ndeny from all\r\n<\/files>\r\n# protect .htaccess\r\n<files .htaccess>\r\norder allow,deny\r\ndeny from all\r\n<\/files><\/code><\/pre>\n
Article original (en)<\/a><\/p>\n
Limiter l’appel au script de commentaires<\/h2>\n
Cette technique permet de v\u00e9rifier d’o\u00f9 est appel\u00e9 le script qui envoie les commentaires en base de donn\u00e9es.
\nIl a l’avantage de limiter une partie du spam.
\nSi le referer<\/em> existe, et s’il s’agit de votre blog, alors le commentaire est post\u00e9. Autrement il ne l’est pas et l’utilisateur du script est redirig\u00e9.<\/p>\n
RewriteEngine On\r\nRewriteCond %{REQUEST_METHOD} POST\r\nRewriteCond %{REQUEST_URI} .wp-comments-post\\.php*\r\nRewriteCond %{HTTP_REFERER} !^$\r\nRewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]\r\nRewriteCond %{HTTP_USER_AGENT} ^$\r\nRewriteRule (.*) http:\/\/yourblog.com [R=301,L]<\/code><\/pre>\n
N’oubliez pas de remplacer yourblog.com<\/code><\/strong> par l’URL exacte de votre blog.
\nArticle original (en)<\/a><\/p>\n
5G Blacklist 2012<\/h2>\n
D\u00e9velopp\u00e9e par Perishable Press, ce code vous permet de vous prot\u00e9ger contre pas mal de choses.
\nTout est expliqu\u00e9 sur le site (en anglais, mais Google peut traduire<\/a> si ce n’est pas votre fort), je vous laisser donc d\u00e9couvrir 5G Blacklist 2012<\/a>.<\/p>\n
 Bonux : Bloquer l’indexation de contenus sensibles<\/h2>\n
Rien \u00e0 voir avec le fichier .htaccess, il s’agit ici du fichier robots.txt<\/code> utilis\u00e9 par les moteurs de recherche.
\nIl est possible d’emp\u00eacher l’indexation des fichiers du syst\u00e8me WordPress par les moteurs de recherche en renseignant ceci dans votre fichier robots.txt<\/code> qui se trouve \u00e0 la racine de votre site :<\/p>\n
User-Agent: *\r\nDisallow: \/wp-*<\/code><\/pre>\n
Et bien d’autres techniques<\/h2>\n
Il existe de nombreuses autres techniques dont certaines sont d\u00e9taill\u00e9es sur cette page :
\nAskApache mod_rewrite security<\/a>
\nMerci \u00e0 Mr Xhark<\/a> pour son partage dans un de ses commentaires.<\/p>\n
Un r\u00e9cent article de BoiteAWeb<\/a> a \u00e9t\u00e9 publi\u00e9 concernant la s\u00e9curit\u00e9 de WordPress et ses \u00e9ventuelles faiblesses.
\nJe vous invite \u00e0 le lire, c’est une r\u00e9flexion \u00e0 laquelle vous pouvez participer.<\/p>\n
Le mot de la fin<\/h2>\n
Nous avons fait le tour de ce dossier.
\nSi vous avez manquez quelque chose, le sommaire ci-dessous vous y m\u00e8nera.
\nCe dossier n’a pas la pr\u00e9tention d’\u00eatre exhaustif<\/strong>, aussi, si vous avez des plugins, hooks ou astuces \u00e0 partager, n’h\u00e9sitez pas \u00e0 commenter ce dossier. Votre contribution sera ajout\u00e9e au dossier et un lien vers votre site sera fait pour vous en remercier<\/strong>.
\nDe m\u00eame, si vous croisez des erreurs faites m’en part.<\/p>\n
\u00c0 bient\u00f4t \ud83d\ude09<\/p>\n
\n
Sommaire du dossier<\/a><\/h2>\n
    \n
  1. Conseils de s\u00e9curit\u00e9 pour bien d\u00e9buter<\/a><\/li>\n
  2. Quelques plugins pour am\u00e9liorer la s\u00e9curit\u00e9 de WordPress<\/a><\/li>\n
  3. Am\u00e9liorer la s\u00e9curit\u00e9 de WordPress avec quelques hooks<\/a><\/li>\n
  4. S\u00e9curiser davantage WordPress avec le fichier .htaccess<\/span><\/li>\n<\/ol>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
    Le fichier .htaccess permet de communiquer avec la machine qui h\u00e9berge votre site internet. Le fichier dont je ferai r\u00e9f\u00e9rence dans cet article doit \u00eatre plac\u00e9 \u00e0 la racine de votre blog, c’est \u00e0 dire au m\u00eame niveau que votre fichier wp-config.php.<\/p>\n","protected":false},"author":4,"featured_media":2027,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_bluesky_dont_syndicate":"","_bluesky_syndication_accounts":"","_bluesky_syndication_text":"","footnotes":""},"categories":[13],"tags":[318,395,684],"coauthors":[597],"class_list":["post-1989","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wordpress","tag-htaccess","tag-securite","tag-wordpress"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts\/1989","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/comments?post=1989"}],"version-history":[{"count":0,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/posts\/1989\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/media\/2027"}],"wp:attachment":[{"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/media?parent=1989"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/categories?post=1989"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/tags?post=1989"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.creativejuiz.fr\/blog\/wp-json\/wp\/v2\/coauthors?post=1989"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}