Améliorer la sécurité de votre site WordPress à l’aide du fichier htacess.
Le fichier « .htaccess » (abréviation de « Hypertext Access ») dans le répertoire de votre site est un fichier de configuration que vous pouvez utiliser pour remplacer les paramètres de votre serveur web.
Vous pouvez y indiquer des lignes de commande pour protéger votre site contre les spammeurs, les pirates et autres menaces.
Certaines de ces commandes comprennent les redirections, la protection de certains fichiers, ou des fonctions plus avancées telles que la protection par un mot de passe ou la protection d’une image du hotlinking.
Dans ce tutoriel, nous allons voir quelques modifications simples que vous pouvez ajouter à votre fichier « .htaccess » pour renforcer la sécurité de votre site.
Modification du fichier .htaccess
Lorsque vous activez les permaliens sur WordPress, un fichier .htaccess est automatiquement créé à la racine de votre site installation.
Lorsque WordPress écrit dans un fichier « .htaccess », il écrit toujours les données entre les hastags suivant : # BEGIN WordPress et #WordPress End. Le caractère «#» désigne les commentaires dans le fichier, donc ils n’affecteront pas votre configuration.
Comment protéger votre fichier wp-config.php
L’un des fichiers les plus importants de votre installation WordPress est le fichier wp-config.php.
Ce fichier se trouve à la racine de votre installation WordPress et contient les détails sur la configuration de base de votre blog, tel que vos clés de sécurité WordPress et les informations de connexion à la base de données. Ces informations sont bien sur sensibles et ceux qui y accèdent peuvent endommager votre blog.
Vous pouvez protéger votre fichier « wp-config.php » en ajoutant le texte suivant sur votre fichier htaccess. :
order allow,deny
deny from all
Bien sûr, vous serez toujours en mesure d’accéder au fichier via le FTP et sur le tableau de bord de votre serveur Plesk ou cPanel.
Comment empêcher la navigation dans les dossiers WordPress
Protéger vos dossiers WordPress. Cette méthode masquera vos dossiers, ce qui empêchera aux utilisateurs de voir votre contenu.
Pour masquer vos dossiers, vous devez ajouter ce code sur le fichier .htaccess :
Options all –indexes
Comment empêcher le Hotlinking sur votre site
Le hotlinking épuise votre bande passante, cela arrive lorsque des personnes utilisent vos images sur un autre site web. Si près de 10.000 personnes parviennent à voir cette image sur un autre site web, alors les frais de bande passante ne seront pas à la charge du nouveau site (qui fait usage de votre image), mais à votre charge.
Vous pouvez donc ajouter un code sur votre fichier .htaccess pour empêcher le hotlinking sur votre blog :
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?votrenomdedomaine/.*$ [NC]
RewriteRule .(gif|jpg)$ http://votrenomdedomaine /hotlink.gif [R,L]
N’oubliez pas de modifier la valeur « votrenomdedomaine » par votre nom de domaine, et « hotlink.gif » vers une image qui indique que le hotlinking est désactivé sur votre blog.
Restreindre l’accès à votre tableau de bord
Il existe quelques moyens pour protéger l’accès à votre tableau de bord. Le moyen le plus simple est de faire usage des adresses IP (surtout si vous accédez à votre blog depuis un même endroit). Pour cela, vous devez ajouter la ligne de code suivante sur un nouveau fichier .htaccess.
order deny,allow
allow from votreip
deny from all
Modifier la valeur « votreip » par votre adresse ip. Pour connaître votre adresse ip, accédez au site web suivant : Mon-IP, une fois que vous aurez ajouté votre IP et sauvegardé le fichier htaccess, envoyez-le dans le dossier « /wp-admin » (et non plus à la racine de l’installation).
En effectuant cette action, vous serez seul à accéder à votre tableau de bord. Pour ajouter une nouvelle adresse IP (pour de nouveaux administrateurs par exemple), vous devrez modifier le fichier .htaccess qui se trouve dans le dossier « /wp-admin », et ajouter juste après votre adresse IP, le code suivant :
admin_ip_1, admin_ip_2, admin_ip_3
Où « admin_ip_1 », « admin_ip_2 » et « admin_ip_3 » seront remplacés par des adresses IP valides correspondantes aux différents IP des administrateurs.
Protégez votre fichier « .htaccess »
Vous ne serez jamais en sécurité, si la base même de votre système de sécurité est vulnérable. Vous devrez donc impérativement, protéger votre fichier .htaccess. Lorsqu’un visiteur tentera d’accéder à votre fichier « .htaccess », le serveur génèrera une page d’erreur automatiquement (403).
Pour protéger votre fichier « .htaccess », vous devez ajouter ce code :
order allow,deny
deny from all