fichier htaccess - sécurité du site (pour aider les débutants)
· Время на чтение: 8мин · par · Publié · Mis à jourfichier htaccess - la sécurité du site, l'article aidera avant tout les débutants. Si vous êtes un nouvel utilisateur du CMS WordPress, vous n'avez peut-être même pas entendu parler du fichier .htaccess. Si vous êtes un utilisateur WordPress de niveau intermédiaire, vous n'êtes probablement pas complètement familiarisé avec WordPress, Sitemap, Html, Css. Les personnes qui hébergent leur site sur Wordpress CMS n'aiment pas vraiment s'embêter avec .htaccess. Cela se produit pour les raisons suivantes :
- Ne pas savoir travailler avec .htaccess ;
- J'ai essayé de faire quelque chose dans le fichier et le site est tombé en panne.
Aujourd'hui, je vais vous dire ce qu'est un fichier .htaccess et comment l'utiliser pour sécuriser et accélérer votre site Web.
Le contenu de l'article :
- Qu'est-ce qu'un fichier htaccess ?
- Comment activer un fichier ?
- Création d'un fichier .htaccess
- Sécurité du site avec .htaccess
- Pages d'erreur personnalisées
- types MIME
Qu'est-ce qu'un fichier htaccess ?
.htaccess est la forme abrégée d'accès hypertexte. Il s'agit d'un fichier de configuration utilisé dans le serveur Web apache pour activer ou désactiver des fonctions ou fonctionnalités supplémentaires sur le serveur Web. Cela vous aidera à affiner votre site Web sans modifier la configuration de base du serveur.
Les fichiers htaccess peuvent être cachés dans le dossier dans lequel vous les avez téléchargés. Le fichier contrôle le répertoire dans lequel il est placé et affecte également les sous-répertoires de ce répertoire. Vous devez maintenant savoir exactement où placer ce fichier. Qu'est-ce qu'un fichier .htaccess ?
Un fichier .htaccess peut grandement améliorer les performances d'un site Web si vous l'utilisez de la manière recommandée. Ce fichier a un effet prioritaire sur les deux composants du site.
Vitesse de téléchargement:
Le fichier ralentit le serveur. Cependant, la plupart du temps, il n'est pas identifié. En effet, lorsque le serveur charge la page. Il doit également lire tous ses répertoires jusqu'à ce qu'il atteigne le répertoire final ou atteigne le fichier .htaccess. Si ce fichier n'existe pas dans le dossier, le processus se poursuivra. La raison en est le manque d'autorisations pour annuler l'accès aux fichiers.
Ensuite, le serveur doit passer par toutes les règles spécifiées dans le fichier. En règle générale, il y en a suffisamment dans le fichier, alors que tous sont assez coûteux en ressources. Cela s'applique à la compression, à la mise en cache ou aux redirections. Tous chargent considérablement le serveur de travail et le ralentissent. Mais cela accélère également le site.
Sécurité du site :
Le principal problème dans la vie d'un site web est sa sécurité. Le fichier .htaccess est une solution de sécurité puissante et est facilement accessible à l'utilisateur. Si vous ajoutez une directive au fichier .htaccess, elle sera considérée comme ajoutée au fichier de configuration Apache. Toutes ces modifications prendront effet, même sans redémarrer le serveur Web.
Sachant cela, vous devez être plus prudent lorsque vous accordez l'accès à des utilisateurs tiers, car cela donne un contrôle total sur le serveur.Apache n'encourage pas l'accès à .htaccess, car l'utilisateur peut accéder directement au fichier de configuration d'Apache.
Comment activer le fichier .htaccess ?
Vous devez avoir accès aux paramètres du serveur. Afin que vous puissiez apporter des modifications au fichier de configuration pour autoriser le remplacement. Ensuite, votre prochaine étape consiste à ouvrir le fichier de configuration par défaut d'Apache. Pour ce faire, vous avez besoin des privilèges d'utilisateur sudo.
$ sudo nano /etc/apache2/sites-available/default
Après avoir ouvert le fichier, vous devez y trouver la section suivante.
Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all
Ici, vous devez remplacer None par All . Le fichier devrait maintenant ressembler à ceci :
Options Indexes FollowSymLinks MultiViews AllowOverride All Order allow,deny allow from all
Enregistrez le fichier et redémarrez Apache.
$ sudo service apache2 restart
Création d'un fichier .htaccess
Créer un fichier htaccess très simple. Vous pouvez le créer avec un éditeur de texte sur votre système local. Téléchargez-le ensuite dans le répertoire du serveur Web via un client FTP. Ou vous pouvez créer un fichier .htaccess en utilisant la ligne de commande du terminal.
Voici la commande pour créer ce fichier sur le terminal. Ici:
Remplacez votresite.com par le nom de votre site.
$ sudo nano /var/www/yoursite.com/.htaccess
Redirection de pages en .htaccess
Mod_Rewrite : C'est l'une des meilleures fonctionnalités. Vous pouvez utiliser Mod-Rewrite pour marquer et modifier. Surtout lorsque votre page Web ou l'URL de votre site Web doit être rendue correctement à l'utilisateur.
Sécurité du site avec .htaccess
Authentification de l'utilisateur : ce fichier ne nécessite pas plus d'autorisations que celles requises pour accéder à la configuration Web Apache. Vous pouvez toujours apporter des modifications effectives au site Web. Une modification importante que vous pouvez apporter consiste à définir un mot de passe pour une partie spécifique d'une page Web. Ainsi, l'utilisateur doit entrer un mot de passe pour accéder à la section. Le mot de passe htaccess sera stocké dans le fichier .htpasswd.
Comment créer un fichier .htpasswd
Créez un fichier et enregistrez-le en dehors du répertoire Web pour des raisons de sécurité. Lorsque vous créez le fichier .htpasswd, ajoutez un espace entre le nom d'utilisateur et le mot de passe. Ajoutez également tous les noms d'utilisateur et mots de passe des utilisateurs. auquel vous souhaitez accorder l'accès à une partie spécifique de la page Web.
Vous pouvez crypter le mot de passe en utilisant : Htpasswd Generator - créer htpasswd. Vous devez y ajouter un nom d'utilisateur et un mot de passe. L'outil vous fournira un mot de passe crypté. Si vous entrez le nom d'utilisateur : seva et le mot de passe : thereworld, vous obtiendrez le mot de passe crypté suivant.
seva:$apr1$WLNEbl3T$lzBRpqp2CDM.m6xHwTzyv.
Vous pouvez ajouter autant d'utilisateurs que vous le souhaitez. N'ajoutez pas tous les utilisateurs sur une seule ligne, utilisez une nouvelle ligne pour chaque utilisateur. Si vous avez créé un fichier .htpasswd, l'étape suivante consiste à créer une règle pour utiliser ce mot de passe.
Comment ajouter des règles à .htaccess pour le fichier .htpasswd
Pour ce faire, ajoutez la ligne suivante au fichier.
AuthUserFile /usr/local/username/safedirectory/.htpasswd AuthGroupFile /dev/null AuthName "Veuillez entrer le mot de passe" AuthType Basic Nécessite un utilisateur valide
Laissez-moi vous expliquer ce que chaque ligne définit :
- AuthUserFile : cette ligne définit le chemin d'accès au fichier .htpasswd.
- AuthGroupFile : la chaîne est utilisée pour rechercher le fichier de groupe d'auteurs. Puisque nous n'avons pas créé un tel fichier, nous définissons /dev/null.
- AuthName : Le texte que vous entrez sera affiché sur la ligne de commande. Vous pouvez choisir un nom de votre choix.
- AuthType : ce champ spécifie le type d'authentification à utiliser pour vérifier le mot de passe. Vous ne devez pas modifier AuthType. Il doit rester le principal.
- Require valid-user : cette ligne indique que de nombreuses personnes sont autorisées à entrer dans la zone protégée par mot de passe (si vous avez ajouté de nombreux noms d'utilisateur et mots de passe au fichier .htpasswd, ajoutez cette ligne) Si un seul utilisateur ! Qui est autorisé à entrer dans la zone protégée par mot de passe. Ajoutez ensuite "nécessite le nom d'utilisateur de l'utilisateur" pour spécifier la personne spécifiée autorisée à entrer.
Pages d'erreur personnalisées dans .htaccess
Vous pouvez créer des pages d'erreur personnalisées pour votre site. De telles pages sont très utiles, notamment pour le référencement du site. Voici quelques exemples:
Erreurs de requête client :
- 400 - Mauvaise requête
- 401 - Autorisation requise
- 403 - Interdit
- 404 - Document introuvable
- 405 - Méthode non autorisée
- 406 - Non autorisé (encodage)
- 407 - Proxy et autres authentifications requises.
Erreurs côté serveur :
- 500 - Erreur interne du serveur
- 501 - Non implémenté
- 502 Mauvaise passerelle
- 503 Service Indisponible
- 504 portail expiré
- 505 - Version HTTP non prise en charge
Ces pages d'erreur personnalisées vous permettent de créer votre propre page d'erreur personnalisée. Ajoutez-le ensuite à la liste des pages d'erreur.
Création d'une page d'erreur 404
Par défaut, le serveur affiche ses propres pages d'erreur. Cependant, vous pouvez utiliser votre propre page d'erreur. Et organisez-le avec votre propre design. Une fois que vous avez créé une page d'erreur personnalisée, téléchargez-la dans votre répertoire Web et ajoutez l'emplacement de la page à .htaccess. À titre d'exemple, je vais utiliser la page d'erreur 404.
ErrorDocument 404 /new404.html
Le serveur Apache recherchera la page d'erreur dans le répertoire racine du site. Si vous avez ajouté une page d'erreur à l'un des sous-dossiers. Ensuite, vous devez spécifier le chemin exact de ce fichier pour accéder à la page.
Par exemple:
ErrorDocument 404 /error_pages/new404.html
Types MIME utilisant .htaccess
Si vous utilisez des fichiers d'application qui ne sont pas traités par votre serveur Web. Ensuite, vous devez les ajouter à votre fichier de configuration apache en utilisant le code suivant.
AddType audio/mp4a-latm .m4a
Vous pouvez remplacer l'application et les extensions dans le code ci-dessus. Ceux qui correspondent à votre type d'application.
Extensions à ajouter au serveur Web Apache. SSI : SSI (Server Side Include) est utilisé pour mettre à jour en bloc une page Web. Cette extension vous fera gagner beaucoup de temps. Surtout lorsque vous devez apporter des modifications au site. Et ils doivent être reflétés sur toutes les pages, SSI vous y aidera. Vous pouvez activer SSI en ajoutant le code suivant à votre fichier .htaccess.
AddType texte/html .shtml AddHandler analysé par le serveur .shtml
Ces commandes indiquent à .htaccess que .shtml est valide, et la seconde demande au serveur d'analyser tous les fichiers se terminant par .shtml pour toutes les commandes SSI. Si vous avez un grand nombre de pages html et que vous ne voulez pas les renommer à partir de .shtml, il existe une option qui forcera le serveur à analyser tous les fichiers .html pour les commandes SSI. L'option utilise XBitHack.
Si vous ajoutez cette ligne, Apache vérifiera tous les fichiers .html avec les autorisations SSI.
XBitHack on
Ensuite, vous devez rendre SSI adapté à XbitHack à l'aide de la commande ci-dessous.
chmod +x pagename.html
Conclusion:
Le fichier possède de nombreuses fonctionnalités qui peuvent donner de la flexibilité à votre site. Toutes les fonctionnalités ne peuvent pas être décrites dans un seul article. Il en existe un grand nombre, ainsi que des méthodes d'application pour le site. Dans cet article, j'ai essayé de vous donner les informations de base. Je te souhaite du succès)
Lire cet article :
- Pratiques de gestion de la sécurité des données ?
- Quelle est la différence entre malware et virus ? (explication)
Merci d'avoir lu : SEO HELPER | NICOLA.TOP