Le fichier WordPress .htaccess : Le guide complet

imprimer · Время на чтение: 18мин · par · Publié · Mis à jour

jouerÉcoutez cet article

Le fichier WordPress .htaccess - Le guide ultimefichier .htaccess est un fichier de configuration pour les sites Web WordPress hébergés sur le serveur Web Apache HTTP. WordPress utilise ce fichier pour contrôler la façon dont Apache sert les fichiers à partir de son répertoire racine et de ses sous-répertoires. Concrètement, WordPress modifie ce fichier pour pouvoir gérer de jolis permaliens sur votre site.

Ainsi, comme vous pouvez l'imaginer, le fichier .htaccess est une partie importante de votre installation WordPress. Si votre fournisseur d'hébergement Web utilise Apache pour héberger votre site Web, il sera créé automatiquement lorsque vous installerez WordPress et, pour la plupart, vous pourrez l'oublier. Cependant, il peut y avoir des situations où vous devez manipuler le fichier .htaccess. Les exemples incluent la configuration de redirections 301 après la migration, le forçage de HTTPS sur votre site Web, etc.

Dans cet article je vais vous expliquer :

  • Le but du fichier WordPress .htaccess ;
  • Où pouvez-vous trouver l'emplacement par défaut du fichier WordPress .htaccess ?
  • Comment créer un .htaccess dans WordPress si vous n'en avez pas déjà un ;
  • Comment éditer ; ainsi que
  • Comment l'utiliser pour améliorer la sécurité de votre site.

Le fichier .htaccess est un fichier très puissant dans votre installation WordPress qui vous donne un énorme contrôle sur la configuration de votre site. Bien que vous puissiez utiliser le fichier pour augmenter un peu la sécurité de votre site, la plus grande amélioration viendra lorsque vous installerez un plugin de sécurité WordPress moderne. Avec des fonctionnalités intéressantes telles que des analyses automatiques quotidiennes des logiciels malveillants, la suppression des logiciels malveillants en un clic, un pare-feu intégré robuste, le blocage des adresses IP, des alertes de sécurité en temps réel et bien plus encore, le plugin de sécurité est la meilleure solution pour la sécurité des sites Web WordPress.

Le contenu de l'article :

Qu'est-ce qu'un fichier WordPress .htaccess ?

Comme je l'ai mentionné précédemment, le fichier .htaccess est un fichier de configuration pour les sites Web WordPress hébergés sur le serveur Web Apache HTTP. Apache gère toutes les modifications de configuration via ce fichier par répertoire. Qu'est-ce que ça veut dire? Eh bien, n'importe quel répertoire et ses sous-répertoires peuvent être configurés en créant un fichier .htaccess séparé pour celui-ci. Ainsi, si vous souhaitez personnaliser quelque chose pour l'ensemble de votre site, vous devrez définir les configurations dans le fichier .htaccess du répertoire racine. S'il n'existe pas, vous devrez d'abord le créer.

Le fichier WordPress .htaccess par défaut contient le code suivant :

# COMMENCER WordPress RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !- d RewriteRule . /index.php [L] # FIN WordPress

Vous pouvez notamment utiliser le fichier .htaccess pour gérer et configurer le serveur web Apache hébergeant votre site. Considérez Apache comme un énorme serveur hébergeant des centaines de milliers de sites, y compris le vôtre, dans ce qu'on appelle des "fermes de serveurs". Les fournisseurs d'hébergement Web tels que Bluehost et WP Engine ont accès à la configuration et à l'exécution de ces batteries de serveurs. Presque tous les fournisseurs d'hébergement Web vous permettent de créer un fichier .htaccess afin que vous puissiez personnaliser votre site en fonction de vos besoins. S'il n'y avait pas de fichier .htaccess, chaque propriétaire de site sur le même serveur devrait utiliser les mêmes paramètres pour son site, et vous n'auriez pas votre mot à dire sur ce que ces paramètres devraient être pour votre site.

Voici une liste de ce que vous pouvez faire avec le fichier .htaccess :

  • Configurez des redirections 301 après la migration.
  • Appliquez HTTPS sur votre site.
  • Bloquer les adresses IP.
  • Refuser l'accès à certains fichiers.
  • Envoyez des réponses HTTP personnalisées à des requêtes spécifiques.
  • Empêcher les liens dynamiques.

Voyons ensuite où se trouve ce puissant fichier.

Comment trouver l'emplacement du fichier .htaccess sur un site WordPress

Par défaut, le fichier .htaccess se trouve dans le répertoire racine de votre site WordPress. Le répertoire racine est généralement le répertoire public_html, mais peut différer selon votre hébergeur. Vous pouvez accéder au répertoire racine via le gestionnaire de fichiers dans le panneau de contrôle de votre compte d'hébergement, FTP ou SSH. Dans cet article, je vais vous montrer comment trouver l'emplacement du fichier .htaccess dans WordPress via cPanel et FTP (FileZilla).

Trouver le fichier .htaccess dans WordPress via cPanel

cPanel est un panneau de contrôle dont disposent de nombreux hébergeurs Web. C'est probablement le logiciel de panneau de contrôle le plus populaire parmi les hébergeurs Web, mais vous pouvez utiliser d'autres logiciels comme Plesk ou Webmin. J'utiliserai cPanel pour cette section, mais les étapes devraient être fondamentalement les mêmes pour tout logiciel de panneau de contrôle utilisé par votre hébergeur.

  1. Connectez-vous à votre compte d'hébergement et ouvrez gestionnaire de fichiers.
  2. Gestionnaire de fichiers dans cPanelVous devez activer cPanel pour afficher les fichiers cachés. Ouvrir "Réglages» dans le coin supérieur droit de la fenêtre. Cochez ensuite la case à côté de "Afficher les fichiers cachés (dotfiles)" s'il n'est pas déjà installé et enregistrez les modifications.Ouvrez Paramètres. cochez la case Afficher les fichiers cachés.
  3. Dans le menu de navigation à gauche, cliquez sur le répertoire racine (dans ce cas, public_html) pour afficher son contenu.dossier public_html dans le menu de navigation.

Vous devriez maintenant voir le fichier standard WordPress .htaccess.
Fichier WordPress .htaccess.

Trouver l'emplacement du fichier WordPress .htaccess via FTP

J'utiliserai le client FTP FileZilla pour montrer que vous pouvez trouver le fichier WordPress .htaccess par défaut.

  1. Connectez-vous à votre site dans FileZilla en utilisant les informations d'identification FTP appropriées. Vous pouvez les obtenir à partir de votre compte d'hébergement Web.connexion rapide via FTP au serveur
  2. Pour activer l'affichage des fichiers cachés dans FileZilla, cliquez sur le menu "Serveur" et cochez la case "Forcer à afficher les fichiers cachés".sélectionnez "forcer l'affichage des fichiers cachés"
  3. Entrez le répertoire racine sur le côté droit de la fenêtre appelée "Site distant". Vous devriez voir un fichier .htaccess dans ce répertoire.Fichier .htaccess dans le dossier racine du site

Veuillez noter que tous les sites Web WordPress n'ont pas le fichier .htaccess. Si vous ne le voyez pas dans votre répertoire racine, il n'existe probablement pas du tout. La principale raison en est peut-être que votre site n'est pas hébergé sur Apache. Si votre site Web est hébergé sur une alternative Apache comme Nginx, il aura un fichier de configuration différent. Si tel est votre cas, alors cet article ne vous sera d'aucune utilité.

Comment créer un fichier .htaccess dans WordPress (3 façons)

La principale raison de créer un fichier WordPress .htaccess est que vous n'en avez pas. D'autres raisons de le créer incluent:

  • Votre site est cassé et vous devez réparer votre installation WordPress.
  • Le plugin a corrompu le fichier .htaccess, vous souhaitez donc le supprimer et créer à partir de zéro.

Avant d'apporter des modifications à votre site Web, il est conseillé d'effectuer une sauvegarde. En cas de problème, vous pouvez restaurer une version fonctionnelle de votre site. Une sauvegarde est essentiellement un airbag pour votre site Web.

Créez un fichier .htaccess à l'aide du panneau d'administration de WordPress

Cette méthode est le moyen le plus simple d'obtenir le fichier .htaccess pour votre site WordPress. Tout ce que vous avez à faire est d'aller à "Réglages»> «Permaliens» dans le panneau d'administration WordPress et cliquez sur «Sauvegarder les modificationsen bas sans rien changer. WordPress va maintenant générer un fichier .htaccess pour vous.

Si WordPress n'a pas pu générer le fichier .htaccess, ou si vous n'avez pas accès au tableau de bord WordPress, lisez la suite pour savoir comment créer .htaccess d'autres manières.

Créez un fichier .htaccess en utilisant le panneau de contrôle de votre compte d'hébergement

Dans cette section, j'utiliserai cPanel pour illustrer le processus.

  1. Connectez-vous à cPanel et ouvrez gestionnaire de fichiers.gestionnaire de fichiers dans cPanel - raccourci.
  2. Entrez le répertoire racine dans le menu de navigation de gauche.entrez le dossier racine public_html sur le serveur.
  3. Cliquez sur le boutonDossier» dans la barre d'outils en haut de l'interface utilisateur pour créer un nouveau fichier.sélectionnez le bouton de fichier dans le coin supérieur gauche
  4. Nommez le fichier ".htaccess" et appuyez sur "Créer un nouveau fichier' pour le créer.créer un nouveau nom de fichier avec .htaccess
  5. Faites un clic droit puis cliquez sur "Changement" pour modifier le fichier .htaccess nouvellement créé.modifier le fichier .htaccess généré
  6. Copiez et collez les lignes de code suivantes dans un fichier, puis enregistrez et fermez le fichier à l'aide des boutons situés dans le coin supérieur droit de l'interface utilisateur.
# COMMENCER WordPress RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !- d RewriteRule . /index.php [L] # FIN WordPress

Si votre site est multisite, ajoutez plutôt les lignes de code suivantes :

  • Pour un multisite basé sur un sous-répertoire, ajoutez ce qui suit :
# COMMENCER WordPress Multisite # Utilisation du type de réseau de sous-dossiers : https://wordpress.org/support/article/htaccess/ #multisite RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\. php$ - [L] # ajoute une barre oblique finale à /wp-admin RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L] RewriteCond %{REQUEST_FILENAME } -f [OU] RewriteCond %{REQUEST_FILENAME} -d RewriteRule ^ - [L] RewriteRule ^([_0-9a-zA-Z-]+/)?(wp-(content|admin|includes).*) $2 [L] Règle de réécriture ^([_0-9a-zA-Z-]+/)?(.*\.php)$ $2 [L] Règle de réécriture . index.php [L] # FIN Multisite WordPress
  • Pour le multisite basé sur un sous-domaine, ajoutez plutôt ce qui suit :
# COMMENCER WordPress Multisite # Utilisation du type de réseau de sous-domaine : https://wordpress.org/support/article/htaccess/ #multisite RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\. php$ - [L] # ajoute une barre oblique finale à /wp-admin RewriteRule ^wp-admin$ wp-admin/ [R=301,L] RewriteCond %{REQUEST_FILENAME} -f [OR] RewriteCond %{REQUEST_FILENAME} -d RewriteRule ^ - [L] RewriteRule ^(wp-(content|admin|includes).*) $1 [L] RewriteRule ^(.*\.php)$ $1 [L] RewriteRule . index.php [L] # FIN Multisite WordPress

Créez le fichier .htaccess manuellement

Si vous souhaitez créer et télécharger vous-même un fichier WordPress .htaccess, les étapes suivantes sont pour vous. Vous aurez besoin d'un client FTP pour pouvoir télécharger le fichier dans le répertoire racine de votre site Web. FileZilla est un bon choix.

  1. Ouvrez l'éditeur de texte de votre choix.
  2. Copiez et collez l'un des extraits de code suivants, en fonction du type de votre site Web :
  • Pour un site WordPress basique :
# COMMENCER WordPress RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !- d RewriteRule . /index.php [L] # FIN WordPress
  • Pour le multisite basé sur des sous-répertoires :
# COMMENCER WordPress Multisite # Utilisation du type de réseau de sous-dossiers : https://wordpress.org/support/article/htaccess/ #multisite RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\. php$ - [L] # ajoute une barre oblique finale à /wp-admin RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L] RewriteCond %{REQUEST_FILENAME } -f [OU] RewriteCond %{REQUEST_FILENAME} -d RewriteRule ^ - [L] RewriteRule ^([_0-9a-zA-Z-]+/)?(wp-(content|admin|includes).*) $2 [L] Règle de réécriture ^([_0-9a-zA-Z-]+/)?(.*\.php)$ $2 [L] Règle de réécriture . index.php [L] # FIN Multisite WordPress
  • Pour le multisite basé sur le sous-domaine :
# COMMENCER WordPress Multisite # Utilisation du type de réseau de sous-domaine : https://wordpress.org/support/article/htaccess/ #multisite RewriteEngine On RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}] RewriteBase / RewriteRule ^index\. php$ - [L] # ajoute une barre oblique finale à /wp-admin RewriteRule ^wp-admin$ wp-admin/ [R=301,L] RewriteCond %{REQUEST_FILENAME} -f [OR] RewriteCond %{REQUEST_FILENAME} -d RewriteRule ^ - [L] RewriteRule ^(wp-(content|admin|includes).*) $1 [L] RewriteRule ^(.*\.php)$ $1 [L] RewriteRule . index.php [L] # FIN Multisite WordPress
  1. Nommez le fichier ".htaccess" et enregistrez-le en tant que fichier texte dans un endroit où vous pouvez facilement le trouver, puis fermez-le.
  2. Connectez-vous maintenant à votre site à distance via FileZilla en utilisant les informations d'identification FTP obtenues à partir de votre compte d'hébergement.
  3. Accédez au dossier dans lequel vous avez enregistré le fichier .htaccess créé à l'étape 3 dans la section "Site local" de FileZilla. Assurez-vous que l'option permettant d'afficher les fichiers cachés est activée.
  4. Téléchargez le fichier dans le répertoire racine de votre site. Si le fichier .htaccess existe déjà, sélectionnez l'option pour le remplacer lorsqu'il apparaît. Une fois le téléchargement terminé renommez-le en .htaccess.

Vous disposez maintenant d'un tout nouveau fichier .htaccess pour personnaliser votre site Web à votre guise. Voyons maintenant comment modifier un fichier .htaccess déjà existant dans WordPress.

Comment modifier le fichier .htaccess dans WordPress

Dans la plupart des cas, vous n'avez pas besoin de modifier le fichier .htaccess dans WordPress. Cependant, si le besoin s'en fait sentir, vous avez plusieurs façons de le faire. Avant d'illustrer les étapes, voici quelques conseils à suivre pour minimiser les risques que quelque chose tourne mal :

  • Tout d'abord, faites une sauvegarde de votre site. Comme je l'ai mentionné précédemment, le fichier .htaccess est un fichier critique dans votre installation WordPress, vous ne voulez donc certainement pas que votre site se casse accidentellement. En matière de sauvegardes, BlogVault est la meilleure solution. Il peut sauvegarder des sites d'une taille maximale de 500 Go, effectue des sauvegardes incrémentielles afin de ne pas surcharger les ressources du serveur et fonctionne avec n'importe quel fournisseur d'hébergement Web. De plus, restaurer des sauvegardes avec ce plugin est aussi simple que de cliquer sur un bouton.
  • Utilisez le site intermédiaire pour tester d'abord vos modifications. Un site intermédiaire est une copie de votre site en ligne sur laquelle vous pouvez apporter et tester des modifications sans aucun risque. Lorsque vous êtes satisfait des modifications, vous pouvez les publier sur votre site en ligne.
  • Téléchargez le fichier .htaccess existant sur votre ordinateur. Il agira en tant que remplaçant. De cette façon, si vos modifications apportées au fichier .htaccess réel causent des problèmes, vous pouvez simplement télécharger une copie de sauvegarde du fichier sans avoir à restaurer l'intégralité du site.

Changer .htaccess dans WordPress avec cPanel

  1. Connectez-vous à cPanel avec votre compte d'hébergement et ouvrez Gestionnaire de fichiers.
  2. Dans le menu de navigation à gauche, cliquez sur le répertoire racine (dans ce cas public_html) pour l'ouvrir.aller dans le dossier racine du site
  3. De là, localisez le fichier .htaccess et cliquez avec le bouton droit pour le modifier.Cliquez sur le fichier - et sélectionnez modifier.
  4. Ajoutez le code avant la ligne indiquant # END WordPress, en vous assurant de ne pas enfreindre les directives existantes. Enregistrez et fermez le fichier.Ajouter du code au fichier.

Modifier .htaccess dans WordPress à l'aide d'un plugin

Bien que l'utilisation de cPanel soit assez simple, l'utilisation du plugin est encore plus simple. Le plugin que je recommande pour éditer le fichier WordPress .htaccess s'appelle Éditeur de fichiers Htaccess. La chose la plus cool à propos de ce plugin est qu'il sauvegarde le fichier .htaccess chaque fois que vous y apportez des modifications. Ces sauvegardes peuvent être restaurées ultérieurement à partir du plugin lui-même ou via FTP si vous n'avez pas accès au panneau d'administration de WordPress. Il peut également vérifier le fichier pour les erreurs de syntaxe.

  1. Installer et activer le plugin Éditeur de fichiers Htaccess sur votre site.
  2. Aller à "Réglages» > «Éditeur WP Htaccess".Éditeur WordPress .htaccess
  3. Le plugin vous avertira des dangers de la modification du fichier .htaccess. Faites défiler jusqu'à la case rouge, puis cliquez sur le bouton indiquant "Je comprends. Allumez l'éditeur.Activation de l'éditeur
  4. Ajoutez le code de votre choix au fichier, puis cliquez sur Enregistrer les modifications. Vous pouvez même vérifier l'exactitude syntaxique du fichier avant de l'enregistrer.

Modifier le fichier WordPress .htaccess à l'aide du client FTP

Si vous ne souhaitez pas ajouter un autre plugin à votre site, vous pouvez modifier manuellement le fichier WordPress .htaccess. Voici comment:

  1. Connectez-vous à votre site WordPress dans FileZilla.
  2. Accédez au répertoire racine à partir de la zone de droite intitulée "Site distant".
  3. Faites un clic droit sur le fichier .htaccess et sélectionnez "Voir la modification' pour éditer le fichier.Afficher/modifier un fichier
  4. Le fichier s'ouvrira dans l'éditeur de texte par défaut de votre système d'exploitation. Ajoutez du code ou apportez des modifications selon vos besoins, puis enregistrez et fermez le fichier.
  5. FileZilla vous dira que le fichier a été modifié et vous demandera si vous souhaitez télécharger le fichier mis à jour sur le serveur Web. Sélectionnez "Oui" pour le faire.fichier mis à jour

C'est tout! Prêt.

Comment puis-je utiliser un fichier .htaccess pour sécuriser WordPress ?

Je l'ai déjà dit et je le répète : le fichier WordPress .htaccess est un fichier très puissant qui vous donne un énorme contrôle sur le comportement de votre site. Une utilisation importante du fichier est d'augmenter la sécurité de votre site Web. Dans cette section, je vais vous montrer quelques exemples.

Forcez HTTPS sur votre site via htaccess

Pour forcer HTTPS sur votre site Web, vous aurez d'abord besoin d'un certificat SSL pour votre site Web. Une fois que vous l'avez, vous pouvez ajouter les lignes de code suivantes à votre fichier .htaccess :

# requiert SSL SSLOptions +StrictRequire SSLRequireSSL SSLRequire %{HTTP_HOST} eq "yourwebsite.com" ErrorDocument 403 https://yourwebsite.com # requiert SSL sans mod_ssl RewriteCond %{HTTPS} !=on [NC] RewriteRule ^.*$ https : //%{SERVER_NAME}%{REQUEST_URI} [R,L]

Remplacez "votresiteweb.com" par le nom de domaine réel de votre site.

Refuser l'accès aux fichiers confidentiels

Pour empêcher quiconque d'accéder à un fichier spécifique, ajoutez le morceau de code suivant à votre fichier .htaccess, en remplaçant "secretfile.ext" par le nom et l'extension du fichier que vous souhaitez protéger :

# empêche l'accès à un fichier spécifique Commander autoriser, refuser Refuser de tous

Pour protéger par mot de passe différents types de fichiers et pas seulement un fichier spécifique à l'aide de l'utilitaire htpasswd, ajoutez l'extrait de code suivant (les extensions doivent être entre parenthèses ; j'ai fourni quelques exemples) :

Commander Autoriser, Refuser Refuser de tous

Restreindre l'accès par adresse IP

Pour empêcher l'accès à votre site à partir d'une adresse IP ou d'un domaine spécifique, ajoutez l'extrait de code suivant. Dans cet exemple, toutes les adresses IP sont autorisées à accéder sauf 12.135.57.870 et example.com :

# autorise tous sauf ceux indiqués ici Commander autoriser, refuser Autoriser de tous Refuser de 12.135.57.870 Refuser de example\.com

En-têtes de sécurité HTTP

Je soutiens et gère plusieurs sites de toutes sortes et de ce que j'ai vu. Aucun site n'utilise d'en-têtes de sécurité HTTP. La présence de telles rubriques sur le site constitue un degré élémentaire de protection. Et aussi, c'est un moyen de maximiser l'autorité du site aux yeux des moteurs de recherche en termes de sécurité. Je pense que vous en tirerez profit.

Les en-têtes de sécurité sont faciles à ignorer lors de l'audit d'un site Web. Alors que certains pourraient dire que la sécurité du site Web n'est pas liée au référencement, elle devient liée au référencement lorsqu'un site est piraté et que le trafic de recherche tombe à zéro. Les en-têtes de sécurité devraient être la principale préoccupation de quiconque publie quoi que ce soit sur le Web.

La bonne nouvelle est qu'ils sont relativement faciles à mettre en place et contribueront à la sécurité de votre site et de vos visiteurs.

Voici à quoi ressemble un site qui n'a pas les en-têtes de sécurité HTTP nécessaires, vous pouvez vérifier votre site sur securityheaders.com :

site n'ayant pas les en-têtes de sécurité HTTP nécessaires

Comment ajouter des en-têtes de sécurité HTTP à votre site ?

L'ajout d'en-têtes de sécurité HTTP se fait également en éditant le fichier .htaccess. Vous devez ajouter le code suivant à ce fichier - assurez-vous de mettre les lignes spécifiées entre parenthèses, comme indiqué ci-dessous :

# Security Headers Header toujours défini Strict-Transport-Security : "max-age=31536000" env=HTTPS Header toujours défini Content-Security-Policy "upgrade-insecure-requests" Header toujours défini X-Content-Type-Options "nosniff" L'en-tête est toujours défini X-XSS-Protection "1 ; mode=block" L'en-tête est toujours défini Expect-CT "max-age=7776000, apply" L'en-tête est toujours défini Referrer-Policy : "no-referrer-when-downgrade" L'en-tête est toujours défini X -Frame-Options SAMEORIGIN Header toujours défini Age "216000" Header toujours défini X-Permitted-Cross-Domain-Policies "none" Header toujours défini non défini X-Powered-By Header toujours défini non défini server Header toujours défini Permissions-Policy "accelerometer= Origin(), autoplay=(), camera=(), gyroscope=(), magnétomètre=(), microphone=(), payment=(), publickey-credentials-get=(), usb=()" En-tête non défini X-Powered-By Header unset server Header append Vary "Accept-Encoding, User-Agent, Referer" ## Règles de mise en cache # Ne pas mettre en cache par défaut Header set Cache-Control no-cache Header set Expire : 0 # Cache static assets for Un jour Jeu d'en-tête Cache-Control "max-age=86400, public" # Fin des en-têtes de sécurité

Attention : le code a été testé et fonctionne correctement sur tous les sites où il a été implémenté. J'ai compilé le code complet avec tous les en-têtes de sécurité HTTP (de base) nécessaires.

En-têtes de sécurité HTTP - Décryptage des résultats

Après avoir injecté le code pour définir les en-têtes de sécurité HTTP requis, vous recevrez ce qui suit lors de la vérification :

Voici à quoi ressemble un site avec les en-têtes de sécurité HTTP nécessaires

  • serveur est un en-tête de serveur, annonçant apparemment le logiciel exécuté sur le serveur, mais vous pouvez supprimer ou modifier cette valeur.
  • Politique de sécurité du contenu est une mesure efficace pour protéger votre site des attaques XSS. En mettant sur liste blanche les sources de contenu autorisé, vous pouvez empêcher le navigateur de charger des ressources malveillantes. Analysez cette politique plus en détail. Vous pouvez enregistrer un compte gratuit sur un URI de rapport pour collecter les rapports de problèmes sur votre site.
  • X-Frame-Options indique au navigateur si vous souhaitez autoriser ou non l'encadrement de votre site. En empêchant le cadrage du navigateur de votre site, vous pouvez vous protéger des attaques telles que le détournement de clic.
  • Sécurité de transport stricte HTTP est une excellente fonctionnalité à prendre en charge sur votre site qui renforce la mise en œuvre de TLS en forçant l'agent utilisateur à utiliser HTTPS.
  • X-Content-Type-Options arrête les tentatives du navigateur de renifler MIME le type de contenu et le force à s'en tenir au type de contenu déclaré. La seule valeur valide pour cet en-tête est "X-Content-Type-Options : nosniff".
  • X-XSS-Protection définit la configuration de l'auditeur XSS intégré aux anciens navigateurs. La valeur recommandée était « X-XSS-Protection : 1 ; mode=block", mais vous devriez maintenant regarder la politique de sécurité du contenu à la place.
  • Attendez-CT deviendra bientôt obsolète et pourra être supprimé.
  • Politique de référence (politique de référence) est un nouvel en-tête qui permet à un site de contrôler la quantité d'informations que le navigateur inclut lorsqu'il navigue hors d'un document et doit être défini sur tous les sites.
  • Permissions-policy (politique d'autorisation) est un nouvel en-tête qui permet au site de contrôler quelles fonctionnalités et API peuvent être utilisées dans le navigateur.

Déchiffrer les résultats des tests

Bien que ces extraits de code puissent légèrement augmenter la sécurité de votre site, la plus grande amélioration de la sécurité de votre site proviendra de l'installation d'une solution de sécurité appropriée. Avec des fonctionnalités telles que des analyses automatiques quotidiennes des logiciels malveillants, la suppression des logiciels malveillants en un clic, un pare-feu intégré de pointe, le blocage des adresses IP, des alertes de sécurité en temps réel, etc., le plug-in de sécurité est la meilleure solution pour sécuriser les sites Web WordPress. . .

Production

Le fichier WordPress .htaccess est une partie très puissante et importante de votre site Web. Il vous permet de personnaliser votre site Web dans la moindre mesure. Les trois principales façons de créer ou de modifier un fichier .htaccess dans WordPress sont via le gestionnaire de fichiers de votre compte d'hébergement, FTP ou un plugin.

Entre autres choses, une façon d'utiliser le fichier .htaccess est d'augmenter la sécurité de votre site. Cependant, il ne remplace pas une solution de sécurité dédiée. L'une des meilleures solutions pour ce travail est un plugin de sécurité. Il analysera quotidiennement votre site Web à la recherche de logiciels malveillants, il est livré avec un pare-feu moderne et il vous alertera également de tout élément suspect en temps réel.

Questions fréquemment posées

Qu'est-ce qu'un fichier .htaccess dans WordPress ?

Le fichier WordPress .htaccess est un fichier de configuration pour les sites Web hébergés sur le serveur Web Apache HTTP. WordPress utilise ce fichier pour contrôler la façon dont Apache sert les fichiers de son répertoire racine et de ses sous-répertoires, en plus de gérer les redirections et les permaliens. Vous pouvez également utiliser ce fichier à des fins très diverses, telles que le blocage de l'accès à votre site Web pour certaines adresses IP ou plages d'adresses, la protection par mot de passe des fichiers et des répertoires, l'application de HTTPS, etc.

Mon fichier .htaccess est manquant. Comment puis-je le créer ?

Vous pouvez créer un fichier .htaccess dans WordPress en visitant Paramètres > Permaliens dans le panneau d'administration de WordPress et en cliquant sur Enregistrer les modifications en bas sans rien changer. Si cela ne fonctionne pas, vous pouvez soit en créer un à l'aide du panneau de contrôle de votre compte d'hébergement, soit créer un fichier local, puis le télécharger dans votre répertoire racine via FTP.

Comment puis-je modifier le fichier .htaccess ?

Vous pouvez éditer le fichier .htaccess en utilisant le panneau de contrôle de votre compte d'hébergement, avec un plugin comme Htaccess File Editor, ou via FTP.

Lire cet article :

Merci d'avoir lu : SEO HELPER | NICOLA.TOP

À quel point ce message vous a-t-il été utile ?

Cliquez sur une étoile pour la noter !

Note moyenne 5 / 5. Décompte des voix : 190

Aucun vote pour l'instant ! Soyez le premier à noter ce post.

Vous aimerez aussi...

3 réponses

  1. Александр dit :

    Bonjour.
    S'il vous plaît, dites-moi ce que signifie ce signe :
    En-tête ajouter Vary « Accept-Encoding, User-Agent, Referer »
    User-Agent - c'est compréhensible - cela signifie que le CSS HTML sur le site change en fonction de l'agent utilisateur (par exemple, pour les versions mobile et de bureau de la page, le contenu sera différent).
    Que signifie tout ce code – Accept-Encoding, User-Agent, Referer
    Merci d'avance pour votre réponse!

    • Николай Алексеев dit :

      Bonjour, je m'excuse pour la longue réponse. Je suis en train de transférer ce site vers un nouveau domaine. Concernant votre question : il s'agit d'une sélection d'un groupe avec de nombreux en-têtes utilisés : Accept-Language, Accept-Encoding, User-Agent, Referer

  2. Humberto dit :

    Ce n'est pas la première fois que je visite rapidement cette page Web, je
    Je navigue quotidiennement sur ce site Web et j'obtiens quotidiennement des données agréables à partir d'ici.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

3 × 4 =