Comment protéger les fichiers et répertoires WordPress avec .htaccess ?

imprimer · Время на чтение: 10мин · par · Publié · Mis à jour

jouerÉcoutez cet article

Protéger les fichiers et les répertoires dans WordPress avec htaccessLe fichier .htaccess est un fichier de configuration du serveurpris en charge par de nombreux serveurs Web, y compris le logiciel de serveur Web Apache le plus populaire. Ce fichier apparemment sans prétention est rempli de toutes sortes de fonctions qui, lorsqu'elles sont utilisées correctement, peuvent très efficacement déterminer comment votre serveur Web gère les requêtes. Découvrez comment restreindre l'accès aux fichiers et répertoires WordPress avec un fichier .htaccess.

En plus de déterminer comment le serveur Web traite les requêtes, il est également très utile de protéger vos fichiers WordPress contre les accès non autorisés par des pirates. Dans cet article, j'examinerai de nombreuses façons de sécuriser les fichiers et répertoires WordPress avec .htaccess.

Le contenu de l'article :

1. Comment protéger les fichiers et répertoires WordPress avec .htaccess ?

Jetons un coup d'œil à quelques méthodes simples que vous pouvez utiliser pour protéger vos fichiers WordPress des regards indiscrets.

Avant de passer à la protection d'autres fichiers, commençons par protéger .htaccess. Cependant, comme je le dis toujours, avant d'apporter des modifications (qu'elles soient grandes ou petites), faites toujours une copie de sauvegarde de votre site et, dans ce cas, conservez quelques copies de votre fichier .htaccess sur votre système local. Cela devrait éviter tout dommage pouvant résulter d'une altération accidentelle du fichier.

1.1 Protéger le fichier .htaccess

Le fichier .htaccess peut être facilement trouvé dans le dossier Web racine public_html. Il existe deux façons d'accéder à ce fichier - en utilisant FTP comme FileZilla ou en utilisant le gestionnaire de fichiers de votre compte d'hébergement WordPress. Dans cet article, j'utilise un gestionnaire de fichiers pour accéder à un fichier et vous montrer comment vous pouvez le protéger.

Étape 1: Connectez-vous à votre compte d'hébergement Web en utilisant votre nom d'utilisateur et votre mot de passe. Si vous n'êtes pas sûr des informations d'identification de votre compte d'hébergement Web, contactez votre fournisseur d'hébergement pour obtenir de l'aide.
Étape 2: Cliquez sur "Gestionnaire de fichiers".

ouvrir le gestionnaire de fichiers

Sélectionnez Gestionnaire de fichiers.

Étape 3: Cliquez ensuite sur le dossier public_html.

ouvrir le dossier html public

Sélectionnez "public_html".

Étape 4: À l'intérieur, vous verrez un fichier .htaccess. Faites un clic droit dessus. Et choisissez une option édition.

Une fois que vous avez accès au fichier, placez-y l'extrait de code suivant.

# Refuser l'accès à .htaccess Commander autoriser, refuser Refuser de tous

Cela limitera l'accès des utilisateurs à votre fichier .htaccess. Simple, non ?
Maintenant que nous avons sécurisé le fichier .htaccess, il est temps de passer au reste. Commençons donc par sécuriser le dossier wp-admin.

1.2 Restreindre l'accès au dossier wp-admin avec .htaccess

Le dossier wp-admin contient les fichiers qui, ensemble, font fonctionner les outils d'administration. Le fichier admin.php de ce dossier exécute les fonctions suivantes :

  • Permet de se connecter à la base de données.
  • Affiche la barre d'outils WordPress.
  • Gérer la page de connexion du site.

Comme vous pouvez le constater, le répertoire wp-admin est très important et il faut veiller à le protéger contre tout accès non autorisé. En effet, l'accès au panneau d'administration permettra à un pirate de faire des ravages sur votre site. Pour ce faire, limitez l'accès des utilisateurs au dossier d'administration de WordPress à l'aide du fichier .htaccess. Autorisez l'accès à des adresses IP spécifiques de votre choix. Pour ce faire, vous devrez créer un fichier .htaccess séparé avec du code (celui dans la case bleue ci-dessous) et téléchargez-le dans le dossier wp-admin.

Pour créer un nouveau fichier .htaccess, ouvrez simplement le nouveau fichier dans votre éditeur de texte par défaut et nommez-le .htaccess. Pas .htaccess.txt ou .htaccess.doc ou toute autre extension de fichier supplémentaire. Juste .htaccess. Une fois que vous avez fait cela, collez-y le code suivant.

# Limiter les connexions et l'administration par IP refuser la commande, autoriser le refus de tous les autoriser à partir du 34.12.56.78

Pour télécharger le fichier .htaccess nouvellement créé dans le dossier wp-admin, connectez-vous à votre compte d'hébergement Web et ouvrez le gestionnaire de fichiers comme indiqué ci-dessous.

ouvrir le gestionnaire de fichiers

Sélectionnez Gestionnaire de fichiers.

Une fois que vous avez cliqué sur Gestionnaire de fichiers, vous verrez tous les fichiers et dossiers de votre site comme indiqué ci-dessous. Cliquez ensuite sur le dossier public_html.

ouvrir le dossier html public

Sélectionnez "public_html".

Cliquez sur le dossier wp-admin.

dossier wp admin dans le gestionnaire de fichiers

Sélectionnez "wp-admin".

Cliquez ensuite sur le bouton de téléchargement comme indiqué ci-dessus.

bouton de téléchargement dans le gestionnaire de fichiers

Sélectionnez Télécharger.

Sélectionnez le .htaccess que vous venez de créer sur votre système local et téléchargez-le dans la fenêtre qui s'ouvre.

téléchargez votre fichier .htaccess

Téléchargez le fichier.

Une fois que vous avez téléchargé votre nouveau fichier .htaccess, vous avez terminé ! Ces nouvelles mesures de sécurité empêcheront les utilisateurs d'accéder à votre panneau d'administration autres que ceux auxquels vous avez explicitement donné l'autorisation.

Veuillez noter que cela limitera uniquement l'accès à wp-admin et ne limitera pas complètement l'accès au site WordPress. Les utilisateurs enregistrés peuvent toujours accéder à wp-admin, mais cela peut également être limité par les rôles d'utilisateur. Vous pouvez limiter les autorisations des utilisateurs afin que tous les utilisateurs enregistrés ne puissent pas accéder au dossier.

1.3 Bloquer l'accès non autorisé à wp-config.php

Le fichier wp-config gère les configurations WordPress de base et conserve les informations sensibles sur votre installation WordPress telles que les paramètres MySQL, les clés secrètes, les détails de connexion à la base de données WordPress, etc. des regards indiscrets.

Le fichier .htaccess peut être utile pour protéger ce fichier très important auquel accède un internaute. Pour cela, il vous suffit de copier le code ci-dessous dans votre fichier .htaccess.

Comme décrit dans la section Sécurisation du fichier .htaccess, ouvrez le fichier .htaccess à partir du gestionnaire de fichiers et ajoutez-y le code suivant.

commander autoriser, refuser refuser de tous

Une fois que vous avez ajouté le code ci-dessus, vous bloquerez l'accès non autorisé à wp-config.php.

1.4 Comment bloquer l'accès au contenu/téléchargements wp et désactiver l'exécution de pHp ?

Souvent, les pirates laissent derrière eux une porte dérobée pour accéder aux fichiers de votre site, de sorte que même si le piratage est découvert et corrigé, ils peuvent facilement accéder au site à l'avenir. Ces fichiers de porte dérobée sont souvent déguisés en fichiers WordPress dans les répertoires wp-includes ou wp-content/uploads/. Et ce sont souvent des fichiers .php. Pour mieux protéger vos fichiers et dossiers WordPress, vous devez désactiver l'exécution de ces fichiers. Cela peut aider à restreindre l'accès à WordPress, et cela peut être fait en désactivant l'exécution de PHP dans ces répertoires.

La désactivation de l'exécution de PHP avec .htaccess est un processus très simple si vous suivez ces instructions simples dans le fichier.

Tout d'abord, créez un nouveau fichier .htaccess dans un éditeur de texte et ajoutez-y le code suivant.

refuser de tous

À l'étape suivante, connectez-vous à votre compte d'hébergement Web et ouvrez gestionnaire de fichiers. C'est là que vous accédez au dossier de contenu et de téléchargement. Trouver un dossier contenu wp/upload/.

dossier de téléchargement de contenu wp

Sélectionner "téléchargements" de "wp-contenu".

Cliquez sur le boutonTélécharger' et téléchargez le fichier .htaccess que vous venez de créer.

bouton de téléchargement dans le gestionnaire de fichiers image 2

Sélectionnez Télécharger.

En appuyant sur le bouton "Télécharger» Une nouvelle fenêtre s'ouvrira dans laquelle vous pourrez sélectionner un fichier .htaccess à partir de votre système local.

téléchargez votre .htaccess - image 2

Téléverser un fichier.

Après avoir téléchargé le fichier .htaccess dans le dossier contenu wp/upload/, vous devez l'ajouter au dossier wp-inclut.

Identique à l'ajout au dossier contenu wp/upload/, ouvrez le gestionnaire de fichiers pour accéder au dossier wp-inclut depuis le répertoire d'accueil de votre site.

accéder au dossier wp include dans le gestionnaire de fichiers

Sélectionner "wp-inclut".

Cliquez sur un dossier wp-inclut, puis cliquez sur le bouton de téléchargement.

bouton de téléchargement dans le gestionnaire de fichiers - image 3

Sélectionnez Télécharger.

Après avoir cliqué sur le bouton de téléchargement, vous pourrez sélectionner un fichier à partir de votre système local. Sélectionnez le fichier .htaccess que vous venez de créer et téléchargez-le.

téléchargez votre .htaccess - image 3

Téléchargez votre fichier.

Une fois que vous avez ajouté .htaccess à ces deux dossiers très importants, vous avez réussi à désactiver toute exécution PHP dans ces dossiers.

1.5 Désactiver la navigation dans les répertoires dans WordPress avec htaccess

La navigation dans les répertoires est une fonctionnalité dans laquelle vous voyez une liste de fichiers et de dossiers au lieu d'une page Web lorsque vous essayez d'accéder à un site Web. Par exemple, vous avez un répertoire nommé privé (par exemple) sur votre site Web, disons www.exemple.com. Si la navigation dans les répertoires n'a pas été désactivée dans ce répertoire particulier, alors si quelqu'un tape www.exemple.com/privé/, il verra tous les fichiers et dossiers dans répertoire privé.

Cela peut être désastreux pour votre site car un pirate peut obtenir une énorme quantité d'informations. Qui peut alors procéder à planifier une attaque sur votre site, armé de la connaissance de la hiérarchie des fichiers de votre site ? En désactivant la navigation dans les répertoires de WordPress avec htaccess, vous limiterez le niveau d'accès à votre site.

Pour désactiver la navigation dans les répertoires d'un répertoire spécifique, créez un fichier .htaccess dans un éditeur de texte et enregistrez-le sous .htaccess (sans aucune extension de fichier supplémentaire). Ajoutez-y ensuite le code suivant et restreignez l'accès à vos fichiers WordPress.

# désactiver la navigation dans les répertoires Options Tous -Index

Après avoir ajouté le code, téléchargez ce fichier .htaccess nouvellement créé dans le répertoire pour lequel vous souhaitez désactiver cette fonctionnalité. Par exemple, si vous souhaitez désactiver la navigation dans les répertoires pour le dossier wp-includes, téléchargez ce fichier .htaccess dans le dossier wp-includes comme vous l'avez fait précédemment via le gestionnaire de fichiers.

1.6 Empêcher certaines adresses IP d'accéder au site

Vous avez peut-être remarqué que certains utilisateurs de certaines adresses IP ont spammé à plusieurs reprises, tenté de pirater ou simplement tenté d'obtenir un accès non autorisé à votre site WordPress. Vous pouvez complètement empêcher l'accès non autorisé par un utilisateur WordPress en bloquant son adresse IP d'accéder à votre site en utilisant le fichier .htaccess. Pour ce faire, copiez le code ci-dessous dans votre fichier .htaccess.

commander autoriser, refuser refuser de 128.476.75.1 autoriser de tous

L'adresse IP donnée dans le code ci-dessus n'est qu'un mannequin. Vous pouvez remplacer ces valeurs par l'adresse IP que vous souhaitez bloquer. Si vous en avez plusieurs au lieu d'un, ajoutez simplement chacun individuellement à une ligne qui ressemble à ceci :

deny from 213.546.87.9

Si, au lieu de l'adresse IP complète, vous souhaitez refuser l'accès à un bloc d'adresses IP, omettez simplement le dernier octet comme indiqué ci-dessous.

deny from 213.546.87.9

Cela bloquera toutes les adresses IP de 213.546.87.0 à 213.546.87.255.

1.7 Empêcher certains domaines d'accéder à votre site Web

Vous ne connaissez peut-être pas toujours les adresses IP spécifiques qui vous spamment. Cependant, vous savez peut-être que ces attaques proviennent de liens hébergés sur certains domaines malveillants. .htaccess vous permet de bloquer tout visiteur qui est venu sur votre site via un lien provenant de tels sites malveillants.

Pour bloquer un nom de domaine, ajoutez le code suivant à votre fichier .htaccess.

SetEnvIfNoCase Referer "badsite.com" bad_referer Order Allow,Deny Allow from ALL Deny from env=bad_referer

Dans le code ci-dessus, remplacez "bad site" par le domaine que vous souhaitez bloquer. Cependant, chaque fois qu'un utilisateur essaie d'accéder à votre site à partir d'un domaine que vous avez bloqué, il recevra un message d'erreur et ne pourra pas accéder à votre site.

2. Solution alternative

Bien que toutes les solutions ci-dessus soient efficaces pour restreindre l'accès aux fichiers et répertoires dans WordPress, on ne peut nier qu'elles présentent un risque important pour votre site. Pourquoi? Eh bien, parce que vous jouez avec un fichier de configuration très important. Même un point inapproprié peut casser la fonctionnalité de votre site ! Effrayant, non ?

Par conséquent, si vous n'êtes pas un expert, il est préférable d'utiliser un plugin de sécurité de site Web WordPress car il vous aidera à sécuriser votre site Web. Les plugins WordPress appelés Wordfence, All In One WP Security et MalCare peuvent prendre en charge les aspects de sécurité de votre site. Qu'il s'agisse de mettre sur liste noire des adresses IP spécifiques, de mettre en œuvre des mesures de renforcement du site Web, de protéger votre page de connexion, de rechercher des logiciels malveillants ou de nombreuses autres mesures de sécurité essentielles, ces plugins de sécurité font tout !

Lire cet article :

Merci d'avoir lu : SEO HELPER | NICOLA.TOP

À quel point ce message vous a-t-il été utile ?

Cliquez sur une étoile pour la noter !

Note moyenne 5 / 5. Décompte des voix : 383

Aucun vote pour l'instant ! Soyez le premier à noter ce post.

Vous aimerez aussi...

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

vingt + 2 =