Config htaccess

WordPress :5.4
Statut : résolu

Ce sujet contient 6 réponses, 4 participants et a été mis à jour pour la dernière fois par tarikhannane, le il y a 3 années et 3 mois.

7 sujets de 1 à 7 (sur un total de 7)

Auteur

Messages
27 août 2020 à 16 h 08 min #2352038
tarikhannane
Participant

Initié WordPress
18 contributions
Bonjour,

Ma configuration WP actuelle :
- – Version de WordPress : 5.5
- – Version de PHP/MySQL : 7.4.2 / 5.7.26
- – Thème utilisé : Astra
- – Thème URI : https://wpastra.com/
- – Extensions en place : Akismet Anti-Spam (4.1.6), Classic Editor (1.6), Duplicator (1.3.36), Elementor (3.0.2), Elementor Pro (3.0.1), Forum_wordpress_fr (4.2), NinjaFirewall (WP Edition) (4.2.4), NinjaScanner (2.0.7), Table of Contents Plus (2002), Yoast SEO (14.8.1)
- – Adresse du site : http://localhost:8888/new_StratosWeb
- – Nom de l’hébergeur : Apache/2.2.34 (Unix) mod_wsgi/3.5 Python/2.7.13 PHP/7.4.2 mod_ssl/2.2.34 OpenSSL/1.0.2o DAV/2 mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_perl/2.0.11 Perl/v5.24.0
Problème(s) rencontré(s) :

Je souhaite sécuriser les accès, depuis /public_html (dans lequel j’ai mon wordpress) mais également des fichiers et dossiers de wordpress avec un htaccess.
Dans quel(s) répertoires dois-je installer un htaccess ?
Que dois-e mettre dans ce htaccess ?

Merci pour vos réponses.
- Ce sujet a été modifié il y a 3 années et 3 mois par tarikhannane. Raison : précision rajoutée
27 août 2020 à 17 h 10 min #2352050

Li-An
Participant

Maître WordPress
27999 contributions

Bonjour, si vous voulez ajouter des règles de protection, il faut les ajouter au fichier htaccess de WP si elles concernent le site en général. Si c’est pour la protection d’un répertoire en particulier, vous complétez ou rajoutez le htaccess à ce niveau.

27 août 2020 à 17 h 51 min #2352053
tarikhannane
Participant

Initié WordPress
18 contributions
Bonjour Li-An

Merci de votre réponse, toujours très réactif à ce que je vois.

Hélas, votre réponse est tropgénéraliste.

Je sais déjà ce que vous m’écrivez. Mon souci est de savoir QUOI mettre.

Dans le fichiers htaccess de WordPress, normalement, e ne devrait toucher à rien.

Mais si e veux par exemple protéger un répertoire « documents ». Si je mets « options -indexes », l’accès ne sera plus possible. Je souhaite juste les conditions suivantes :
- Je dois être le seul à pouvoir écrire ou créer des fichiers dans ce répertoire
- Je souhaite qu’on ne puisse pas lister le contenu du répertoire
- Je ne souhaite pas utiliser un htpasswd
Vos lumières me seront très utiles. Merci d’avance.
27 août 2020 à 18 h 05 min #2352056

Li-An
Participant

Maître WordPress
27999 contributions

Vous avez déjà une extension de sécurité alors c’est vraiment pour rajouter une couche. Si vous ne voulez pas vous identifier, la première condition me semble impossible à satisfaire (être le seul). Si vous bloquez tout, WP ne pourra plus rien lire ou modifier.

Ninja Firewall permet d’interdire l’upload de fichiers et la modif de fichiers sensibles (voire ses options).

Pour le listing

# Protect Directory browsing
Options All -Indexes

mais vous auriez pu trouver ça très facilement sur le Web.

27 août 2020 à 18 h 47 min #2352057

PhiLyon
Modérateur

Maître WordPress
28264 contributions

Bonjour.

Un bon tuto pour le .htaccess https://wpmarmite.com/htaccess-wordpress/

🙂

27 août 2020 à 18 h 57 min #2352058
Klerdesign
Participant

Initié WordPress
33 contributions
Bonjour,

Pour info, et pour celleux qui n’ont pas envie d’installer un énième module de sécurité, voici quelques instructions que vous pouvez placer dans votre fichier .htaccess :
```
# Protéger le fichier htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
```
```
# Protéger les fichiers sensibles
<FilesMatch "^(wp-config.php|license.txt|readme.html)">
Order Allow,Deny
Deny from all
</FilesMatch>
```
```
#Protèger des attaques XSS
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
```
```
# Éviter que l'on découvre l'identifiant d'un auteur
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]
</IfModule>
```
```
# Protection contre les injections de fichiers
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]
```
```
# Masquer la version de PHP
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
RewriteRule .* - [F]
</IfModule>
```
```
# Masquer le fichier Readme
<IfModule mod_rewrite.c>
	RewriteEngine On
	RewriteBase /
	RewriteRule ^(.*/)?(readme|changelog|debug)\.(txt|md|html|log)$ - [R=404,L,NC]
</IfModule>
```
```
# Empêcher accès aux URLs sensibles
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} !wp-includes/js/tinymce/wp-tinymce\.php$
RewriteRule ^(php\.ini|wp-config\.php|wp-includes/.+\.php|wp-admin/(admin-functions|install|menu-header|setup-config|([^/]+/)?menu|upgrade-functions|includes/.+)\.php)$ [R=404,L,NC]
</IfModule>
```
```
# Masquer la version de Wordpress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^readme\.html$ - [R=404,L,NC]
</IfModule>
```
```
# Masquer les informations du serveur
ServerSignature Off
```
```
# Désactiver le hotlinking de vos images
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votresite.com [NC]
```
```
# Bloquer l'utilisation de certains scripts
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
```
```
# Éviter le spam de commentaires
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.monsite.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
</IfModule>
```
Évidemment il y en a d’autres et une petite recherche dans votre moteur favori vous aidera à optimiser au mieux votre fichier .htaccess, par exemple en ce qui concerne la compression Gzip ou la mise en cache, etc.
- Cette réponse a été modifiée le il y a 3 années et 3 mois par Klerdesign. Raison: Peut-être un doublon avec le précédent post, publié pendant que je terminais le mien : )
27 août 2020 à 20 h 38 min #2352077

tarikhannane
Participant

Initié WordPress
18 contributions

Hello,

Un grand merci à vous tous qui avez répondu.

J’ai plus que des réponses, j’ai eu des conseils !

« Special Thanks » à Li-An pour ses conseils toujours si avisés et précieux. Merci à toi.

PS : je n’ai pas encore regardé les options de Nina Firewall en effet

Je clos donc le sujet 😉
Auteur

Messages