[Résolu] Config htaccess (Créer un compte)

  • WordPress :5.4
  • Statut : résolu
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #2352038
    tarikhannane
    Participant
    Initié WordPress
    17 contributions

    Bonjour,

    Ma configuration WP actuelle :

    • – Version de WordPress : 5.5
    • – Version de PHP/MySQL : 7.4.2 / 5.7.26
    • – Thème utilisé : Astra
    • – Thème URI : https://wpastra.com/
    • – Extensions en place : Akismet Anti-Spam (4.1.6), Classic Editor (1.6), Duplicator (1.3.36), Elementor (3.0.2), Elementor Pro (3.0.1), Forum_wordpress_fr (4.2), NinjaFirewall (WP Edition) (4.2.4), NinjaScanner (2.0.7), Table of Contents Plus (2002), Yoast SEO (14.8.1)
    • – Adresse du site : http://localhost:8888/new_StratosWeb
    • – Nom de l’hébergeur : Apache/2.2.34 (Unix) mod_wsgi/3.5 Python/2.7.13 PHP/7.4.2 mod_ssl/2.2.34 OpenSSL/1.0.2o DAV/2 mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_perl/2.0.11 Perl/v5.24.0

    Problème(s) rencontré(s) :

    Je souhaite sécuriser les accès, depuis /public_html (dans lequel j’ai mon wordpress) mais également des fichiers et dossiers de wordpress avec un htaccess.
    Dans quel(s) répertoires dois-je installer un htaccess ?
    Que dois-e mettre dans ce htaccess ?

    Merci pour vos réponses.

    • Ce sujet a été modifié le il y a 6 mois et 4 semaines par tarikhannane. Raison: précision rajoutée
    #2352050
    Li-An
    Modérateur
    Maître WordPress
    24827 contributions

    Bonjour, si vous voulez ajouter des règles de protection, il faut les ajouter au fichier htaccess de WP si elles concernent le site en général. Si c’est pour la protection d’un répertoire en particulier, vous complétez ou rajoutez le htaccess à ce niveau.

    #2352053
    tarikhannane
    Participant
    Initié WordPress
    17 contributions

    Bonjour Li-An

    Merci de votre réponse, toujours très réactif à ce que je vois.

    Hélas, votre réponse est tropgénéraliste.

    Je sais déjà ce que vous m’écrivez. Mon souci est de savoir QUOI mettre.

    Dans le fichiers htaccess de WordPress, normalement, e ne devrait toucher à rien.

    Mais si e veux par exemple protéger un répertoire “documents”. Si je mets “options -indexes”, l’accès ne sera plus possible. Je souhaite juste les conditions suivantes :

    • Je dois être le seul à pouvoir écrire ou créer des fichiers dans ce répertoire
    • Je souhaite qu’on ne puisse pas lister le contenu du répertoire
    • Je ne souhaite pas utiliser un htpasswd

    Vos lumières me seront très utiles. Merci d’avance.

    #2352056
    Li-An
    Modérateur
    Maître WordPress
    24827 contributions

    Vous avez déjà une extension de sécurité alors c’est vraiment pour rajouter une couche. Si vous ne voulez pas vous identifier, la première condition me semble impossible à satisfaire (être le seul). Si vous bloquez tout, WP ne pourra plus rien lire ou modifier.

    Ninja Firewall permet d’interdire l’upload de fichiers et la modif de fichiers sensibles (voire ses options).

    Pour le listing

    # Protect Directory browsing
    Options All -Indexes

    mais vous auriez pu trouver ça très facilement sur le Web.

     

    #2352057
    PhiLyon
    Modérateur
    Maître WordPress
    27443 contributions

    Bonjour.

    Un bon tuto pour le .htaccess https://wpmarmite.com/htaccess-wordpress/

    🙂

    #2352058
    Kler
    Participant
    Initié WordPress
    29 contributions

    Bonjour,

    Pour info, et pour celleux qui n’ont pas envie d’installer un énième module de sécurité, voici quelques instructions que vous pouvez placer dans votre fichier .htaccess :

    # Protéger le fichier htaccess
    <files .htaccess>
    order allow,deny
    deny from all
    </files>

    # Protéger les fichiers sensibles
    <FilesMatch "^(wp-config.php|license.txt|readme.html)">
    Order Allow,Deny
    Deny from all
    </FilesMatch>

    #Protèger des attaques XSS
    <IfModule mod_headers.c>
    Header set X-XSS-Protection "1; mode=block"
    Header always append X-Frame-Options SAMEORIGIN
    Header set X-Content-Type-Options nosniff
    </IfModule>

    # Éviter que l'on découvre l'identifiant d'un auteur
    <IfModule mod_rewrite.c>
    RewriteCond %{QUERY_STRING} ^author=([0-9]*)
    RewriteRule .* - [F]
    </IfModule>

    # Protection contre les injections de fichiers
    RewriteCond %{REQUEST_METHOD} GET
    RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
    RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
    RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
    RewriteRule .* - [F]

    # Masquer la version de PHP
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC]
    RewriteRule .* - [F]
    </IfModule>

    # Masquer le fichier Readme
    <IfModule mod_rewrite.c>
    	RewriteEngine On
    	RewriteBase /
    	RewriteRule ^(.*/)?(readme|changelog|debug)\.(txt|md|html|log)$ - [R=404,L,NC]
    </IfModule>

    # Empêcher accès aux URLs sensibles
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteCond %{REQUEST_URI} !wp-includes/js/tinymce/wp-tinymce\.php$
    RewriteRule ^(php\.ini|wp-config\.php|wp-includes/.+\.php|wp-admin/(admin-functions|install|menu-header|setup-config|([^/]+/)?menu|upgrade-functions|includes/.+)\.php)$ [R=404,L,NC]
    </IfModule>

    # Masquer la version de Wordpress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^readme\.html$ - [R=404,L,NC]
    </IfModule>

    # Masquer les informations du serveur
    ServerSignature Off

    # Désactiver le hotlinking de vos images
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votresite.com [NC]

    # Bloquer l'utilisation de certains scripts
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]

    # Éviter le spam de commentaires
    <IfModule mod_rewrite.c>
    RewriteCond %{REQUEST_METHOD} POST
    RewriteCond %{REQUEST_URI} .wp-comments-post.php*
    RewriteCond %{HTTP_REFERER} !.monsite.com.* [OR]
    RewriteCond %{HTTP_USER_AGENT} ^$
    RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
    </IfModule>

    Évidemment il y en a d’autres et une petite recherche dans votre moteur favori vous aidera à optimiser au mieux votre fichier .htaccess, par exemple en ce qui concerne la compression Gzip ou la mise en cache, etc.

    • Cette réponse a été modifiée le il y a 6 mois et 4 semaines par Kler. Raison: Peut-être un doublon avec le précédent post, publié pendant que je terminais le mien : )
    #2352077
    tarikhannane
    Participant
    Initié WordPress
    17 contributions

    Hello,

    Un grand merci à vous tous qui avez répondu.

    J’ai plus que des réponses, j’ai eu des conseils !

    “Special Thanks” à Li-An pour ses conseils toujours si avisés et précieux. Merci à toi.

    PS : je n’ai pas encore regardé les options de Nina Firewall en effet

    Je clos donc le sujet 😉

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.