Le fichier htaccess (abréviation d’access hypertext) est ajouté automatiquement à la racine de votre site WordPress, et est caché. Vous ne l’avez peut-être même pas remarqué. Pourtant, il y a beaucoup de choses que vous pouvez faire avec ce fichier htaccess.
Les conseils et astuces suivants vous aideront à accélérer vos blogs WordPress, à les sécuriser et vous permettront d’améliorer votre site dans différents autres domaines.
Sachez simplement que la moindre petite erreur dans le htaccess peut entraîner de gros changements sur votre site, ou même le rendre inaccessible. Gardez une trace de tout ce que vous faites afin de pouvoir annuler vos actions si nécessaire.
Améliorer la sécurité de votre site WordPress grâce au fichier .htaccess
1. Bloquer l’accès aux fichiers d’administration à toutes les adresses IP, sauf la vôtre
Si vous voulez vous assurer qu’aucune autre adresse IP que la vôtre ne pourra accéder au répertoire wp_admin de votre site, il existe un code qui vous permet de bloquer l’accès à ce répertoire.
Le répertoire wp_admin est l’endroit où se trouvent tous les fichiers liés au tableau de bord de WordPress. Cela inclut toutes les fonctions administratives telles que la rédaction de messages, la modération de vos commentaires, l’installation de thèmes et l’utilisation de plug-ins.
Comme WordPress permet un accès complet aux administrateurs, le fait de bloquer l’accès des autres à vos fichiers d’administration peut empêcher des pirates d’accéder à votre site. Pour bloquer toutes les adresses sauf la vôtre, le code à utiliser est le suivant :
uthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <limit get> order deny,allow deny from all allow from xx.xx.xx.xx </limit>
À lire aussi : Comment installer WordPress facilement sur votre serveur ?
2. Rendre vos fichiers de configuration php inaccessibles
Le fichier wp-config.php contient des informations cruciales comme votre identifiant, votre mot de passe et le nom de votre base de données dans un format non crypté.
Le fait de bloquer complètement tout accès au fichier ajoute une couche de sécurité, protégeant le site des regards indiscrets. Comme les fichiers PHP sont cachés, ces informations ne sont pas visibles directement par le navigateur, mais si quelqu’un devait pirater un site web, il s’agirait de l’un des premiers fichiers auxquels il essaierait d’accéder en raison des informations qu’il contient.
Utiliser ce code améliore considérablement la sécurité de votre site :
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
3. Sécuriser vos fichiers de plugin WordPress
Les plugins sont très utiles, mais ils peuvent aussi rendre votre site web vulnérable aux attaques. Parfois, les fichiers de plugins permettent un accès direct à des utilisateurs non autorisés, ce qui constitue un sérieux problème de sécurité.
Utilisez simplement les quatre lignes de code suivantes pour empêcher quiconque, à part vous, d’avoir un accès direct à vos fichiers de plugins.
<files ~ ".(js|css)$"="".(js|css)
amp;quot;"> order allow,deny allow from all </files>
À lire aussi : Installer un plugin WordPress simplement
Améliorer la vitesse de votre site WordPress grâce au fichier .htaccess
1. Utilisez le fichier htaccess pour la mise en cache forcée.
Bien que la mise en cache forcée n’accélère pas le chargement initial d’une page, si une page a été chargée une fois sur un navigateur particulier, la mise en cache forcée peut renvoyer un code 304 et accélérer le chargement de la page si rien n’a changé sur celle-ci.
FileETag MTime Size ExpiresActive on ExpiresDefault "access plus x seconds"
À lire aussi : Les 4 meilleurs plugins de cache pour WordPress
2. Interdire le Hotlinking d’images
Le Hotlinking permet à un tiers d’utiliser l’adresse d’un fichier, le plus souvent une image, et de l’afficher sur un autre site sans l’enregistrer avant sur son propre serveur.
Cela entraîne une augmentation du volume de données sur le site d’origine, sans que son propriétaire ne puisse rien faire. Bien sûr, le site se retrouve ralenti…
Voici un code qui permet d’empêcher ce geste pas très classe :
# Hotlinking banni RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http:// www.domaine /.*$ [NC] [OR] RewriteCond %{HTTP_REFERER} !^http://www.domaine /.*$ [NC] [OR] RewriteRule .*\.(gif|GIF|jpg|JPG|bmp|BMP|wav|mp3|wmv|avi|mpeg)$ - [F]
3. Augmenter la mémoire PHP
L’utilisation de PHP est soumise à une limite de mémoire sur le serveur. Celle-ci peut être augmentée en fonction des besoins en utilisant la directive suivante :
# PHP Memory Limit php_value memory_limit 128M
La valeur de 128 M peut être augmentée, selon vos besoins. Par exemple, un site muni de WooCommerce sera plus gourmand et demandera sans doute un peu plus de mémoire que la mémoire d’origine, pour s’exécuter parfaitement !
À lire aussi : 6 astuces pour améliorer la vitesse de votre site WordPress
Éliminez les visiteurs et robots indésirables de votre site en utilisant htaccess
1. Créer une liste noire pour empêcher l’accès au site à partir de certaines adresses IP
Les sites web sont faits pour avoir des visiteurs. Toutefois, ces visiteurs peuvent parfois s’avérer indésirables. Le fichier htaccess peut être utilisé pour bloquer ces visiteurs.
Cela est également utile pour éloigner certains robots de votre site, susceptibles de le ralentir ou de vous spammer.
Le code pour créer votre liste noire est le suivant :
<limit get="GET" post="POST" put="PUT"> order allow,deny allow from all deny from xxx.xx.xxx.xxx deny from xxx.xx.xxx.xxx deny from xxx.xx.xxx.xxx deny from xxx.xx.xxx.xxx </limit>
Vous pouvez ajouter autant d’adresses IP que vous le souhaitez de cette façon pour éviter que votre site ne soit perturbé. Si quelqu’un spamme votre site, ce petit bout de code est votre nouveau meilleur ami.
2. Interdire à un utilisateur d’accéder à votre site
Nous venons de voir un code qui permet de bloquer plusieurs adresses IP de votre site, mais il arrive parfois qu’un seul utilisateur pose problème.
Dans ce cas, il est possible d’utiliser un code plus court qui interdit uniquement cette seule adresse IP. Pour ce faire, il suffit d’ajouter son adresse IP dans le code suivant.
## USER IP BANNING <limit get post="POST"> order allow,deny deny from xxx.xx.xxx.xxx allow from all </limit>
L’utilisation de ce code permet l’accès à tout le monde, sauf à celui qui essaie d’accéder à votre site à partir de l’IP qui vous a causé des problèmes.
3. Empêchez les spammeurs de publier des messages sur votre blog
Pour comprendre comment ce type de spam fonctionne, imaginez un lecteur de blog humain, lisant un billet et décidant de laisser un commentaire. La boîte de dialogue de commentaire sera référencée par la page sur laquelle se trouve l’article.
Un spammeur n’est pas humain, et il ne lit pas vos articles. Il fait ce qu’on appelle des « no referrer requests », ce qui signifie que la boîte de dialogue de commentaire a été la première requête faite.
Le code suivant peut refuser ces types de demandes et supprimer l’activité de spambot sur votre site web :
RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post.php* RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
Vous pouvez utiliser la dernière ligne de ce code pour envoyer les spammeurs ailleurs. Veillez à ne pas les envoyer n’importe où !
Conclusion
En utilisant des codes simples, vous pouvez accélérer votre site, dissuader les pirates, améliorer votre sécurité, éloigner les spammeurs… Mais le fichier htaccess n’est pas à modifier à la légère !
Après chaque modification apportée à votre fichier htaccess, rafraîchissez votre page pour vous assurer que votre site web est toujours en ligne. Comme une seule erreur peut tout casser sur votre site, il est important de savoir exactement quand les problèmes sont apparus. Cela permettra de réduire le nombre de lignes de code à corriger. Sauvegardez votre fichier fonctionnel avant chaque modification future de manière à pouvoir faire marche arrière facilement. Si vous doutez, faites appel à un développeur freelance en déposant une annonce gratuitement sur Codeur.com.
Cette liste est évidemment très loin d’être exhaustive tant le fichier htaccess permet de choses. Partagez vos propres astuces en commentaires !