Modifier le fichier .htaccess de votre site Web peut sembler intimidant pour les débutants WordPress. Mais d'après notre expérience, c'est un outil que vous pouvez utiliser pour améliorer les performances, la sécurité et le référencement de votre site Web.
Vous pouvez considérer ce fichier comme un panneau de contrôle pour affiner les paramètres du serveur de votre site sans avoir besoin d'être un expert en codage.
Dans cet article, nous vous montrerons quelques astuces utiles du fichier .htaccess pour WordPress qui vous donneront un plus grand contrôle sur votre présence en ligne.
Qu'est-ce que le fichier .htaccess et comment le modifier ?
Le fichier .htaccess est un fichier de configuration du serveur Web Apache. C'est un fichier texte qui vous permet de définir des règles que votre serveur doit suivre pour votre site Web WordPress.
WordPress utilise le fichier .htaccess pour générer une structure d'URL conviviale pour le référencement. Cependant, ce fichier peut faire bien plus que stocker les paramètres des permaliens.
Le fichier .htaccess est situé dans le répertoire racine de votre site WordPress. Vous devrez vous connecter à votre site Web à l'aide d'un client FTP ou du gestionnaire de fichiers cPanel pour le modifier.
Si vous ne trouvez pas votre fichier .htaccess, consultez notre guide sur comment trouver le fichier .htaccess dans WordPress.
Avant de modifier votre fichier .htaccess, il est important d'en télécharger une copie sur votre ordinateur en guise de sauvegarde. Vous pourrez utiliser ce fichier en cas de problème.
Cela dit, examinons quelques astuces utiles du fichier .htaccess pour WordPress que vous pouvez essayer :
- Protégez votre zone d'administration WordPress
- Protégez par mot de passe le dossier d'administration WordPress
- Désactiver la navigation dans les répertoires
- Désactiver l'exécution de PHP dans certains répertoires WordPress
- Protégez votre fichier de configuration WordPress wp-config.php
- Configuration des redirections 301 via le fichier .htaccess
- Bannir les adresses IP suspectes
- Désactiver le hotlinking d'images dans WordPress à l'aide de .htaccess
- Protégez le fichier .htaccess contre l'accès non autorisé
- Augmenter la taille des fichiers téléversés dans WordPress
- Désactiver l'accès au fichier XML-RPC à l'aide de .htaccess
- Blocage des scans d'auteurs dans WordPress
1. Protégez votre zone d'administration WordPress
Vous pouvez utiliser le fichier .htaccess pour protéger votre zone d'administration WordPress en limitant l'accès à certaines adresses IP uniquement.
Copiez et collez simplement cet extrait de code dans votre fichier .htaccess :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
N'oubliez pas de remplacer les valeurs xx par votre propre adresse IP. Si vous utilisez plus d'une adresse IP pour accéder à Internet, assurez-vous de les ajouter également.
Pour des instructions détaillées, consultez notre guide sur la façon de limiter l'accès à l'administration WordPress à l'aide de .htaccess.
2. Protégez par mot de passe le dossier d'administration WordPress
Si vous accédez à votre site WordPress depuis plusieurs endroits, y compris des points d'accès Internet publics, la limitation de l'accès à des adresses IP spécifiques peut ne pas vous convenir.
Vous pouvez utiliser le fichier .htaccess pour ajouter une protection par mot de passe supplémentaire à votre zone d'administration WordPress.
Tout d'abord, vous devez générer un fichier .htpasswds. Vous pouvez facilement en créer un en utilisant ce générateur en ligne.
Téléversez ce fichier .htpasswds en dehors de votre répertoire web accessible au public ou du dossier /public_html/. Un bon chemin serait :
/home/user/.htpasswds/public_html/wp-admin/passwd/
Ensuite, créez un fichier .htaccess et téléversez-le dans le répertoire /wp-admin/, puis ajoutez-y le code suivant :
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Important : N'oubliez pas de remplacer le chemin AuthUserFile par le chemin du fichier .htpasswds et d'ajouter votre propre nom d'utilisateur.
Pour des instructions détaillées, consultez notre guide sur la façon de protéger par mot de passe le dossier d'administration WordPress (wp-admin).
3. Désactiver la navigation dans les répertoires
De nombreux experts en sécurité WordPress recommandent de désactiver la navigation dans les répertoires. Avec la navigation dans les répertoires activée, les pirates peuvent examiner la structure des répertoires et des fichiers de votre site pour trouver un fichier vulnérable.
Pour désactiver la navigation dans les répertoires sur votre site web, vous devez ajouter la ligne suivante à votre fichier .htaccess :
Options -Indexes
Pour en savoir plus sur ce sujet, consultez notre guide sur la façon de désactiver la navigation dans les répertoires dans WordPress.
4. Désactiver l'exécution de PHP dans certains répertoires WordPress
Parfois, les pirates informatiques s'introduisent sur un site WordPress et installent une porte dérobée. Ces fichiers de porte dérobée sont souvent déguisés en fichiers WordPress de base et sont placés dans les dossiers /wp-includes/ ou /wp-content/uploads/.
Un moyen plus simple d'améliorer la sécurité de votre WordPress est de désactiver l'exécution de PHP pour certains répertoires WordPress.
Vous devrez créer un fichier .htaccess vierge sur votre ordinateur, puis y coller le code suivant :
<Files *.php>
deny from all
</Files>
Enregistrez le fichier, puis téléchargez-le dans vos répertoires /wp-content/uploads/ et /wp-includes/.
Pour plus d'informations, consultez notre tutoriel sur la façon de désactiver l'exécution de PHP dans certains répertoires WordPress.
5. Protégez votre fichier de configuration WordPress wp-config.php
Probablement le fichier le plus important dans le répertoire racine de votre site WordPress est le fichier wp-config.php. Il contient des informations sur votre base de données WordPress et comment s'y connecter.
Pour protéger votre fichier wp-config.php contre tout accès non autorisé, ajoutez simplement ce code à votre fichier .htaccess :
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Configuration des redirections 301 via le fichier .htaccess
L'utilisation des redirections 301 est le moyen le plus respectueux du référencement pour indiquer à vos utilisateurs que le contenu a été déplacé vers un nouvel emplacement. Si vous souhaitez gérer correctement vos redirections 301 au cas par cas, consultez notre guide sur comment configurer des redirections dans WordPress.
D'un autre côté, si vous souhaitez configurer rapidement des redirections, il vous suffit de coller ce code dans votre fichier .htaccess :
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Bannir les adresses IP suspectes
Vous constatez un nombre inhabituellement élevé de requêtes vers votre site web provenant d'une adresse IP spécifique ? Vous pouvez facilement bloquer ces requêtes en bloquant l'adresse IP dans votre fichier .htaccess.
Ajoutez simplement le code suivant à votre fichier .htaccess :
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
N'oubliez pas de remplacer xx par l'adresse IP que vous souhaitez bloquer.
8. Désactiver le hotlinking d'images dans WordPress à l'aide de .htaccess
D'autres sites web qui font du hotlinking direct d'images depuis votre site peuvent ralentir votre site WordPress et dépasser votre limite de bande passante. Ce n'est pas un gros problème pour la plupart des petits sites web. Cependant, si vous gérez un site web populaire ou un site web avec beaucoup de photos, cela pourrait devenir une préoccupation sérieuse.
Vous pouvez empêcher le hotlinking d'images en ajoutant ce code à votre fichier .htaccess :
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Ce code permet uniquement l'affichage des images si la requête provient de wpbeginner.com ou de Google.com. N'oubliez pas de remplacer wpbeginner.com par le nom de votre propre domaine.
Pour plus de moyens de protéger vos images, consultez notre guide sur les moyens d'empêcher le vol d'images dans WordPress.
9. Protéger .htaccess contre les accès non autorisés
Comme vous l'avez vu, il y a beaucoup de choses qui peuvent être faites avec le fichier .htaccess. En raison de sa puissance et du contrôle qu'il exerce sur votre serveur web, il est important de le protéger contre les accès non autorisés par les pirates.
Ajoutez simplement le code suivant à votre fichier .htaccess :
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Augmenter la taille des fichiers téléversés dans WordPress
Il existe différentes façons d'augmenter la limite de taille des fichiers téléversés dans WordPress. Cependant, pour les utilisateurs d'hébergement partagé, certaines de ces méthodes ne fonctionnent pas.
L'une des méthodes qui a fonctionné pour de nombreux utilisateurs consiste à ajouter le code suivant à leur fichier .htaccess :
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Ce code indique simplement à votre serveur web d'utiliser ces valeurs pour augmenter la taille des fichiers téléversés ainsi que le temps d'exécution maximum dans WordPress.
11. Désactiver l'accès au fichier XML-RPC à l'aide de .htaccess
Chaque installation de WordPress est livrée avec un fichier appelé xmlrpc.php. Ce fichier permet aux applications tierces de se connecter à votre site WordPress. La plupart des experts en sécurité WordPress conseillent que si vous n'utilisez aucune application tierce, vous devriez désactiver cette fonctionnalité.
Il existe plusieurs façons de le faire. L'une d'elles consiste à ajouter le code suivant à votre fichier .htaccess :
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Pour plus d'informations, consultez notre guide sur comment désactiver XML-RPC dans WordPress.
12. Blocage des scans d'auteurs dans WordPress
Une technique courante utilisée dans les attaques par force brute consiste à effectuer des scans d'auteurs sur un site WordPress, puis à tenter de casser les mots de passe de ces noms d'utilisateur.
Vous pouvez bloquer de tels scans en ajoutant le code suivant à votre fichier .htaccess :
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Pour plus d'informations, consultez notre article sur la façon de décourager les attaques par force brute en bloquant les scans d'auteurs dans WordPress.
Nous espérons que cet article vous a aidé à découvrir les astuces .htaccess les plus utiles pour WordPress. Vous pourriez également consulter notre guide sur comment effectuer un audit de sécurité WordPress et notre sélection d'experts des meilleurs plugins de protection de contenu WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Olaf
Le fichier .htaccess, en tant que l'un des fichiers de configuration Apache, est fantastique pour modifier un site Web et améliorer la sécurité. Vous pouvez vraiment faire des merveilles avec. Amélioration de la sécurité, modification des URL, augmentation des limites, et plus encore. Merci pour les excellents exemples pour ce fichier ! Pour moi, la prévention du hotlinking (que je gérais auparavant via Cloudflare) et la protection par mot de passe de répertoire (généralement gérée via un plugin) ont été particulièrement utiles.
Dennis Muthomi
La section wp-config.php a été super utile. Je l'ai utilisée sur plusieurs sites clients et je peux en attester. Une autre chose que j'ajouterais est de toujours sauvegarder votre fichier .htaccess d'origine avant d'apporter des modifications. Cela m'a sauvé tellement de fois lors du dépannage de problèmes de serveur. Excellent guide !
Dan
Bonjour, est-ce que l'un de ces codes peut affecter Google Analytics ? J'ai ajouté les numéros 5, 9 et 12 et maintenant GA ne peut plus détecter les informations sur les visiteurs du site web, ni même indiquer s'il y a quelqu'un sur la plateforme.
Support WPBeginner
Les méthodes de cet article ne devraient pas affecter la capacité de Google Analytics à suivre votre contenu. Cela dépendrait de la manière dont vous avez ajouté Google Analytics pour expliquer le problème.
Admin
Jiří Vaněk
J'étais assez intéressé par le point 9, la protection du htaccess lui-même. Cela signifie-t-il que ce fichier est également disponible d'une autre manière que par FTP ? J'ai essayé d'y accéder classiquement via un navigateur web et je n'ai pas trouvé comment faire. D'après ce que je comprends, les expressions interdisent l'accès à tout ce qui contient hh, tt, aa dans le nom. Cela signifie-t-il qu'il existe un moyen d'attaquer le htaccess autrement que par FTP ?
Support WPBeginner
Il existe d'autres moyens que le simple FTP pour accéder aux fichiers, c'est une façon de limiter les accès comme un autre outil pour la sécurité de votre site.
Admin
Jiří Vaněk
Je comprends et je vous remercie pour votre réponse. J'ai réglé les permissions à 644 sur le fichier htaccess et j'y ai également inséré vos directives. Merci pour cet article qui m'a une fois de plus ouvert les yeux car j'ai toujours pensé que htaccess ne pouvait être géré que par FTP ou l'administration WordPress. On apprend toujours :).
Simeon
Merci beaucoup pour cela. Très utile !
Support WPBeginner
Heureux que cela ait été utile !
Admin
Jackson Andrade
J'utilise la protection par mot de passe pour wp-login.php. Mes clients ne peuvent pas se déconnecter lorsque login.php est protégé. Existe-t-il un moyen de permettre aux clients de se déconnecter sans appeler wp-login.php?action=logout ?
Les administrateurs ne peuvent pas non plus se déconnecter, mais ce n'est pas un problème.
L'URL de déconnexion du client Woocommerce est, domain.com/account/customer-logout.
Les deux appellent wp-login.php pour la déconnexion. Il est demandé aux clients l'identifiant et le mot de passe htaccess. S'il existe une solution de contournement, faites-le moi savoir. Merci.
Support WPBeginner
Si votre site a une connexion pour des utilisateurs qui ne sont pas vos administrateurs, nous ne recommandons pas de protéger wp-login.php par mot de passe pour le moment et nous n'avons pas de solution de contournement à l'heure actuelle.
Admin
Jackson Andrade
Merci pour cette information. J'espère que Wordpress ajoutera une fonctionnalité à l'avenir où il ne redirigera pas vers login.php pour la déconnexion.
HtaccessGuy
Ne protégez pas wpadmin par mot de passe si vous utilisez AJAX, sinon cela cassera des choses.
Support WPBeginner
Si vous parlez du 2 dans cette liste, nous avons ajouté du code pour permettre à ajax de continuer à fonctionner.
Admin
Ana
Cela a résolu mon problème avec le code ci-dessus. Merci.
Abhi
Aidez-moi s'il vous plaît.
lorsque je colle le code suivant dans le fichier .htaccess, une erreur s'affiche :
Il semble que vous n’ayez pas
la permission d’accéder à cette page.
Erreur 403. Interdit.
Support WPBeginner
Pour résoudre l'erreur 403, vous voudrez consulter notre guide ici : https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ben
Excellent article !
Dois-je le faire si j'ai déjà installé le plugin WordFence ?
Certaines personnes ne recommandent pas de toucher au fichier .htaccess.
Cordialement.
Support WPBeginner
Aucune de ces astuces n'est nécessaire si vous ne souhaitez pas les utiliser, ce sont seulement des outils utiles que vous pouvez utiliser.
Admin
Sebastian
Je ne suis pas sûr de ce que signifie exactement « Protéger .htaccess contre les accès non autorisés ». Pourrai-je y accéder si je fais des modifications à partir du point 9 ?
Support WPBeginner
Cela signifie que si quelqu'un connaît l'emplacement de votre htaccess et essaie de visualiser le fichier en entrant cette adresse dans l'URL, le navigateur ne pourra pas le visualiser.
Admin
reus
comment utiliser le nom d'utilisateur et le mot de passe de connexion wp (utilisateur enregistré) pour accéder à votre sujet n° 2 (Protéger par mot de passe le dossier d'administration WordPress).
J'espère trouver une réponse ici.
merci
Support WPBeginner
Si vous vouliez utiliser cela, vous devriez définir les informations dans le fichier htpasswds
Admin
reus
merci pour votre réponse, comment définir ces informations dans les htpasswds ? merci
Support WPBeginner
We show the tool to use under tip 2 in the article
Selvakumaran Krishnan
Salut Syed Balkhi,
Je dois ouvrir une URL qui contient des paramètres de requête et des chaînes comme celle-ci.
something.example.com/pagename.php?query1=string1&query2=string2&redirecturl=http%3A%2F%2Fsomething.example2.com/something&query3=string3
Dans l'URL ci-dessus, le problème est %3A%2F%2F. Il affiche une erreur 403 interdite. Si je supprime cette partie, l'URL fonctionne bien.
J'ai cherché et essayé toutes les méthodes comme mod_rewrite, redirect, etc., mais rien ne fonctionne.
Y a-t-il un moyen de supprimer (ou) réécrire (ou) rediriger cette partie encodée à l'aide du fichier .htaccess. Cette partie se trouve au milieu de nombreux paramètres. Il y a beaucoup de paramètres de requête avant et après cette partie.
S'il vous plaît, partagez votre idée.
Kathrine
C'est un excellent article !! J'ai suivi vos instructions et tout fonctionne bien. J'ai essayé d'ouvrir mon site d'administration en utilisant une adresse IP différente et cela fonctionne très bien. Merci de partager vos connaissances.
Mohamed Adel
Lorsque vous protégez le répertoire wp-admin (comme expliqué dans 2. Protéger par mot de passe le dossier WordPress), lorsque je vais sur n'importe quelle page du site, le message apparaît pour demander le mot de passe. Comment résoudre ce problème ?
J'ai essayé depuis Cpanel et le même problème se produit.
Tony
Le conseil au point 4 pour désactiver l'exécution de php a commencé à causer des problèmes avec l'éditeur tinymce dans les pages et les articles. Un fichier php est inclus dans le dossier tinymce qui charge les fichiers js pertinents. Je viens de supprimer le code htaccess du dossier wp-include pour arrêter le problème. Peut-être y a-t-il une autre solution ?
Pankaj
Le point 5 ne fonctionne pas
(5. Protégez votre fichier de configuration WordPress wp-config.php)
[05-Mar-2018 08:20:03 Etc/GMT] Erreur de syntaxe PHP : syntax error, unexpected ‘<' in /home/—–/public_html/xyz.com/wp-config.php on line 91
Support WPBeginner
Salut Pankaj,
Le code de la 5ème astuce doit être collé dans le fichier .htaccess et non dans le fichier wp-config.php.
Admin
Maximilian
Salut,
Merci !
Est-il possible de voir le fichier .htaccess entier quelque part ? Oui, j'ai pu lire : « mettez une ligne après l'autre », mais je ne suis toujours pas sûr.
Est-ce que « # END WordPress° » est alors la dernière ligne ou est-ce quelque part en haut ?
Et que pensez-vous de mettre « Options -Indexes » tout à la fin ?
Merci pour votre réponse !
Support WPBeginner
Salut Maximilian,
Vous pouvez ajouter de nouvelles lignes après la ligne #END WordPress.
Admin
yudi cahyadi
bon article..j'ai une question, après avoir implémenté le code dans htaccess. Dois-je installer un plugin de sécurité ou pas..??
yudi cb(débutant)
Support WPBeginner
Salut Yudi Cahyadi,
Oui, vous avez toujours besoin d'installer un plugin de sécurité. Veuillez consulter notre guide de sécurité WordPress pour plus d'informations.
Admin
Mario von Gollaz
Salut, bel article. Y a-t-il un moyen de faire des redirections en masse ?
Mario
Kevin
Salut,
Excellent article et juste une question !
Faut-il placer le code supplémentaire (en particulier les optimisations de vitesse) avant ou après la partie # BEGIN WordPress ?
Cordialement
Kevin
Brian Wohn
Salut, mon développeur de thème m'a dit que cela pourrait être dans le htaccess, mais je ne sais pas pourquoi mon wordpress ajoute ceci à la fin de toutes mes pages :
Une idée pourquoi il ajoute le « /?v=8f2564d40946 » ? J'ai vérifié mes Permaliens, Slugs, etc. et rien là-dessus ?
Merci pour votre aide !
Support WPBeginner
Salut Brian,
Il semble que ce soit une balise GeoLocation ajoutée par WooCommerce.
Si vous utilisez WooCommerce, vous pouvez le désactiver. Allez à la page Options générales de WooCommerce et décochez l'option « Géolocaliser avec prise en charge de la mise en cache des pages ».
Admin
Adrienne Warden
Un autre merveilleux article de WP Beginner… Juste un conseil pour nous tous, les nouveaux venus… Bien que WP Beginner ait certains des meilleurs conseils et astuces pour WordPress, en ce qui concerne la protection de votre site, si vous êtes sur un serveur mutualisé, recherchez d'abord le « support ». J'ai beaucoup appris sur le backend en lisant les articles de WP Beginner, mais la vérité est que je ne suis pas un expert du backend et la plupart des hébergements mutualisés ont déjà une solution en place pour ce genre de choses… Je suis chez InMotion et ils ont mis en place des solutions en un clic pour de nombreux problèmes qui affectent la sécurité du site. J'ai désactivé l'index de fichiers directement depuis CPanel…
WP Beginner reste ma référence pour les connaissances WordPress… Vous êtes géniaux !
Fien
C'est un bon article sur htaccess. Mais comment implémenter cela dans un seul fichier ? Puis-je mettre toutes les lignes les unes après les autres ?
Support WPBeginner
Salut Fien,
Vous pouvez les ajouter les unes après les autres.
Admin
Liew CheonFong
Super liste. Mis en favoris !
Avez-vous la même liste pour le serveur web NGINX (qui ne lit pas le fichier .htaccess) ?
Pattye
Il y a un moyen d'interdire aux bots d'explorer votre site avec ce fichier. Des suggestions pour le faire, en dehors de l'interdiction de l'IP ?