Sécurité WordPress via le fichier .htaccess

L'un des fichiers importants de WordPress est le fichier .htaccess. Cela permettra aux utilisateurs d'accéder au site Web conformément aux règles. Ce guide vous dira tout ce que vous devez savoir sur le fichier .htaccess de sécurité WordPress.

Nous verrons ici pourquoi vous pouvez l’utiliser à votre avantage. Nous commencerons par ce que .htaccess pour les gens qui n’en ont aucune idée et ensuite nous verrons toutes les autres choses qui comptent. Cela inclura quelques astuces grâce auxquelles vous pourrez améliorer la sécurité du site Web.

Commençons par le guide.

Qu’est-ce que le fichier .htaccess de sécurité WordPress ?

Dans un premier temps, nous verrons ce qu’est le fichier .htaccess. C'est un fichier système cela vient sur tous les sites Web. Il peu importe le CMS de site Web que vous utilisez, que ce soit WordPress ou tout autre, vous aurez un fichier .htaccess où toutes les choses sont stockées.

Il y a certains des règles indiquées dans le dossier. Ces règles vous diront comment les utilisateurs verront le site Web. Si l' .htaccess ne permettra pas au visiteur d'accéder au fichier, personne ne pourra accéder au fichier. Habituellement, il existe des règles qui empêcher les gens d'accéder aux principales pages d'administration du site Web.

Cependant, cela n’inclut qu’une sécurité de base. Vous pouvez sûrement améliorer la sécurité en y ajoutant plus de règles.

Nous verrons les mêmes règles ici. Lorsque vous suivez tout cela et mettez en œuvre ces règles, vous obtiendrez une meilleure sécurité ici – Fichier WordPress Security .htaccess.

Comment modifier/ajouter un fichier .htaccess ?

Nous verrons comment modifier/ajouter le fichier .htaccess. Si vous ouvrez le gestionnaire de fichiers, vous je ne verrai aucun fichier appelé .htaccess. La simple raison en est qu’il s’agit d’un fichier système.

Les fichiers système sont généralement cachés de tous les autres fichiers. Par conséquent, vous ne verrez pas le fichier. Pour voir le fichier, vous devrez suivre certaines procédures.

Pour ce faire, vous pouvez simplement ouvrez le gestionnaire de fichiers puis cliquez sur les paramètres icône visible sur la barre supérieure. Lorsque vous cliquez sur le bouton Paramètres, vous aurez la possibilité de afficher tous les fichiers cachés.

Vous pouvez simplement cliquer sur afficher les fichiers cachés et il vous montrera la liste complète des fichiers cachés. Ce sont les fichiers qui a (.) devant son nom. Par exemple, vous ne verrez pas le fichier htaccess. Au lieu de cela, c'est Fichier htaccess..

Une fois que vous voyez le fichier, vous pouvez télécharge le. La raison pour laquelle nous vous demandons de télécharger le fichier est à des fins de sauvegarde. Que se passe-t-il si quelque chose ne va pas et que vous finissez par supprimer des éléments importants ? Il y a de fortes chances que votre site Web plante en cas de problème. Si vous disposez déjà d’une sauvegarde, vous pouvez la restaurer rapidement en une minute.

Par conséquent, vous pouvez télécharger le fichier et c'est tout. Conservez-le en sécurité quelque part sur votre ordinateur.

Modification du fichier – Fichier WordPress Security .htaccess

Parlons maintenant de la modification du fichier. Vous pouvez facilement modifiez-le en faisant un clic droit sur le fichier et ensuite vous devrez cliquer sur le «Modifier le code" bouton. Lorsque vous faites cela, vous verrez le fichier ouvert dans un autre onglet. C'est ici que vous pouvez apporter les modifications.

Tout ce que vous avez à faire est d’ajouter le code là où nous vous le demandons. Nous vous proposons ajoutez tout à la fin du fichier. De cette façon, vous saurez quels sont les changements que vous avez apportés.

Vous pouvez également télécharger le fichier et ouvrez-le dans l'éditeur de code pour éditer le fichier. Même notepad++ fera le travail. Si vous téléchargez le fichier puis le modifiez, vous devez également télécharger le fichier une fois qu'il est modifié. Aussi, assurez-vous d'avoir une autre copie du fichier original pour la sauvegarde. Vous pouvez l'enregistrer dans un autre dossier. De cette façon, les deux fichiers ne se mélangeront pas. Si les fichiers sont mélangés, cela vous confondra et vous ne parviendrez pas à faire avancer les choses. Vous devrez donc vous assurer que vous les avez ajoutés au bon endroit.

Limiter l'accès

Vous pouvez sûrement limiter l'accès par adresse IP. Par défaut, tout le monde est autorisé à accéder à la page d'administration. Il existe un moyen de limiter cela. C'est simplement ajout d'un nouveau code d'adresse IP sur le fichier .htaccess. Quand tu fais ça, seule votre adresse IP sera sur liste blanche et tous les d'autres seront sur liste noire.

Par conséquent, vous seul pourrez accéder à la page et personne d’autre. Il y a un le risque énorme qui vient avec ça. Lorsque vous bloquer toutes les adresses IP, vous bloquez également tout accès à la page. Si votre adresse IP est modifiée, vous aurez des problèmes. De plus, si vous quittez les lieux et allez travailler ailleurs, votre adresse IP peut changer en fonction du réseau.

Si la personne utilise des données mobiles, l'adresse IP ne changera pas. De la même manière, si la personne utilise le Wifi pour accéder au site Internet, l'adresse IP changera.

uthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Refuser l'accès à Wp-config

Maintenant, c’est encore une autre chose intéressante que vous pouvez faire. Wp-config est le fichier dans lequel vous stockez toutes les choses. C'est le fichier de base de données dans lequel vous pouvez configurer le fichier. Des éléments comme celui de votre site Web les mots de passe de la base de données sont enregistrés ici.

Si quelqu'un a accès ici, vous aurez des ennuis. Ils peuvent facilement accéder à la base de données et modifier de nombreuses choses sur le site Web.

Nous verrons donc comment sécuriser ce fichier. Ici, vous n'avez pas à vous inquiéter car le fichier est toujours sécurisé. Si le fichier est sécurisé, personne n’y aura accès. Cependant, vous pouvez toujours être plus sécurisé en ajoutant un certain niveau de sécurité ici.

Lorsque vous ajoutez une couche de sécurité supplémentaire, vous pouvez être sûr que votre site Web est sécurisé et que personne n’a accès à aucune de ces choses – Fichier WordPress Security .htaccess.

Heureusement, il y a un petit code que vous pouvez ajouter à votre fichier .htaccess. Lorsque vous ajoutez le petit code dans le fichier, vous pouvez sécuriser votre site Web. Le code indiquera au serveur de refuser toutes les connexions à ce fichier. De cette façon, vous n’aurez à faire face à aucun problème.

Voici le code que vous pouvez ajouter au fichier .htaccess. Si vous ajoutez ce code, votre site Web sera plus sécurisé. Comme nous l'avons déjà mentionné, toujours ajoutez le code après les autres lignes. De cette façon, vous pouvez le supprimer à tout moment.

<files wp-config.php>
order allow,deny
deny from all
</files>

Empêchez d'autres sites Web de voler votre bande passante

Cela peut nécessiter un peu plus de contexte avant de commencer avec le code. Nous verrons d’abord quel est le problème principal ici, puis comment vous pouvez le résoudre.

Supposons que vous exploitez un site Web sur lequel vous publiez régulièrement beaucoup de contenu. Si vous publiez également des images, beaucoup de gens vous voleront des images. La plupart des gens ne se soucient pas de voler une ou deux images. Cependant, le problème commence lorsqu’ils copient le fichier.

Si quelqu'un veut bien appuyez sur le bouton Copier en faisant un clic droit sur l'image puis placez-le sur leur site Web, vous devrez souffrir. Maintenant, si quelqu'un visite son site Web, le l'image sera chargée depuis votre serveur et non depuis leur serveur. Savez-vous à quel point c'est un problème pour vous ?

Ils utilisent vos ressources et affichent votre image. Si vous disposez d'une bande passante limitée ou de ressources limitées sur votre serveur, tu pourrais l'épuiser bientôt. Même si vous ne l’avez pas, vous devez arrêter cela.

Si la charge du serveur augmente, votre site Web pourrait tomber en panne. Pour les personnes qui utilisent l’hébergement cloud, vous devrez peut-être payer des frais supplémentaires.

Il est donc toujours préférable de empêcher les gens d'utiliser votre ressource et utilisez quelques stratégies pour les arrêter.

Heureusement, la sécurité .htaccess peut vous aider et empêcher d'autres sites Web d'utiliser vos ressources ici. L’accord est assez simple et tout le monde peut le faire.

Vous pouvez simplement ajoutez le code à votre site Web et vous avez terminé. Oui, c'est aussi simple que ça. Tout ce que vous avez à faire est d'ajouter le code dans votre fichier htaccess.

Voici le code que vous devez ajouter.

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourdomain.com
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com
RewriteRule .(jpg|jpeg|png|gif)$ –

N'oubliez pas de remplacer example.com par votre site Web. En faisant cela, vous pouvez être sûr que votre site Web fonctionnera correctement sans aucun problème.

Arrêtez toutes les analyses d'auteur

Vous le savez sûrement. Le le nom d'utilisateur de n'importe quel site Web est le même que l'URL de l'auteur. Voyons un exemple ici. Si vous avez un auteur nommé « Éditeur », l'URL de cette auto sera example.com/author/editor. Ici, la dernière phrase est le nom d’utilisateur de la personne.

On peut facilement lancer une analyse où ils peuvent connaître tous les auteurs. Quand ils venez connaître les détails de tous les auteurs, ce sera tout à fait plus facile de pirater le site Web.

Si quelqu'un envisage de lancer une attaque par force brute, il peut j'utiliserai facilement la même chose ici. Désormais, par force brute, il devra exécuter diverses combinaisons dans le nom d'utilisateur ainsi que dans le mot de passe. Tout cela passe au niveau supérieur quand ils je sais déjà quel est le nom d'utilisateur.

Et s'ils ont quelques noms d'utilisateur avec lesquels ils peuvent essayer le mot de passe. Il leur serait peut-être plus facile d’analyser et d’exécuter l’attaque par force brute. Il peut également s’agir d’une sorte de violation de la vie privée. Par conséquent, vous pouvez toujours vous assurer que vous utilisez les bons paramètres pour le fichier .htaccess de sécurité WordPress.

Voici le code supplémentaire que vous pouvez ajouter pour arrêter toutes les analyses d'auteur.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+)
RewriteRule .* -
# END block author scans

Accès au répertoire

L'accès au répertoire est l'endroit où vous aurez accès au répertoire. Vous en avez peut-être vu quelques-uns Google est un imbécile des listes où l'on peut voir que certaines personnes peuvent également accéder directement à l'annuaire du site.

Vous verrez peut-être que le « Dossier Parent" sera accessible directement à l'utilisateur. Si le répertoire parent est accessible directement à l'utilisateur, celui-ci peut téléchargez presque tout ce qui se trouve sur le site. Tous les fichiers seront directement accessibles à la personne ayant accès au fichier.

Par conséquent, vous pouvez sûrement désactiver l’accès au répertoire à partir du fichier. Grâce à cela, on pourra accéder directement au répertoire du site Web – fichier WordPress Security .htaccess.

L'exécution de PHP est un gros risque

Imaginez, si quelqu'un peut exécuter le code PHP sur votre site Web sans accéder au site Web. Il y a beaucoup de choses qu’ils peuvent faire ici, n’est-ce pas ?

En termes techniques, ça s'appelle créer une porte dérobée. La porte dérobée est le moyen par lequel le pirate informatique peut accéder au site Web sans accéder à la page de connexion. Cela fonctionne exactement comme le nom. Désormais, certains plugins peuvent permettre l'exécution côté serveur directement à partir du site Web. Par conséquent, vous devrez vous assurer que vous protégez votre site Web contre cela.

Le moyen simple d'arrêter cela consiste à ajouter un petit code qui empêchera l'exécution de PHP. Tu vas devoir entrez ce code sur le fichier .htaccess.

Voici le code que vous devrez ajouter, vous pouvez ajouter ces lignes et votre site web sera sécurisé – Fichier WordPress Security .htaccess.

<Files *.php>
deny from all
</Files>

Derniers mots sur le fichier .htaccess de sécurité WordPress

Pour résumer, voici toutes les choses que vous pouvez faire pour sécurisé votre site Web via un fichier htaccess. Maintenant, assurez-vous d'avoir une sauvegarde de 2 fichiers. L'un d'eux est le fichier précédent qui est le fichier htaccess d'origine. Parallèlement à cela, vous devrez également enregistrer le nouveau fichier htaccess. De cette façon, votre site Web sera sécurisé. Si quelque chose ne va pas, vous pouvez le restaurer rapidement. Vous pouvez également effectuer une sauvegarde complète de votre site Web, puis exécuter la tâche suivante. De cette façon, vous pouvez être sûr de toutes ces choses.