Sécuriser WordPress

Comment sécuriser WordPress avec un fichier .htaccess ?

Lorsque vous n’avez pas accès aux fichiers de configuration du serveur, vous ne pouvez utiliser, pour protéger vos dossiers, fichiers, autoriser ou interdire l’accès, mettre en cache etc, qu’un fichier, sans aucune extension et commençant par un « . », le fameux fichier « .htaccess ».

Un fichier .htaccess peut-être utiliser où l’on veut, ue ce soit dans un dossier « maitre » ou un sous-dossier.

Que peut-on fairer avec un fichier .htaccess :

  • Protéger le fichier htaccess lui-même
  • Protéger l’accès!s à un dossier, à un sous-dossier
  • Empêcher le listage des fichiers et répertoires
  • Spécifier des mime-type
  • Définir des pages d’erreurs personnalisées
  • Protéger l’accès à un répertoire avec un mot de passe
  • Autoriser ou bloquer la navigation fantôme/zombie
  • Bloquer l’accès au site à certains pays
  • Ré-écriture des liens
  • Protection spam
  • Protection injections
  • etc…

Le fichier .htaccess de base WordPress

Lorsque vous installez WordPress, ce dernier génère un fichier .htaccess avec ce contenu :

[pastacode lang= »markup » manual= »%23%20BEGIN%20WordPress%0A%0ARewriteEngine%20On%0ARewriteBase%20%2F%0ARewriteRule%20%5Eindex%5C.php%24%20-%20%5BL%5D%0ARewriteCond%20%25%7BREQUEST_FILENAME%7D%20!-f%0ARewriteCond%20%25%7BREQUEST_FILENAME%7D%20!-d%0ARewriteRule%20.%20%2Findex.php%20%5BL%5D%0A%0A%23%20END%20WordPress » message= » » highlight= » » provider= »manual »/]

Personnalisons ce fichier et sécurisons notre hébergement !

Personnalisation des erreurs :

  • ErrorDocument 401 /erreurs/erreur_401.php
  • ErrorDocument 403 /erreurs/erreur_403.php
  • ErrorDocument 404 /erreurs/erreur_404.php
  • ErrorDocument 500 /erreurs/erreur_500.php

Rappel des erreurs (codes) et leurs significations :

  • 400:Bad Request: Syntaxe de la requête incorrecte ou mal formulée.
  • 401:Unhautorized:  Mauvais mot de passe, redirection vers la page d’erreur.
  • 403:Forbidden: L’url demandée pointe sur un dossier protégé.
  • 404:Not Found: L’url pointe sur un contenu non hébergé
  • 500:Internal Server Error: Erreur interne du serveur (script mal conçu, erreur de code ou du fichier htaccess…)
  • 503:Service Unvailable:  Incapacité du serveur à répondre à la requête pour le moment (surcharge du serveur)

Empêcher listing des répertoires (dossiers) :

[pastacode lang= »markup » manual= »%23%20D%C3%A9sactiver%20l’affichage%20du%20contenu%20des%20r%C3%A9pertoires%0AOptions%20All%20-Indexes » message= » » highlight= » » provider= »manual »/]

 

Option : protection listing répertoires :

[pastacode lang= »markup » manual= »%23%20Autre%20solution%20pour%20emp%C3%AAcher%20le%20listage%20des%20dossiers%0AIndexIgnore%20* » message= » » highlight= » » provider= »manual »/]

 

Cacher les infos du serveur :

[pastacode lang= »markup » manual= »%23%20Masquer%20les%20informations%20du%20serveur%0AServerSignature%20Off » message= » » highlight= » » provider= »manual »/]

 

Activer le suivi des liens symboliques :

[pastacode lang= »markup » manual= »%23%20Activation%20du%20suivi%20des%20liens%20symboliques%0AOptions%20%2BFollowSymLinks » message= » » highlight= » » provider= »manual »/]

 

Mettre le serveur à l’heure :

[pastacode lang= »markup » manual= »%23%20Fuseau%20horaire%0ASetEnv%20TZ%20Europe%2FParis » message= » » highlight= » » provider= »manual »/]

 

Encoder les caractères :

[pastacode lang= »markup » manual= »%23%20Encodage%20%0AAddDefaultCharset%20UTF-8″ message= » » highlight= » » provider= »manual »/]

 

Protéger le fichier wp-login.php :

[pastacode lang= »markup » manual= »%23%20Prot%C3%A9ger%20le%20fichier%20wp-config.php%0A%3Cfiles%20wp-config.php%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E » message= » » highlight= » » provider= »manual »/]

 

Protéger le fichier htaccess (et/ou htpasswd) lui-même :

[pastacode lang= »markup » manual= »%23%20Prot%C3%A9ger%20les%20fichiers%20.htaccess%20et%2Fou%20.htpasswd%0A%3CFiles%20~%20%22%5E.*%5C.(%5BHh%5D%5BTt%5D%5BAaPp%5D)%22%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0Asatisfy%20all%0A%3C%2FFiles%3E » message= » » highlight= » » provider= »manual »/]

 

Limiter le spam :

[pastacode lang= »markup » manual= »%23%20Limiter%20le%20spam%20(commentaires)%0A%3CIfModule%20mod_rewrite.c%3E%0ARewriteCond%20%25%7BREQUEST_METHOD%7D%20POST%0ARewriteCond%20%25%7BREQUEST_URI%7D%20.wp-comments-post%5C.php*%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20!.monsite.com.*%20%5BOR%5D%0ARewriteCond%20%25%7BHTTP_USER_AGENT%7D%20%5E%24%0ARewriteRule%20(.*)%20%5Ehttp%3A%2F%2F%25%7BREMOTE_ADDR%7D%2F%24%20%5BR%3D301%2CL%5D%0A%3C%2FIfModule%3E » message= » » highlight= » » provider= »manual »/]

 

Protéger l’identification de l’auteur :

[pastacode lang= »markup » manual= »%23%20Protection%20identification%20auteur%0A%3CIfModule%20mod_rewrite.c%3E%0ARewriteCond%20%25%7BQUERY_STRING%7D%20%5Eauthor%3D(%5B0-9%5D*)%0ARewriteRule%20.*%20-%20%5BF%5D%0A%3C%2FIfModule%3E » message= » » highlight= » » provider= »manual »/]

 

Désactiver le hotlinking des images (vol d’image et utilisation de la bande passante) : (remplacer votre adresse de site)

[pastacode lang= »markup » manual= »%23%20D%C3%A9sactiver%20le%20hotlinking%20des%20images%0ARewriteEngine%20On%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20!%5E%24%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20!%5Ehttp(s)%3F%3A%2F%2F(www%5C.)%3Fmonsite.com%20%5BNC%5D%0ARewriteRule%20%5C.(jpg%7Cjpeg%7Cpng%7Cgif)%24%20http%3A%2F%2Ffakeimg.pl%2F400x200%2F%3Ftext%3DPas_touche_aux_images%20%5BNC%2CR%2CL%5D » message= » » highlight= » » provider= »manual »/]

 

Bannir des adresses IP :

[pastacode lang= »markup » manual= »%23%20Bannir%20adresse%20IP%0A%3CLimit%20GET%20POST%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20xxx.xxx.xxx.xxx%0Aallow%20from%20all%0A%3C%2FLimit%3E » message= » » highlight= » » provider= »manual »/]

 

Bloquer des utilisateurs en provenance de certains site internet (domaine): (remplacer site1.com et site2.com par les domaines des sites concernés, si vous n’avez qu’un seul site, supprimer la deuxième ligne (site2.com)).

[pastacode lang= »markup » manual= »%23%20Emp%C3%AAcher%20les%20visiteurs%20de%20ces%20sites%20d’acc%C3%A9der%20au%20votre%0A%3CIfModule%20mod_rewrite.c%3E%0A%20RewriteEngine%20on%0A%20RewriteCond%20%25%7BHTTP_REFERER%7D%20site1.com%20%5BNC%2COR%5D%0A%20RewriteCond%20%25%7BHTTP_REFERER%7D%20site2.com%20%5BNC%2COR%5D%0A%20RewriteRule%20.*%20-%20%5BF%5D%0A%3C%2FifModule%3E » message= » » highlight= » » provider= »manual »/]

 

Rediriger les utilisateurs en provenance d’un site vers un autre : (remplacer « sitesource » par le nom du site de provenance en adaptant éventuellement l’extension .com/.fr/.org etc et renseigner l’adresse de destination (sitededestination.com) par celui de votre choix)

[pastacode lang= »markup » manual= »%23%20Rediriger%20les%20visiteurs%20venant%20site%20vers%20un%20autre%0ARewriteEngine%20on%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20sitesource%5C.com%2F%0ARewriteRule%20%5E(.*)%24%20http%3A%2F%2Fwww.sitededestination.com%20%5BR%3D301%2CL%5D » message= » » highlight= » » provider= »manual »/]

 

Créer et gérer les redirections :

[pastacode lang= »markup » manual= »%23%20Redirection%20d’une%20page%0ARedirect%20301%20%2Fmonaciennepage%2F%20http%3A%2F%2Fwww.monsite.com%2Fmanouvellepage%0A%0A%23%20Redirection%20d’une%20nouvelle%20cat%C3%A9gorie%20vers%20une%20nouvelle%0ARedirect%20301%20%2Fcategory%2Fx%2F%20http%3A%2F%2Fwww.monsite.com%2Fcategorie%2Fy%2F » message= » » highlight= » » provider= »manual »/]

 

Rediriger vers www :

[pastacode lang= »markup » manual= »%23%20Redirection%20du%20site%20sans%20www%20vers%20www%0ARewriteEngine%20On%0ARewriteCond%20%25%7BHTTP_HOST%7D%20%5Emonsite.com%20%5BNC%5D%0ARewriteRule%20%5E(.*)%24%20http%3A%2F%2Fwww.monsite.com%2F%241%20%5BL%2CR%3D301%5D » message= » » highlight= » » provider= »manual »/]

 

Rediriger vers « sans www » :

[pastacode lang= »markup » manual= »%23%20Rediriger%20vers%20la%20version%20sans%20www%0ARewriteEngine%20on%0ARewriteCond%20%25%7BHTTP_HOST%7D%20%5Ewww%5C.monsite%5C.com%20%5BNC%5D%0ARewriteRule%20%5E(.*)%24%20http%3A%2F%2Fmonsite.com%2F%241%20%5BL%2CR%3D301%5D » message= » » highlight= » » provider= »manual »/]

 

Rediriger vers https :

[pastacode lang= »markup » manual= »%23%20Redirection%20vers%20HTTPS%20%0ARewriteCond%20%20%20%20%20%25%7BSERVER_PORT%7D%20%5E80%24%0ARewriteRule%20%20%20%20%20%5E(.*)%24%20https%3A%2F%2F%25%7BSERVER_NAME%7D%25%7BREQUEST_URI%7D%20%5BL%2CR%5D » message= » » highlight= » » provider= »manual »/]

 

Rediriger vers http :

[pastacode lang= »markup » manual= »%23%20Redirection%20vers%20HTTP%20%0ARewriteCond%20%20%20%20%20%25%7BSERVER_PORT%7D%20%5E80%24%0ARewriteRule%20%20%20%20%20%5E(.*)%24%20http%3A%2F%2F%25%7BSERVER_NAME%7D%25%7BREQUEST_URI%7D%20%5BL%2CR%5D » message= » » highlight= » » provider= »manual »/]

 

Forcer le téléchargement de fichiers spécifiques :

[pastacode lang= »markup » manual= »%23%20Forcer%20le%20t%C3%A9l%C3%A9chargement%0AAddType%20application%2Foctet-stream%20.doc%20.docx%20.xls%20.xlsx%20.csv%20.mp3%20.mp4%20.pdf » message= » » highlight= » » provider= »manual »/]

 

Page de maintenance personnalisée :

[pastacode lang= »markup » manual= »%23%20Page%20de%20maintenance%0ARewriteEngine%20on%0ARewriteCond%20%25%7BREQUEST_URI%7D%20!%2Fmaintenance.html%24%0ARewriteCond%20%25%7BREMOTE_ADDR%7D%20!%5Exxx%5C.xxx%5C.xxx%5C.xxx%0ARewriteRule%20%24%20%2Fmaintenance.html%20%5BR%3D302%2CL%5D » message= » » highlight= » » provider= »manual »/]

 

Activer la mise en cache :

[pastacode lang= »markup » manual= »%23%20Mise%20en%20cache%20des%20fichiers%20dans%20le%20navigateur%0A%3CIfModule%20mod_expires.c%3E%0AExpiresActive%20On%0AExpiresDefault%20%22access%20plus%201%20month%22%0A%0AExpiresByType%20text%2Fhtml%20%22access%20plus%200%20seconds%22%0AExpiresByType%20text%2Fxml%20%22access%20plus%200%20seconds%22%0AExpiresByType%20application%2Fxml%20%22access%20plus%200%20seconds%22%0AExpiresByType%20application%2Fjson%20%22access%20plus%200%20seconds%22%0AExpiresByType%20application%2Fpdf%20%22access%20plus%200%20seconds%22%0A%0AExpiresByType%20application%2Frss%2Bxml%20%22access%20plus%201%20hour%22%0AExpiresByType%20application%2Fatom%2Bxml%20%22access%20plus%201%20hour%22%0A%0AExpiresByType%20application%2Fx-font-ttf%20%22access%20plus%201%20month%22%0AExpiresByType%20font%2Fopentype%20%22access%20plus%201%20month%22%0AExpiresByType%20application%2Fx-font-woff%20%22access%20plus%201%20month%22%0AExpiresByType%20application%2Fx-font-woff2%20%22access%20plus%201%20month%22%0AExpiresByType%20image%2Fsvg%2Bxml%20%22access%20plus%201%20month%22%0AExpiresByType%20application%2Fvnd.ms-fontobject%20%22access%20plus%201%20month%22%0A%0AExpiresByType%20image%2Fjpg%20%22access%20plus%201%20month%22%0AExpiresByType%20image%2Fjpeg%20%22access%20plus%201%20month%22%0AExpiresByType%20image%2Fgif%20%22access%20plus%201%20month%22%0AExpiresByType%20image%2Fpng%20%22access%20plus%201%20month%22%0A%0AExpiresByType%20video%2Fogg%20%22access%20plus%201%20month%22%0AExpiresByType%20audio%2Fogg%20%22access%20plus%201%20month%22%0AExpiresByType%20video%2Fmp4%20%22access%20plus%201%20month%22%0AExpiresByType%20video%2Fwebm%20%22access%20plus%201%20month%22%0A%0AExpiresByType%20text%2Fcss%20%22access%20plus%206%20month%22%0AExpiresByType%20application%2Fjavascript%20%22access%20plus%206%20month%22%0A%0AExpiresByType%20application%2Fx-shockwave-flash%20%22access%20plus%201%20week%22%0AExpiresByType%20image%2Fx-icon%20%22access%20plus%201%20week%22%0A%0A%3C%2FIfModule%3E%0A%0A%23%20En-t%C3%AAtes%0AHeader%20unset%20ETag%0AFileETag%20None%0A%0A%3CifModule%20mod_headers.c%3E%20%20%0A%3CfilesMatch%20%22%5C.(ico%7Cjpe%3Fg%7Cpng%7Cgif%7Cswf)%24%22%3E%20%20%0A%20%20%20%20Header%20set%20Cache-Control%20%22public%22%20%20%0A%3C%2FfilesMatch%3E%20%20%0A%3CfilesMatch%20%22%5C.(css)%24%22%3E%20%20%0A%20%20%20%20Header%20set%20Cache-Control%20%22public%22%20%20%0A%3C%2FfilesMatch%3E%20%20%0A%3CfilesMatch%20%22%5C.(js)%24%22%3E%20%20%0A%20%20%20%20Header%20set%20Cache-Control%20%22private%22%20%20%0A%3C%2FfilesMatch%3E%20%20%0A%3CfilesMatch%20%22%5C.(x%3Fhtml%3F%7Cphp)%24%22%3E%20%20%0A%20%20%20%20Header%20set%20Cache-Control%20%22private%2C%20must-revalidate%22%0A%3C%2FfilesMatch%3E%0A%3C%2FifModule%3E » message= » » highlight= » » provider= »manual »/]

 

Activer la compression des fichiers :

[pastacode lang= »markup » manual= »%23%20Compressions%20des%20fichiers%20statiques%0A%3CIfModule%20mod_deflate.c%3E%20%0A%20%20%20%20AddOutputFilterByType%20DEFLATE%20text%2Fxhtml%20text%2Fhtml%20text%2Fplain%20text%2Fxml%20text%2Fjavascript%20application%2Fx-javascript%20text%2Fcss%20%0A%20%20%20%20BrowserMatch%20%5EMozilla%2F4%20gzip-only-text%2Fhtml%20%0A%20%20%20%20BrowserMatch%20%5EMozilla%2F4%5C.0%5B678%5D%20no-gzip%20%0A%20%20%20%20BrowserMatch%20%5CbMSIE%20!no-gzip%20!gzip-only-text%2Fhtml%20%0A%20%20%20%20SetEnvIfNoCase%20Request_URI%20%5C.(%3F%3Agif%7Cjpe%3Fg%7Cpng)%24%20no-gzip%20dont-vary%20%0A%20%20%20%20Header%20append%20Vary%20User-Agent%20env%3D!dont-vary%20%0A%3C%2FIfModule%3E%20%20%0A%0AAddOutputFilterByType%20DEFLATE%20text%2Fhtml%20%20%0AAddOutputFilterByType%20DEFLATE%20text%2Fplain%20%20%0AAddOutputFilterByType%20DEFLATE%20text%2Fxml%20%20%0AAddOutputFilterByType%20DEFLATE%20text%2Fcss%20%20%0AAddOutputFilterByType%20DEFLATE%20text%2Fjavascript%0AAddOutputFilterByType%20DEFLATE%20font%2Fopentype%0AAddOutputFilterByType%20DEFLATE%20application%2Frss%2Bxml%0AAddOutputFilterByType%20DEFLATE%20application%2Fjavascript%0AAddOutputFilterByType%20DEFLATE%20application%2Fjson » message= » » highlight= » » provider= »manual »/]

 

Désactiver l’accès à certains scripts :

[pastacode lang= »markup » manual= »%23%20Bloquer%20l’utilisation%20de%20certains%20scripts%0ARewriteEngine%20On%0ARewriteBase%20%2F%0ARewriteRule%20%5Ewp-admin%2Fincludes%2F%20-%20%5BF%2CL%5D%0ARewriteRule%20!%5Ewp-includes%2F%20-%20%5BS%3D3%5D%0ARewriteRule%20%5Ewp-includes%2F%5B%5E%2F%5D%2B%5C.php%24%20-%20%5BF%2CL%5D%0ARewriteRule%20%5Ewp-includes%2Fjs%2Ftinymce%2Flangs%2F.%2B%5C.php%20-%20%5BF%2CL%5D%0ARewriteRule%20%5Ewp-includes%2Ftheme-compat%2F%20-%20%5BF%2CL%5D » message= » » highlight= » » provider= »manual »/]

 

Protection contre les infections de fichiers :

[pastacode lang= »markup » manual= »%23%20Protection%20contre%20les%20injections%20de%20fichiers%0ARewriteCond%20%25%7BREQUEST_METHOD%7D%20GET%0ARewriteCond%20%25%7BQUERY_STRING%7D%20%5Ba-zA-Z0-9_%5D%3Dhttp%3A%2F%2F%20%5BOR%5D%0ARewriteCond%20%25%7BQUERY_STRING%7D%20%5Ba-zA-Z0-9_%5D%3D(%5C.%5C.%2F%2F%3F)%2B%20%5BOR%5D%0ARewriteCond%20%25%7BQUERY_STRING%7D%20%5Ba-zA-Z0-9_%5D%3D%2F(%5Ba-z0-9_.%5D%2F%2F%3F)%2B%20%5BNC%5D%0ARewriteRule%20.*%20-%20%5BF%5D » message= » » highlight= » » provider= »manual »/]

 

Protection de menaces diverses :

[pastacode lang= »markup » manual= »%23%20Protections%20diverses%20(XSS%2C%20clickjacking%20et%20MIME-Type%20sniffing)%0A%3CifModule%20mod_headers.c%3E%0AHeader%20set%20X-XSS-Protection%20%221%3B%20mode%3Dblock%22%0AHeader%20always%20append%20X-Frame-Options%20SAMEORIGIN%0AHeader%20set%20X-Content-Type-Options%3A%20%22nosniff%E2%80%9D%0A%3C%2FifModule%3E » message= » » highlight= » » provider= »manual »/]

 

Lien vers sitemap :

[pastacode lang= »markup » manual= »%23Sitemap%0ASitemap%3A%20http%3A%2F%2Fwww.monsite.com%2Fsitemap.xml » message= » » highlight= » » provider= »manual »/]

 

Bloquer traffic zombi :

[pastacode lang= »markup » manual= »%23%20Bloquer%20le%20traffic%20zombie%20(possibilit%C3%A9%20d’ajouter%20d’autres%20pays%2C%20les%20lignes%20ajout%C3%A9es%20doivent%20se%20terminer%20par%20%5BNC%2COR%5D%2C%20seul%20la%20derni%C3%A8re%20ligne%20doit%20rester%20avec%20%5BNC%5D)%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20%5C.ru%20%5BNC%2COR%5D%0ARewriteCond%20%25%7BHTTP_REFERER%7D%20%5C.cn%20%5BNC%5D%0ARewriteRule%20.*%20-%20%5BF%5D » message= » » highlight= » » provider= »manual »/]

 

Bloquer les robots non souhaités :

[pastacode lang= »markup » manual= »%23%20Bloquer%20les%20robots%20que%20je%20ne%20veux%20pas%0AUser-agent%3A%20008%0AUser-agent%3A%20Alexibot%0AUser-agent%3A%20AlvinetSpider%0AUser-agent%3A%20Antenne%20Hatena%0AUser-agent%3A%20ApocalXExplorerBot%0AUser-agent%3A%20asterias%0AUser-agent%3A%20BackDoorBot%2F1.0%0AUser-agent%3A%20BizInformation%0AUser-agent%3A%20Black%20Hole%0AUser-agent%3A%20BlowFish%2F1.0%0AUser-agent%3A%20BotALot%0AUser-agent%3A%20BuiltBotTough%0AUser-agent%3A%20Bullseye%2F1.0%0AUser-agent%3A%20BunnySlippers%0AUser-agent%3A%20Cegbfeieh%0AUser-agent%3A%20CheeseBot%0AUser-agent%3A%20CherryPicker%0AUser-agent%3A%20CherryPickerElite%2F1.0%0AUser-agent%3A%20CherryPickerSE%2F1.0%0AUser-agent%3A%20CopyRightCheck%0AUser-agent%3A%20cosmos%0AUser-agent%3A%20Crescent%0AUser-agent%3A%20Crescent%20Internet%20ToolPak%20HTTP%20OLE%20Control%20v.1.0%0AUser-agent%3A%20DISCo%20Pump%203.1%0AUser-agent%3A%20DittoSpyder%0AUser-agent%3A%20dotbot%0AUser-agent%3A%20EmailCollector%0AUser-agent%3A%20EmailSiphon%0AUser-agent%3A%20EmailWolf%0AUser-agent%3A%20EroCrawler%0AUser-agent%3A%20ExtractorPro%0AUser-agent%3A%20Flamingo_SearchEngine%0AUser-agent%3A%20Foobot%0AUser-agent%3A%20Harvest%2F1.5%0AUser-agent%3A%20hloader%0AUser-agent%3A%20httplib%0AUser-agent%3A%20HTTrack%0AUser-agent%3A%20HTTrack%203.0%0AUser-agent%3A%20humanlinks%0AUser-agent%3A%20Igentia%0AUser-agent%3A%20InfoNaviRobot%0AUser-agent%3A%20JennyBot%0AUser-agent%3A%20JikeSpider%0AUser-agent%3A%20Kenjin%20Spider%0AUser-agent%3A%20LexiBot%0AUser-agent%3A%20libWeb%2FclsHTTP%0AUser-agent%3A%20LinkextractorPro%0AUser-agent%3A%20LinkScan%2F8.1a%20Unix%0AUser-agent%3A%20LinkWalker%0AUser-agent%3A%20lwp-trivial%0AUser-agent%3A%20lwp-trivial%2F1.34%0AUser-agent%3A%20Mata%20Hari%0AUser-agent%3A%20Microsoft%20URL%20Control%20-%205.01.4511%0AUser-agent%3A%20Microsoft%20URL%20Control%20-%206.00.8169%0AUser-agent%3A%20MIIxpc%0AUser-agent%3A%20MIIxpc%2F4.2%0AUser-agent%3A%20Mister%20PiX%0AUser-agent%3A%20MLBot%0AUser-agent%3A%20moget%0AUser-agent%3A%20moget%2F2.1%0AUser-agent%3A%20MS%20Search%204.0%20Robot%0AUser-agent%3A%20MS%20Search%205.0%20Robot%0AUser-agent%3A%20Naverbot%0AUser-agent%3A%20NetAnts%0AUser-agent%3A%20NetAttache%0AUser-agent%3A%20NetMechanic%0AUser-agent%3A%20NICErsPRO%0AUser-agent%3A%20Offline%20Explorer%0AUser-agent%3A%20Openfind%0AUser-agent%3A%20OpenindexSpider%0AUser-agent%3A%20ProPowerBot%2F2.14%0AUser-agent%3A%20ProWebWalker%0AUser-agent%3A%20psbot%0AUser-agent%3A%20QuepasaCreep%0AUser-agent%3A%20QueryN%20Metasearch%0AUser-agent%3A%20RepoMonkey%0AUser-agent%3A%20RMA%0AUser-agent%3A%20SemrushBot%0AUser-agent%3A%20SightupBot%0AUser-agent%3A%20SiteBot%0AUser-agent%3A%20SiteSnagger%0AUser-agent%3A%20SiteSucker%0AUser-agent%3A%20Sogou%20web%20spider%0AUser-agent%3A%20sosospider%0AUser-agent%3A%20SpankBot%0AUser-agent%3A%20spanner%0AUser-agent%3A%20Speedy%0AUser-agent%3A%20suggybot%0AUser-agent%3A%20SuperBot%0AUser-agent%3A%20SuperBot%2F2.6%0AUser-agent%3A%20suzuran%0AUser-agent%3A%20Szukacz%2F1.4%0AUser-agent%3A%20Teleport%0AUser-agent%3A%20Telesoft%0AUser-agent%3A%20The%20Intraformant%0AUser-agent%3A%20TheNomad%0AUser-agent%3A%20TightTwatBot%0AUser-agent%3A%20Titan%0AUser-agent%3A%20toCrawl%2FUrlDispatcher%0AUser-agent%3A%20TosCrawler%0AUser-agent%3A%20True_Robot%0AUser-agent%3A%20True_Robot%2F1.0%0AUser-agent%3A%20turingos%0AUser-agent%3A%20TurnitinBot%0AUser-agent%3A%20UrlPouls%0AUser-agent%3A%20URLy%20Warning%0AUser-agent%3A%20VCI%0AUser-agent%3A%20Web%20Image%20Collector%0AUser-agent%3A%20WebAuto%0AUser-agent%3A%20WebBandit%0AUser-agent%3A%20WebBandit%2F3.50%0AUser-agent%3A%20WebCopier%0AUser-agent%3A%20webcopy%0AUser-agent%3A%20WebEnhancer%0AUser-agent%3A%20WebmasterWorldForumBot%0AUser-agent%3A%20webmirror%0AUser-agent%3A%20WebReaper%0AUser-agent%3A%20WebSauger%0AUser-agent%3A%20website%20extractor%0AUser-agent%3A%20Website%20Quester%0AUser-agent%3A%20Webster%20Pro%0AUser-agent%3A%20WebStripper%0AUser-agent%3A%20WebStripper%2F2.02%0AUser-agent%3A%20WebZip%0AUser-agent%3A%20wget%0AUser-agent%3A%20WikioFeedBot%0AUser-agent%3A%20WinHTTrack%0AUser-agent%3A%20WWW-Collector-E%0AUser-agent%3A%20Xenu%20Link%20Sleuth%2F1.3.8%0AUser-agent%3A%20yacy%0AUser-agent%3A%20yandex%0AUser-agent%3A%20YRSPider%0AUser-agent%3A%20Zeus%0AUser-agent%3A%20Zookabot%0ADisallow%3A%20%2F » message= » » highlight= » » provider= »manual »/]

 

Protéger des dossiers du scan des robots :

[pastacode lang= »markup » manual= »%23Protection%20repertoires%20%3A%0AUser-agent%3A%20*%0ADisallow%3A%20%2Fdossier1%2F%0ADisallow%3A%20%2Fdossier2%2F%0A » message= » » highlight= » » provider= »manual »/]

 

Limiter l’accès à un dossier (ex : admin) à certaines IP :

[pastacode lang= »markup » manual= »%23Limiter%20l%E2%80%99acc%C3%A8s%20%C3%A0%20certaines%20IP%20%3A%0A%3CLimit%20GET%20POST%20PUT%3E%0Aorder%20deny%2Callow%0Adeny%20from%20all%0A%23%20IP%20d’Alex%0Aallow%20from%20xxx.xxx.xxx.xxx%0A%23%20IP%20de%20Nico%0Aallow%20from%20xxx.xxx.xxx.xxx%0A%23%20IP%20d’un%20autre%20point%20d’acc%C3%A8s%0Aallow%20from%20xxx.xxx.xxx.xxx%0A%3C%2FLimit%3E » message= » » highlight= » » provider= »manual »/]

 

Protection administration avec .htpasswd :

[pastacode lang= »markup » manual= »%23%20Protection%20administration%20avec%20htpasswd%0A%0A%3CFiles%20wp-admin.php%3E%0AOrder%20allow%2Cdeny%0AAllow%20from%20all%0ASatisfy%20any%20%0A%3C%2FFiles%3E%0A%0AAuthName%20%22Connexion%20%C3%A0%20l’administration%22%0AAuthType%20Basic%0AAuthUserFile%20%22%2Fchemin%2Fcomplet%2Fvers%2Fle%2Ffichier%2F.htpasswd%22%0A%23le%20fichier%20.htpasswd%20peu%20%C3%AAtre%20nomm%C3%A9%20autrement%0ARequire%20valid-user%0A » message= » » highlight= » » provider= »manual »/]

1 / Création du fichier .htpasswd : nommez ce fichier comme vous le souhaitez. Placez-le ensuite dans un répertoire (au choix).

Placez dans ce même répertoire un fichier « info.php » pour obtenir le chemin complet du fichier htpasswd. Copiez-collez ce code dans la page « info.php » puis uploader cette page dans le même répertoire/dossier que votre fichier .htpasswd. Appelez ensuite ce fichier directement depuis votre navigateur : (http://www.monsite.com/dossier/dossier contenant htpasswd/info.php)

code du fichier info.php :

[pastacode lang= »markup » manual= »%3C%3Fphp%20echo%20%22Chemin%20%C3%A0%20copier%20%3A%20%22%20.%20realpath(‘.htpasswd’)%3B%20%3F%3E » message= » » highlight= » » provider= »manual »/]

Une fois appelé sur votre navigateur, la page vous fournira le chemin complet à renseigner dans le fichier .htaccess. Une fois copié, supprimer la page « info.php ».

2/ le fichier communément appelé « .htpasswd » peut être nommé comme vous le souhaitez. Seul le « . » devant le nom est indispensable.

La structure du fichier .htpasswd est la suivante : (vous pouvez ajouter autant d’utilisateurs que nécessaire)

[pastacode lang= »markup » manual= »utilisateur%3Amotdepasse » message= » » highlight= » » provider= »manual »/]

 

Les fichiers htaccess dans les répertoires de WordPress :

Dossier include

[pastacode lang= »markup » manual= »%23%20Bloque%20les%20acc%C3%A8s%20directs%20aux%20fichiers%20PHP%20(Merci%20%C3%A0%20Sucuri)%0A%3CFiles%20wp-tinymce.php%3E%0Aallow%20from%20all%0A%3C%2FFiles%3E%0A%3CFilesMatch%20%22%5C.(%3Fi%3Aphp)%24%22%3E%0A%20%20%3CIfModule%20!mod_authz_core.c%3E%0A%20%20%20%20Order%20allow%2Cdeny%0A%20%20%20%20Deny%20from%20all%0A%20%20%3C%2FIfModule%3E%0A%20%20%3CIfModule%20mod_authz_core.c%3E%0A%20%20%20%20Require%20all%20denied%0A%20%20%3C%2FIfModule%3E%0A%3C%2FFilesMatch%3E%0A%3CFiles%20wp-tinymce.php%3E%0A%20%20Allow%20from%20all%0A%3C%2FFiles%3E%0A%3CFiles%20ms-files.php%3E%0A%20%20Allow%20from%20all%0A%3C%2FFiles%3E » message= » » highlight= » » provider= »manual »/]

Dossier wp-content

[pastacode lang= »markup » manual= »%23%20Bloque%20les%20acc%C3%A8s%20directs%20aux%20fichiers%20PHP%0A%3CFilesMatch%20%22%5C.(%3Fi%3Aphp)%24%22%3E%0A%20%20%3CIfModule%20!mod_authz_core.c%3E%0A%20%20%20%20Order%20allow%2Cdeny%0A%20%20%20%20Deny%20from%20all%0A%20%20%3C%2FIfModule%3E%0A%20%20%3CIfModule%20mod_authz_core.c%3E%0A%20%20%20%20Require%20all%20denied%0A%20%20%3C%2FIfModule%3E%0A%3C%2FFilesMatch%3E » message= » » highlight= » » provider= »manual »/]

Dossier upload

[pastacode lang= »markup » manual= »%23%20Bloque%20acc%C3%A8s%20fichiers%20PHP%0A%3CFilesMatch%20%22%5C.(%3Fi%3Aphp)%24%22%3E%0A%20%20%3CIfModule%20!mod_authz_core.c%3E%0A%20%20%20%20Order%20allow%2Cdeny%0A%20%20%20%20Deny%20from%20all%0A%20%20%3C%2FIfModule%3E%0A%20%20%3CIfModule%20mod_authz_core.c%3E%0A%20%20%20%20Require%20all%20denied%0A%20%20%3C%2FIfModule%3E%0A%3C%2FFilesMatch%3E » message= » » highlight= » » provider= »manual »/]