Comment utiliser le fichier .htaccess pour sécuriser, optimiser et contrôler les redirections dans WordPress

Le .htaccess est un fichier de base WordPress important qui est souvent utilisé pour ajouter, modifier et remplacer les paramètres de configuration, de sécurité et de performances au niveau du serveur.

Dans de nombreux cas, vous pouvez résoudre de nombreux problèmes et défis opérationnels au niveau du serveur en mettant simplement à jour/modifiant les règles dans le fichier WordPress .htaccess. Cependant, de nombreux propriétaires de sites Web ne sont pas conscients du plein potentiel de .htaccess pour WordPress et manquent donc d'optimiser au maximum leur serveur (et leur site Web).

Pour aider tous ces WordPressers, je vais souligner plusieurs choses intéressantes que vous pourriez accomplir en utilisant le fichier .htaccess dans WordPress.

Remarque : les règles et configurations mentionnées ci-dessous fonctionnent avec Apache 2.4

Qu'est-ce qu'un fichier .htaccess ?

Un fichier .htaccess est la salle de contrôle de votre site Web qui contient des règles essentielles qui régissent toutes les communications avec votre serveur d'hébergement Web WordPress. En particulier, vous pouvez utiliser le fichier .htaccess dans WordPress pour des tâches telles que le contrôle de l'accès aux pages du site Web, l'amélioration de la sécurité et des performances. Il peut être placé dans n'importe quel dossier du site Web pour modifier le comportement de ce dossier.

Précaution

Un seul point mal placé (.) peut potentiellement faire tomber votre site Web. Ainsi, avant d'apporter des modifications au fichier .htaccess, sauvegardez d'abord le fichier dans un emplacement hors site. Si quelque chose ne va pas ou si vous avez besoin d'aide, contactez votre fournisseur d'hébergement Web.

Le fichier WordPress .htaccess par défaut

Le fichier .htaccess est fourni avec chaque installation de WordPress et se trouve généralement dans le répertoire racine. Compte tenu de l'importance du fichier, il est généralement caché (il n'a pas d'extension de fichier) et n'apparaît pas dans les listes de fichiers et de dossiers, principalement parce que le gestionnaire de fichiers le cache pour des raisons de sécurité.

Dans de rares cas, il est possible qu'il n'y ait pas de fichier .htaccess dans le dossier racine. Si tel est votre cas, vous pouvez créer un fichier .htaccess dans WordPress à l'aide du Bloc-notes (ou n'importe quel éditeur de texte de votre choix) et l'enregistrer sous le nom « .htaccess ». Définissez le " Enregistrer en tant que type " sur Tous les fichiers et téléchargez-le dans le répertoire racine de votre installation WordPress.

IMPORTANT : Assurez-vous que le nom du fichier n'est PAS « htaccess » - son htaccess avec un point (.) au début.

Voici à quoi ressemble le fichier .htaccess par défaut pour WordPress :

 # COMMENCER WordPress
<IfModule mod_rewrite.c>
Moteur de réécriture activé
Base de réécriture /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L
</IfModule>
# FIN WordPress

Fichier WordPress .htaccess par défaut

Une autre façon de créer le fichier .htaccess pour WordPress est de visiter le tableau de bord WordPress -> Paramètres -> Permaliens et de cliquer sur « Enregistrer les modifications ».

Cela générera le fichier .htaccess par défaut pour WordPress dans le répertoire racine.

Le fichier .htaccess par défaut de WordPress ne gère que les permaliens de votre site Web. Cependant, cela peut être modifié et des règles supplémentaires peuvent être ajoutées pour contrôler la façon dont le serveur Web Apache gère les demandes liées aux opérations.

Comment éditer le fichier .htaccess dans WordPress ?

Pour modifier le fichier .htaccess dans WordPress, accédez à votre répertoire racine. Cela peut être fait en utilisant le gestionnaire de fichiers fourni par votre hébergeur WordPress ou via un client FTP comme FileZilla.

Connectez-vous à votre compte d'hébergement Web, accédez au dossier « public_html » et recherchez le fichier .htaccess dans l'installation de WordPress.

Cliquez avec le bouton droit de la souris et cliquez sur l'option « Afficher/Modifier » pour l'ouvrir dans votre éditeur de texte préféré.

Apportez les modifications requises et enregistrez le fichier.

Une autre façon de modifier le fichier WordPress .htaccess consiste à en faire une copie sur le système local. Une fois que vous avez terminé, remplacez la version live à l'aide de FTP ou du gestionnaire de fichiers.

Redirections WordPress htaccess

Comme indiqué ci-dessus, le fichier .htaccess dans WordPress peut être utilisé pour contrôler les redirections de sites Web. Voici quelques règles fréquemment utilisées qui vous aident à configurer et à contrôler les redirections sur vos sites Web WordPress.

Redirection 301 (permanente)

Une redirection 301 indique aux moteurs de recherche qu'une URL a été définitivement déplacée vers un autre emplacement. Cela ne se limite pas aux URL uniquement et vous pouvez rediriger un dossier, une page ou même un site Web complet. L'extrait de code suivant redirige l'ancienne page.html vers la nouvelle page.html :

 Redirection 301 /oldpage.html http://www.votresite.com/newpage.html

Redirection 302 (temporaire)

Contrairement au 301, le 302 Redirect indique aux moteurs de recherche que cette redirection est temporaire. C'est un excellent moyen de ralentir (ou même d'empêcher) les remaniements SERP. Ajoutez la ligne suivante au fichier .htaccess :

 Redirection 302 /oldpage.html http://www.yourwebsite.com/newpage.html

Forcer l'URL vers www

La règle .htaccess suivante dans WordPress forcera tous les visiteurs sur example.com à utiliser www.example.com

 RewriteEngine activé
RewriteCond %{HTTP_HOST} ^example.com [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [L,R=301,NC]

Forcer l'URL à non-www

La règle WordPress .htaccess suivante forcera tous les visiteurs sur www.example.com à utiliser example.com

 RewriteEngine activé
RewriteCond %{HTTP_HOST} ^www.example.com [NC]
RewriteRule ^(.*)$ http://example.com/$1 [L,R=301]

Forcer les HTTP

La règle suivante dans le fichier WordPress .htaccess forcera tous vos visiteurs à utiliser HTTPS au lieu de HTTP pour toutes les URL.

 Moteur de réécriture activé
RewriteCond %{HTTP:X-Forwarded-Proto} !https
Règle de réécriture ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

En savoir plus : Découvrez comment ajouter un certificat SSL à un site Web WordPress.

Forcer HTTP

La règle suivante dans le fichier htaccess pour WordPress forcera vos visiteurs à utiliser HTTP au lieu de HTTPS pour toutes les URL.

 <IfModule mod_rewrite.c>
Moteur de réécriture activé
RewriteCond %{HTTP:X-Forwarded-Proto} ^https$
RewriteRule .* http://%{HTTP_HOST}%{REQUEST_URI}</IfModule>

Rediriger le domaine vers le sous-répertoire

La règle suivante redirigera l'URL racine du domaine vers le sous-répertoire de votre choix.

 RewriteCond %{HTTP_HOST} ^example.com$
RewriteCond %{REQUEST_URI} !^/nom-sous-répertoire/
RewriteRule (.*) /subdir/$1

Rediriger une URL

Si vous avez deux domaines desservant le même site Web, la règle .htaccess mentionnée ci-dessous redirigera un domaine vers l'autre.

 Redirection 301 / http://www.mynewwebsite.com/

Conseils de sécurité WordPress htaccess

Le fichier htaccess peut également être utilisé pour sécuriser les répertoires et fichiers WordPress sur le serveur. Voici quelques règles très importantes que les utilisateurs peuvent déployer pour sécuriser les sites Web WordPress.

Protéger .htaccess

Le fichier .htaccess peut potentiellement contrôler l'ensemble du site Web. Compte tenu de cela, il est primordial que .htaccess soit protégé des utilisateurs non autorisés. En utilisant l'extrait suivant, vous pouvez restreindre l'accès à tous les utilisateurs non autorisés.

Copiez et collez simplement l'extrait dans le fichier .htaccess.

 <fichiers ~ "^.*\.([Hh][Tt][Aa])">
ordre autoriser, refuser
nier de tout
satisfaire tous
</fichiers>

Restreindre l'accès au panneau d'administration WordPress

Imaginez le scénario (horrible) où quelqu'un accède à votre panneau d'administration WordPress ? Une telle attaque peut détruire votre site Web.

Pour éviter cela, vous devez restreindre l'accès au panneau d'administration WordPress à une ou plusieurs adresses IP spécifiques.

Pour cela, créez un autre fichier .htaccess et collez-y l'extrait suivant. Ensuite, téléchargez-le dans le dossier "www.yourwebsite.com/wp-admin/".

 # Limiter les connexions et l'administration par IP
<Limite GET POST PUT>
ordre refuser, autoriser
nier de tout
autoriser à partir de xx.xx.xx.xx
</Limite>

Désormais, si quelqu'un ne figure pas sur la liste des adresses IP approuvées, il ne pourra pas se connecter à votre site. Au lieu de cela, l'erreur suivante s'afficherait :

Remarque : N'oubliez pas de remplacer « xx.xx.xx.xx » par votre adresse IP autorisée.

Vous pouvez facilement obtenir votre adresse IP en visitant « Quelle est mon adresse IP ». Si vous avez plusieurs modérateurs, vous pouvez également ajouter plusieurs adresses IP en utilisant la variante suivante :

 autoriser à partir du 12.34.56.78 98.76.54.32 19.82.73.64

Sécurisez les fichiers importants

Vous pouvez utiliser .htaccess dans WordPress pour protéger les fichiers importants tels que les journaux d'erreurs, wp-config.php et php.ini. Pour cela, utilisez l'extrait suivant :

 <FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Refuser la commande, autoriser
Refuser de tout
</FilesMatch>

Protéger wp-config.php

Dans WordPress, wp-config.php est le fichier où sont enregistrés l'hébergement, la base de données et d'autres informations d'identification importantes. Il va de soi que ce fichier doit être protégé de tout accès non autorisé.

Pour cela, copiez et collez simplement les lignes suivantes dans le fichier .htaccess.

 <fichiers wp-config.php>
ordre autoriser, refuser
nier de tout
</fichiers>

Protéger /wp-content/

wp-content est le dossier qui contient tous les fichiers importants de vos thèmes, plugins, médias et fichiers mis en cache. C'est pourquoi ce répertoire est la cible principale des pirates et des spammeurs. Pour protéger ce dossier des accès non autorisés, créez un fichier .htaccess séparé dans le dossier wp-content . Ensuite, copiez et collez l'extrait suivant dans le fichier :

 Refuser la commande, autoriser
Refuser de tout
<Fichiers ~ ".(xml|css|jpe?g|png|gif|js)$">
Autoriser de tous
</Fichiers>

Avec la règle ci-dessus, les utilisateurs ne pourraient télécharger que des fichiers avec les extensions autorisées (XML, CSS, JPG, JPEG, PNG, GIF et JavaScript). Tous les autres types de fichiers seront refusés.

Protéger les fichiers inclus uniquement

Certaines zones de l'installation de WordPress ne devraient jamais être accessibles aux utilisateurs moyens. Il est toujours recommandé de bloquer tout accès à ces fichiers. Vous pouvez configurer les restrictions d'accès en ajoutant l'extrait au fichier .htaccess.

 <IfModule mod_rewrite.c>
Moteur de réécriture activé
Base de réécriture /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Désactiver l'exécution de PHP

Restreindre l'exécution du code PHP pour tous ou certains répertoires du site Web WordPress est une pratique de sécurité importante pour le site Web WordPress. Créez un fichier htaccess dans un dossier dans lequel vous ne souhaitez pas exécuter de scripts PHP et ajoutez-y l'extrait ci-dessous.

 <Fichiers *.php>
nier de tout
</Fichiers>

Certains dossiers WordPress tels que /wp-includes/ et /wp-content/uploads/ sont accessibles en écriture par défaut. Ce type d'autorisation permet aux utilisateurs de télécharger des médias ou différents types de fichiers. Il est toujours recommandé de désactiver l'exécution de PHP sur ces répertoires.

Restriction d'accès aux fichiers

Restreindre l'accès à wp-admin est une exigence importante, en particulier lorsque plusieurs membres de l'équipe sont impliqués dans la gestion et les mises à jour du site Web.

Concrètement, cela signifie que les utilisateurs ne peuvent pas accéder aux fichiers sensibles tels que les plugins, les thèmes et le dossier des ressources.

.htaccess est un excellent moyen de protéger l'accès direct pour éditer les fichiers PHP des plugins et des thèmes, ce qui rend plus difficile pour les pirates d'injecter du code malveillant. Pour cela, il suffit d'ajouter les lignes suivantes au fichier :

 RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

Protection contre les injections de scripts

L'injection de script est une technique notoire dans laquelle l'attaquant « injecte » un morceau de code malveillant dans le code du site Web pour extraire des données ou pour prendre le contrôle du site Web. L'ajout de l'extrait suivant dans le fichier WordPress .htaccess peut protéger votre site contre de telles attaques.

 Options +FollowSymLinks
Moteur de réécriture activé
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OU]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Bloquer l'adresse IP

Si quelqu'un abuse de votre site Web, envoie des spams en continu ou lance des tentatives de piratage, son adresse IP est visible dans le panneau d'administration de WordPress. Pour bloquer l'IP, utilisez simplement le fichier .htaccess pour contrôler l'accès à votre site Web. Copiez et collez simplement l'extrait suivant dans le fichier .htaccess de votre WordPress et ce problème particulier disparaîtra. N'oubliez pas de remplacer l'exemple d'IP par celui du spammeur.

 <Limite LIRE LA POSTE>
ordre autoriser, refuser
refuser de 123.456.78.9
permettre à tous
</Limite>

Une fois l'extrait de code en place, le spammeur verra le message d'erreur suivant sur votre site :

Refuser l'accès à certains fichiers

Parfois, vous souhaitez restreindre l'accès à certains fichiers. Utilisez la règle .htaccess suivante pour bloquer l'accès à des fichiers individuels.

 <fichiers votre-nom-de-fichier.txt>
ordre autoriser, refuser
nier de tout
</fichiers>

Désactiver la navigation dans les répertoires

L'accès non autorisé aux fichiers et dossiers du site Web est un risque de sécurité majeur qui peut potentiellement faire tomber l'ensemble du site.

En ajoutant l'extrait suivant à votre fichier WordPress .htaccess, l'accès aux répertoires du site Web peut être contrôlé/désactivé pour tous les utilisateurs.

 # désactiver la navigation dans les répertoires
Options Tout -Index

Règles de WordPress htaccess pour les performances

Le fichier .htaccess dans WordPress peut également être utilisé pour améliorer les performances de votre site Web. Copiez et collez simplement les extraits pertinents dans le fichier .htaccess.

Activer le cache du navigateur

Le cache du navigateur est un stockage temporaire sur votre système pour les fichiers téléchargés par votre navigateur Web afin de rendre les sites Web correctement. Ces fichiers peuvent inclure HTML, CSS, JavaScript, ainsi que des images et d'autres contenus multimédias.

Dans le fichier WordPress .htaccess, vous pouvez définir des règles pour la durée pendant laquelle certains fichiers doivent être mis en cache. Les limites d'expiration suivantes sont définies en fonction de l'utilisation courante. Pour activer la mise en cache du navigateur, ajoutez l'extrait suivant dans le fichier htaccess pour WordPress.

 <IfModule mod_expires.c>
        ExpireActif le
        ExpirePar défaut "accès plus 1 mois"

    # CSS
        ExpiresByType text/css "accès plus 1 an"

    # Échange de données
        ExpiresByType application/json "accès plus 0 secondes"
        ExpiresByType application/xml "accès plus 0 secondes"
        ExpiresByType text/xml "accès plus 0 secondes"

    # Favicon (ne peut pas être renommé !)
        ExpiresByType image/x-icon "accès plus 1 semaine"

    # composants HTML (HTC)
        ExpiresByType text/x-composant "accès plus 1 mois"

    # HTML
        ExpiresByType text/html "accès plus 0 secondes"

    #JavaScript
        Application ExpiresByType/javascript "accès plus 1 an"

    # Fichiers manifestes
        ExpiresByType application/x-web-app-manifest+json "accès plus 0 secondes"
        ExpiresByType text/cache-manifest "accès plus 0 secondes"

    # Médias
        ExpiresByType audio/ogg "accès plus 1 mois"
        ExpiresByType image/gif "accès plus 1 mois"
        ExpiresByType image/jpeg "accès plus 1 mois"
        ExpiresByType image/png "accès plus 1 mois"
        ExpiresByType video/mp4 "accès plus 1 mois"
        ExpiresByType video/ogg "accès plus 1 mois"
        ExpiresByType video/webm "accès plus 1 mois"

    # Flux Web
        ExpiresByType application/atom+xml "accès plus 1 heure"
        ExpiresByType application/rss+xml "accès plus 1 heure"

    # Polices Web
        ExpiresByType application/font-woff2 "accès plus 1 mois"
        ExpiresByType application/font-woff "accès plus 1 mois"
        ExpiresByType application/vnd.ms-fontobject "accès plus 1 mois"
        Application ExpiresByType/x-font-ttf "accès plus 1 mois"
        ExpiresByType police/opentype "accès plus 1 mois"
        ExpiresByType image/svg+xml "accès plus 1 mois"

</IfModule>

Lire la suite : Apprenez à tirer parti de la mise en cache du navigateur dans WordPress pour optimiser le temps de chargement des pages

Activer la compression Gzip

Gzip est un algorithme de compression extrêmement puissant qui localise les chaînes similaires dans un fichier texte et les remplace temporairement pour réduire la taille globale du fichier. En conséquence, Gzip est souvent utilisé comme un important outil d'optimisation de la vitesse de chargement des pages du site Web.

La compression Gzip est souvent utilisée au niveau du serveur et de nombreux hébergeurs comme Cloudways l'activent par défaut. Cependant, si pour une raison quelconque, htaccess ne fonctionne pas, essayez d'ajouter l'extrait suivant au fichier WordPress .htaccess ou contactez votre fournisseur d'hébergement Web.

 <IfModule mod_deflate.c>

  # Compresser HTML, CSS, JavaScript, texte, XML et polices
  AddOutputFilterByType DEFLATE application/javascript
  AddOutputFilterByType DEFLATE application/rss+xml
  AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
  AddOutputFilterByType DEFLATE application/x-font
  AddOutputFilterByType DEFLATE application/x-font-opentype
  AddOutputFilterByType DEFLATE application/x-font-otf
  AddOutputFilterByType DEFLATE application/x-font-truetype
  AddOutputFilterByType DEFLATE application/x-font-ttf
  AddOutputFilterByType DEFLATE application/x-javascript
  AddOutputFilterByType DEFLATE application/xhtml+xml
  AddOutputFilterByType DEFLATE application/xml
  AddOutputFilterByType DEFLATE police/opentype
  AddOutputFilterByType DEFLATE police/otf
  AddOutputFilterByType DEFLATE font/ttf
  AddOutputFilterByType DEFLATE image/svg+xml
  AddOutputFilterByType DEFLATE image/x-icon
  AddOutputFilterByType DEFLATE text/css
  AddOutputFilterByType DEFLATE text/html
  AddOutputFilterByType DEFLATE texte/javascript
  AddOutputFilterByType DEFLATE text/plain
  AddOutputFilterByType DEFLATE text/xml

  # Supprimer les bogues du navigateur (nécessaire uniquement pour les très vieux navigateurs)
  BrowserMatch ^Mozilla/4 gzip-only-text/html
  BrowserMatch ^Mozilla/4\.0[678] no-gzip
  BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
  Ajout d'en-tête Varier User-Agent

</IfModule>

Contrôler/restreindre les liens hypertexte des images

La liaison dynamique d'images peut affecter considérablement l'utilisation de la bande passante, car chaque fois qu'une ressource externe demande une image, la bande passante de votre serveur est utilisée pour fournir l'image.

Pour réduire la consommation de bande passante en raison de la liaison dynamique d'images, vous pouvez ajouter l'extrait de code suivant au fichier .htaccess :

 RewriteEngine activé
RéécritureCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?votredomaine.com [NC]
Règle de réécriture \.(jpg|jpeg|png|gif)$ - [NC,F,L]

htaccess pour WordPress Multisite (WPMU)

Le fichier .htaccess par défaut pour WordPress Multisite est légèrement différent du fichier WordPress .htaccess standard.

htaccess par défaut pour les sous-dossiers WPMU

Si votre réseau WordPress Multisite est basé sur des sous-dossiers, le fichier .htaccess par défaut devrait ressembler à quelque chose comme :

 Moteur de réécriture activé
Base de réécriture /
RewriteRule ^index\.php$ - [L]

# ajouter une barre oblique à /wp-admin
RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OU]
RewriteCond %{REQUEST_FILENAME} -d
Règle de réécriture ^ - [L]
RewriteRule ^([_0-9a-zA-Z-]+/)?(wp-(content|admin|includes).*) $2 [L]
RewriteRule ^([_0-9a-zA-Z-]+/)?(.*\.php)$ $2 [L]
RewriteRule . index.php [L]

htaccess par défaut pour les sous-domaines WPMU

Si votre réseau WordPress multisite est basé sur un sous-domaine, le fichier .htaccess par défaut devrait ressembler à quelque chose comme :

 Moteur de réécriture activé
Base de réécriture /
RewriteRule ^index\.php$ - [L]

# ajouter une barre oblique à /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OU]
RewriteCond %{REQUEST_FILENAME} -d
Règle de réécriture ^ - [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
Règle de réécriture ^(.*\.php)$ $1 [L]
RewriteRule . index.php [L]

Dernières pensées!

En ce qui concerne la configuration du serveur, le fichier WordPress .htaccess est l'un des fichiers les plus importants de votre serveur. Il est souvent utilisé pour configurer votre serveur Web et sécuriser diverses zones de votre site Web. Si vous pensez que j'ai oublié un cas d'utilisation important de .htaccess, laissez un commentaire ci-dessous et je mettrai à jour cette liste.