Tout savoir sur WordPress

Sécuriser le fichier .htaccess

Pour éviter certaines attaques de hack, il peut être judicieux de protéger et de sécuriser le fichier .htaccess de votre site Internet

Le fichier .htaccess va en quelque sorte dialoguer avec votre serveur web Apache. Etant donné le caractère ultra-sensible d’un tel fichier (comme le fichier wp-config.php), commencez par en protéger son accès en copiant ces quelques lignes de code dans ce fichier .htaccess.

<files .htaccess>
order allow,deny
deny from all
</files>
Cet article a été mis à jour il y a 2251 jours - Il n'est peut être plus à jour !

Article écrit par jmlapam

15 Commentaires

  1. @Zenbien : Non il s’agit bien de sécuriser le fichier .htaccess et pas le fichier wp-config.php

  2. @optimisation référencement : préciser que cela s’adresse à ceux qui utilisent une version de PHP sur le serveur inférieure à la 5.3.13 ou la 5.4.3 (pas mal de monde)

    @Zenbien : non, c’est bien le .htaccess, le fichier peut servir par exemple à modifier les droits d’accès ou créer des redirections donc il faut essayer de le protéger au mieux.

  3. Ok, merci pour l’info, j’ai compris l’objectif, dans ce cas il est aussi possible d’appliquer ces propriétés de droits dans le fichier de config apache, mais on a pas forcement accès à ce fichier…

  4. @optimisation référencement, @JMLAPAM : La faille touche potentiellement beaucoup de monde, sauf qu’en réalité elle touche quasiment personne car c’est très très rare de voir des installations serveurs avec PHP servis par CGI. (ou bien des serveurs très très vieux)

    La faille ne concerne pas :
    PHP via module
    PHP via FastCGI, Fcgid, FPM

    De fait, beaucoup de bruits pour pas grand chose

  5. Bonjour,

    Pouvez-vous m’expliquer clairement ce que font ces lignes car je ne comprends pas tout?
    Merci pour votre aide

  6. @xavier: N’importe où, peut-importe où il est situé dans le fichier. Pour vérifier si cela fonctionne, il vous suffit de vous rendre sur l’adresse URL du fichier. Cela vous affichera une erreur 403.

  7. Je ne vois pas a qui cela va servir puisque les fichiers .htaccess ne sont pas accessible par défaut. La configuration apache de base interdit déjà leur affichage.

fa18be93c3415c5d725450f3272df9ccj