Sécuriser le fichier .htaccess
Pour éviter certaines attaques de hack, il peut être judicieux de protéger et de sécuriser le fichier .htaccess de votre site Internet
Le fichier .htaccess va en quelque sorte dialoguer avec votre serveur web Apache. Etant donné le caractère ultra-sensible d’un tel fichier (comme le fichier wp-config.php), commencez par en protéger son accès en copiant ces quelques lignes de code dans ce fichier .htaccess.
<files .htaccess> order allow,deny deny from all </files>
15 Commentaires
Salut,
Salut, merci pour l’astuce, tu aurais pas fait une petite erreur dans ton exemple?, ça serait pas plutôt
le filtrage des commentaires a zappé la fin…, je disais donc wp-config.php à la place du .htaccess dans la balise files
@Zenbien : Non il s’agit bien de sécuriser le fichier .htaccess et pas le fichier wp-config.php
@optimisation référencement : préciser que cela s’adresse à ceux qui utilisent une version de PHP sur le serveur inférieure à la 5.3.13 ou la 5.4.3 (pas mal de monde)
@Zenbien : non, c’est bien le .htaccess, le fichier peut servir par exemple à modifier les droits d’accès ou créer des redirections donc il faut essayer de le protéger au mieux.
Ok, merci pour l’info, j’ai compris l’objectif, dans ce cas il est aussi possible d’appliquer ces propriétés de droits dans le fichier de config apache, mais on a pas forcement accès à ce fichier…
@optimisation référencement, @JMLAPAM : La faille touche potentiellement beaucoup de monde, sauf qu’en réalité elle touche quasiment personne car c’est très très rare de voir des installations serveurs avec PHP servis par CGI. (ou bien des serveurs très très vieux)
La faille ne concerne pas :
PHP via module
PHP via FastCGI, Fcgid, FPM
De fait, beaucoup de bruits pour pas grand chose
@amaury : exact je n’avais pas vérifié, merci.
Merci pour cette information interessante
Bonjour,
Pouvez-vous m’expliquer clairement ce que font ces lignes car je ne comprends pas tout?
Merci pour votre aide
@Guillaume : Ces lignes empêchent l’accès direct via un navigateur du fichier .htaccess
Bonsoir,
Je n’ai jamais vu un serveur Apache, même avec une conf de base, afficher dans le navigateur un fichier .htaccess. Tu as rencontré le cas?
Bonjour,
pour ma part j’utilise depuis quelques années déjà :
CrawlProtect http://www.crawltrack.fr/crawlprotect/
sans problèmes jusqu’à présent.
Il ajoute tout simplement des directives au fichier .htacces.
Bonjour,
Où placer ce code dans le .htaccess : tout au début ?
Et comment vérifier qu’il fonctionne?
Merci pour vos réponses.
@xavier: N’importe où, peut-importe où il est situé dans le fichier. Pour vérifier si cela fonctionne, il vous suffit de vous rendre sur l’adresse URL du fichier. Cela vous affichera une erreur 403.
Je ne vois pas a qui cela va servir puisque les fichiers .htaccess ne sont pas accessible par défaut. La configuration apache de base interdit déjà leur affichage.