Vous voulez créer un site avec Wordpress mais vous ne savez pas comment vous y prendre ? Grâce à cette série de tutoriels vous allez apprendre pas à pas de façon complète comment créer un site, avec comme exemple le mien que je vais construire en même temps que vous.

> I show in this article how to secure wordpress with the help of. htaccess

### *Sommaire de la série :*
##### - [WordPress #1](https://steemit.com/fr/@zonguin/creer-son-site-avec-wordpress-1-installation) : Installation
##### - [WordPress #2](https://steemit.com/utopian-io/@zonguin/creer-son-site-avec-wordpress-2-premier-demarrage) : Premier démarrage
##### - [WordPress #3](https://steemit.com/utopian-io/@zonguin/creer-son-site-avec-wordpress-3-parametrage-et-procedure-de-mises-a-jour) : Paramétrage et mises à jour
##### - [WordPress #4](https://steemit.com/utopian-io/@zonguin/creer-son-site-avec-wordpress-4-tout-sur-les-articles) :  Les articles
##### - [WordPress #5](https://steemit.com/utopian-io/@zonguin/creer-son-site-avec-wordpress-5-personnalisation-les-themes) : Les thèmes

-------
Aujourd'hui on va parler du .htaccess. Ce tutoriel va permettre de :
- Sécuriser WordPress
- Accélérer WordPress 
- Faire des redirections
- Et quelques autres petites choses utiles

<center>![série6.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1515606787/kyul1v4oup8mriuekmcz.png)
</center>


------

Le .htaccess est un fichier qui sert à WordPress, et c'est le fichier de configuration d' Apache. Il contrôle ainsi pas mal de fonctions. 
Pour y accéder, nous allons devoir retourner sur notre FTP.
Rendez-vous donc dans Filezilla, on nous trouverons le fichier. Clique-droit sur celui-ci, puis clique sur **Afficher / Éditer** :
![filezilla.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1515606692/q2w8pulqva2gf8jx2wx3.png)


> Note : si jamais le fichier n' est pas là (ce qui n 'est pas normal), créez-le.

Le fichier s' ouvrira alors dans votre éditeur de texte. Personnellement, j' utilise *Sublime Text 3* qui est excellent.
Vous pourrez alors observer son contenu, presque vide pour le moment :

<center>
![text.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1515607657/kwqi7bbbmh6jo8r4h8g9.png)
<br>Le contenu par défaut du .htaccess
</center>

Tout d' abord, je vous conseille quand même de faire une copie renommée .htaccess-back au cas-où à l' aide de FileZilla.
Pour cela téléchargez le, renommez le puis renvoyez-le avec le bon nom.
Passons à la suite.

**Note pour plus tard** : Veuillez ne pas écrire de code entre les commentaires *"BEGIN WordPress"* et *"END WORDPRESS*.

### Effectuer une modification

Pour effectuer des modifications, suivez la procédure suivante :

- Ouvrez le fichier dans l' éditeur
- Changez le code
- Sauvegardez le fichier (CTRL+S) puis faites **Oui** dans FileZilla
![box.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1515607984/aojazcwc3yfme1swefom.png)

- Actualisez le site pour voir si tout fonctionne correctement (F5)

Si une erreur à lieu, une erreur apparaîtra :
![](https://i.ytimg.com/vi/izaD49eYKp4/hqdefault.jpg)

> Certains hébergeurs n' acceptent pas certains codes dans le .htaccess, vous pouvez les contacter, mais sinon il faut faire sans.

## 1] Sécurité

### 1] Désactiver l' affichage des répertoires

Si vous essayez d' afficher un répertoire et son contenu, vous vous retrouverez face à ça :
![list.png](https://res.cloudinary.com/hpiynhbhq/image/upload/v1515608387/kxntpriho8wd6ur86xiv.png)

Ce n' est pas bon pour la sécurité. Un hacker qui voit vos fichiers peut attaquer plus facilement.

Le code pour désactiver ça :


	Options All -Indexes


### 3] Cacher les informations du serveur

Il est possible chez certains hébergeurs que des informations sur le serveur de votre site soient dans les pages du site. pour éviter tout risque, ajoutez ce code :



	ServerSignature Off


### 4] Protéger les fichiers importants

#### 1] wp-config

Le fichier **wp-config** est un des plus important de votre site car il comprends les identifiants d' accès à la base de données.Il est donc important de le protéger pour éviter que des pirates n' y aient accès. Pour cela, ajoutez le code suivant :



	<files wp-config.php>
		order allow,deny
		deny from all
	</files>


#### 2] .htaccess

Vous imaginerez bien qu'il faut également protéger le .htaccess :



	<Files ~ "^.*\.([Hh][Tt][AaPp])">
		order allow,deny
		deny from all
		satisfy all
	</Files>


### 4] Camoufler votre nom d' utilisateur.

Le nom d' utilisateur se doit de ne pas être trop simple, pour rendre plus difficile la tâche des pirates qui pourraient essayer d' accéder à l' interface d' administration de votre site. 

Or, il est très  facile de l' obtenir :
Allez sur votresite.fr/?author=1
Vous vous retrouverez sur un autre lien : https://zonguin.shost.ca/author/nomutilisateur/
Et voilà comment un enfant de 5 ans peut arriver à trouver votre pseudo. 

Pour ce prémunir de cela, ajoutez le code suivant :



	<IfModule mod_rewrite.c>
	RewriteCond %{QUERY_STRING} ^author=([0-9]*)
	RewriteRule .* - [F]
	</IfModule>


### 5] Blocage des utilisateurs

#### 1] Bloquer par adresse IP

Si jamais vous observez certaines IP qui tente de se connecter anormalement à votre site, ou que certaines ne cessent de vous spammer les commentaires, vous pouvez les bannir de votre site avec le code suivant :

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all
</Limit>

Notez que la personne peut changer d' IP, mais cela reste une solution à garder sous la main.

#### 2] Bloquer les utilisateurs venant d' un site en particulier.

Si vous avez remarqué qu' un lien vers votre site provenant d' un autre site est souvent cliqué et que vous ne voulez plus que cela continue, ajoutez ce code en modifiant bien-sûr l'adresse du site à bloquer :


	<IfModule mod_rewrite.c>
		 RewriteEngine on
		 RewriteCond %{HTTP_REFERER} monsite1.com [NC,OR]
		 RewriteCond %{HTTP_REFERER} monsite2.com [NC,OR]
		 RewriteRule .* - [F]
	</ifModule>


### 3] Le HTTPS 

Pour rendre obligatoire le https par les utilisateurs de site, utilisez le code suivant (seulement si vous avez mis en place un certificat SSL) :



	RewriteCond     %{SERVER_PORT} ^80$
	RewriteRule     ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]



### 4] Bloquer les injections de fichiers

Certains hackers peuvent tenter d' injecter des fichiers dans votre site pour en prendre le contrôle. Pour vous protéger, ajoutez le code suivant :



		RewriteCond %{REQUEST_METHOD} GET
		RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
		RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
		RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
		RewriteRule .* - [F]


### 5] Sécuriser les scripts

WordPress utilise des scripts pour fonctionner, situés dans wp-includes. Il n' y a néanmoins aucune raison d' y accéder directement. Par mesure de sécurité, ajoutez ce code pour bloquer leur exécution directe :


	RewriteEngine On
	RewriteBase /
	RewriteRule ^wp-admin/includes/ - [F,L]
	RewriteRule !^wp-includes/ - [S=3]
	RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
	RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
	RewriteRule ^wp-includes/theme-compat/ - [F,L]


### 6] Autres protections

Celui là, je l' ai trouvé dans mon ancien .htaccess, sans me souvenir toalement de son utlité ^^. Il me semble qu'il protége des attaques XSS et autres.



	<ifModule mod_headers.c>
		Header set X-XSS-Protection "1; mode=block"
		Header always append X-Frame-Options SAMEORIGIN
		Header set X-Content-Type-Options: "nosniff”
	</ifModule>


------

Et voilà, c'est tout pour ce tutoriel ! Dans la partie suivante nous verrons d' autres options, il y en a encore des tonnes ^^.

#### Si vous avez aimé le tutoriel, n' hésitez pas à upvoter, commenter, resteemer !

A bientôt !