Protéger son site avec un fichier .htaccess - Blog astuces web et SEOBlog astuces web et SEO

Hi all,

Comme nous le savons tous, il est important de protéger son site web surtout quand il soit un site web dynamique.

La majorité des développeurs pensent toujours à protéger leurs requêtes POST et GET (évidemment) mais à mon avis ce n’est pas toujours suffisant: il faudra penser à se protéger contre tout type d’injection y compris l’injection des scripts et bien sur se protéger aussi contre la modification des variables _REQUEST, la modification des variables PHP GLOBALS.. Et pour faire tout cela il nous suffit d’ajouter (de créer?) quelques lignes dans son fichier .htaccess

Attention: une mauvaise utilisation de .htaccess pourra engendrer le blocage de son site. A utiliser avec modération! (L’exemple que je vais donner est testé et est fonctionnel).

Comme nous le savons tous (pas vous?) le fichier .htacces doit toujours commencer par ces deux lignes:

Options +FollowSymLinks # Pour activer le suivi des liens symboliques
RewriteEngine On # Pour démarrer le moteur de l’url_rewriting

On commence par mettre les condition de redirection (url_rewriting):

# On bloque tous les liens contenant un <script>:

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# On bloque tous les scripts qui essayent de modifier un variable PHP GLOBALS:

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# On bloque tous les scripts qui essayent de modifier un variable _REQUEST:

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Tout est est bon! On envoi tout ça vers la page d’accueil avec une erreur 403 Forbidden:

RewriteRule ^(.*)$ index.php [F,L]

Donc pour résumer: Pour mieux protéger son site web, on peut ajouter ces lignes dans son fichier .htacces (ou créer un fichier .htaccess contenant ces lignes):

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Faites en bonne utilisation 🙂

Merci d'évaluer l'article: Protéger son site avec un fichier .htaccess

Score: 4.3 sur 5 Sur un total de 4 avis

Catégorie: .htaccess, Developpement web, Diverses Astuces, featured, PHP, Sécurité informatique
Tags: .htaccess, php globals, protection, request, script, sécurité.

46 commentaires

Ping par htaccess: Se protger du hotlinking et sauvegarder sa bande passante grâce à htaccess | Blog Galerie César le 17 janvier 2010 à 16:06

[…] Pour se protéger du hotlinking et ainsi sauvegarder sa bande passante, il suffi d’ajouter quelques lignes dans son fichier htaccess (on peut aussi sécuriser son site web à l’aide d’un fichier htaccess). […]

Ping par Protect your WordPress blog using .htaccess le 25 janvier 2010 à 08:47

[…] to Oussama for those simple, but efficient lines of code! If you enjoyed this article, please consider […]

Ping par Wordpress: Blog Schutz per .htaccess :: GLOBALS, RewriteCond, Modifikation, REQUEST :: Fast-Load.de le 25 janvier 2010 à 15:40

[…] Mehr Sicherheit im Blog dank Oussama […]

Commentaire par KCA le 26 janvier 2010 à 06:14

Superbe!
Mais dans le cas ou WP est installe dans un subdirectory and son url pointe dans le root. On fait comment?

Commentaire par Oussama le 26 janvier 2010 à 10:48

C’est simple 🙂 on ajoute une ligne:
RewriteBase /subdirectory

Ping par Éviter le duplicate content causé par PHPSESSID | Blog Galerie César le 27 janvier 2010 à 07:31

[…] fichier htaccess permet aussi de bloquer le hotlinking et sauvagder sa bande passante et aussi à mieux protéger son site web) qui permettent de stocker les sessions dans des cookies, soit d’ajouter quelques lignes dans […]

Ping par Wordpress: Blog Schutz per .htaccess (Script Injection) | Zeilen, RewriteCond, {QUERYSTRING}, Modfizierung | sohneinesschwaben.de le 6 février 2010 à 03:38

[…] an Oussama. Auch zum lesen da […]

Commentaire par JeClicker le 9 février 2010 à 23:59

Très intéressant merci pour le code.

Ping par Site web: attaque par iframe – la solution pour se protéger | Blog Galerie César le 6 avril 2010 à 18:11

[…] Edit 3: Un script pour protéger votre site contre les injections. […]

Ping par Perlindungan _REQUEST, PHP GLOBALS & Script Injection | Exclusive WordPress le 29 avril 2010 à 03:09

[…] kasih pada om Oussama untuk kode […]

Commentaire par rfphoto le 7 mai 2010 à 10:17

Bonjour, j’ai du mal à comprendre ou placer « htacces » ?

Ping par 10 Useful WordPress Security Tweaks – Smashing Magazine le 1 juillet 2010 à 16:17

[…] are met, the request is blocked and a 403 error is returned to the client’s browser.SourcesProtéger Son Site Avec Un Fichier .htaccessProtect Your WordPress Blog Using .htaccess6. Fight Back Against Content ScrapersThe problem If your […]

Ping par 10 Useful WordPress Security Tweaks le 1 juillet 2010 à 17:03

[…] Protéger Son Site Avec Un Fichier .htaccess […]

Ping par 10 Useful WordPress Security Tweaks | le 1 juillet 2010 à 17:16

Ping par 10 Useful WordPress Security Tweaks » abdie.web.id le 1 juillet 2010 à 23:11

Ping par 10 Useful WordPress Security Tweaks – Programming Blog le 1 juillet 2010 à 23:16

Ping par 10 Useful WordPress Security Tweaks | DesignerLinks | Home to Web design news, jQuery Tutorials, CSS tutorials, Web Designing tutorials, JavaScript tutorials and more! le 1 juillet 2010 à 23:31

Ping par Wordpress Blog Services – 10 Useful WordPress Security Tweaks le 2 juillet 2010 à 03:03

Ping par 10 Useful WordPress Security Tweaks | The WordPress Blog Builder le 2 juillet 2010 à 18:13

Ping par 10 Useful WordPress Security Tweaks | i know idea le 3 juillet 2010 à 09:49

Ping par WordPress3.0十个实用的安全技巧 – 费克熊猫's Blog – PanFake.Com le 4 juillet 2010 à 05:53

Ping par Wbcom Designs | Blog | Protect Your WordPress Blog From Script Injections le 4 juillet 2010 à 08:54

Ping par krackie's road to designing » Blog Archive » 10 Useful WordPress Security Tweaks le 5 juillet 2010 à 05:10

Ping par 10 Astuces pour sécuriser au maximum votre blog Wordpress | Geek Noise le 5 juillet 2010 à 23:18

[…] Source: Protéger Son Site Avec Un Fichier .htaccess […]

Ping par 十个实用的WordPress安全技巧 | KisKis.Me le 7 juillet 2010 à 00:10

Ping par ArticleSave :: Uncategorized :: 10 Useful WordPress Security Tweaks le 7 juillet 2010 à 08:09

Ping par 10 Useful WordPress Security Tweaks « WebbyTuts | Resouces for Designers le 7 juillet 2010 à 17:59

[…] ProtÃ©ger Son Site Avec Un Fichier .htaccess […]

Ping par 10 Useful WordPress Security Tweaks « TRUtricks le 8 juillet 2010 à 06:04

Ping par Endless flight » 10 Useful WordPress Security Tweaks le 8 juillet 2010 à 08:45

Ping par 10 Useful WordPress Security Tweaks – Smashing Magazine le 12 juillet 2010 à 22:36

[…] […]

Ping par scuriser au maximum wordpress | Free Dz le 1 août 2010 à 02:04

Ping par Useful WordPress Security Tweaks | UserZen le 15 août 2010 à 18:41

Ping par Nuvdel’s Blog | Le blog d’un déluré le 18 août 2010 à 13:14

Commentaire par jc le 18 août 2010 à 17:03

bonjour,

j’ai du supprimer la ligne suivante :

car cela affichait systematiquement une erreur 403 à l’ouverture de n’importe quelle page.

Commentaire par Myaa le 18 février 2011 à 17:00

Bonjour, et lorsque l’on souhaite rediriger vers la page d’accueil et non vers une page 403 ?

Merci d’avance, vos articles sont super.

Commentaire par Andy le 23 août 2011 à 11:19

La plupart des hackers servent aussi le htaccess pour perfecionner l’attaque, j’ai déjà vu un article la dessus que je vais poster ici dès que je le retrouve, sinon la plupart des dev oublient aussi une chose simple après que le site est fait et mise en ligne : affichage d’erreurs activé, cela sert aux pirates de connaitre les failles du site, alors il faudra mettre à OFF dans php.ini ou .htaccess.

Commentaire par depannage informatique le 21 septembre 2011 à 22:29

N’oubliez pas qu’il peut-être préjudiciable de mettre en place ou de modifier un .htaccess existant. Mieux vaut sauvegarder son .htaccess de base au cas ou la modification rende son site inaccessible.

Commentaire par ikala le 6 octobre 2011 à 14:31

Merci pour ces infos utiles pour sécuriser son site.

Commentaire par coach theatre le 20 octobre 2011 à 23:18

Intéressant je ne connaissais pas ces commandes. Le truc, c’est que les CMS s’amusent à modifier tout ça tout seuls, et là bonjour l’erreur 500!

Commentaire par dépannage informatique le 28 décembre 2011 à 13:07

Bonjour,
Est ce qu’il est possible de protéger juste une page et nom un dossier complet

Commentaire par chirurgie esthetique paris le 9 avril 2012 à 10:45

en effet cest de nos jour tres important de s’occuper de la protection de son site

Commentaire par JM@fibres-et-creations le 25 avril 2012 à 10:05

Très intéressantes ces commandes, et c’est vraiment plus efficace pour vraiment protéger son site, mais est-il possible de protéger une seule page ? Merci.

Commentaire par sos dépannage pc le 16 août 2013 à 11:22

Je me demande si les webmasters qui ont utilisé ce bout de code sont satisfaits. Il y a d’autres manières de protéger son site, l’utilisation d’un captcha complexe par exemple qui est la protection la plus simple.

Commentaire par Comment changer son adresse ip le 26 août 2013 à 03:23

J’avais justement besoin d’info sur le .htaccess, je comprends pas encore tout mais c’est en bonne voie merci

Ping par 10 Useful WordPress Security Tweaks – Smashing Magazine | Homo Digitalis le 11 septembre 2015 à 19:00

Commentaire par Lunette Vélo Enfant le 4 janvier 2024 à 18:04

Merci pour ces explications, tout est plus clair !

Laisser un commentaire (en dofollow ;) )