Salut Ă tous et bienvenue dans le Point SĂ©cu avec Julio.
Hey đź‘‹
Aujourd’hui on va parler d’un fichier que vous connaissez certainement, le fichier .htaccess
Allez c’est parti !
Pour la petite histoire, ce fichier .htaccess, on devait en parler un petit peu plus tĂ´t, mais au final ça ne se fait que maintenant, dĂ©solĂ© si vous l’attendiez… mais bon.
Mieux vaut tard que jamais, n’est-ce pas ?
Sommaire
Qu’est-ce qu’un fichier .htaccess
Julio : Le fichier .htaccess c’est un fichier de configuration relatif au serveur spĂ©cifiquement sur Apache, donc les personnes qui ont un serveur sous Ngnix ou Ligtht Speed ne sont pas concernĂ©es par ça.
Néanmoins, les règles qui se mettent dans un .htaccess sont convertibles bien sûr aussi du côté Ngnix.
Il existe même il me semble un petit service online qui convertit des règles .htaccess en règles Ngnix.
Alors pourquoi est-ce que je vais pourtant parler du .htaccess, parce qu’aujourd’hui, Apache est encore le système de serveur le plus utilisĂ©, mĂŞme si j’avoue que Ngnix est plus rapide parfois. Par contre il est aussi plus technique.
Voyez, si vous voulez modifier un fichier .htaccess, vous l’avez sĂ»rement Ă la racine de votre site sur tous les ftp vous avec un .htaccess, WordPress a du code dans son coeur pour aller modifier ce fichier .htaccess pour mettre ses règles, or il ne peut pas le faire pour NGnix parce que le fichier ne se trouve pas Ă la racine du site.
Il se trouve vraiment sur le serveur donc on n’a pas la main dessus. C’est un peu plus gĂŞnant, c’est donc un peu plus technique, il faut avoir la main ou alors un support d’hĂ©bergeur qui est capable de vous aider Ă mettre votre propre fichier.
Quelques règles pour modifier votre fichier .htaccess
Donc aujourd’hui on voit .htaccess encore une fois vous avez vu : le petit carnet, ça veut dire que j’ai quelques règles Ă vous donner.
Encore une fois, les règles se retrouveront dans la description.
Alex : on va pas les balancer Ă l’oral ça va ĂŞtre compliquĂ©.
Julio : ah non lĂ c’est tout Ă fait impossible ! Encore, Ă la limite, sur le wp-config il y a quelques temps, ça passe encore, lĂ c’est totalement impossible de vous les raconter, c’est totalement du chinois.
Ce qu’il faut comprendre c’est l’intĂ©rĂŞt de la chose !
1. Le “X-Powered-By”
Par exemple si je prends l’entĂŞte qui s’appelle : “X-Powered-By”.
C’est un entĂŞte qui se trouve dans chaque page qui indique quelle est la version de PHP qui est utilisĂ©e pour gĂ©nĂ©rer la page en cours.
Or, divulguer des informations sur des numĂ©ros de version, pour un pirate c’est toujours assez sympa parce qu’il se dit “oh, je vois que la personne utilise la version 5.3, mais c’est obsolète, il y a des failles de sĂ©curitĂ© dedans”, donc il peut se mettre Ă attaquer votre site spĂ©cialement avec des failles sur la 5.3.
Or, s’il n’a pas l’information, il va devoir tester beaucoup plus de choses, qui vont lui prendre beaucoup plus de temps et vous aurez bien plus de temps de voir arriver la chose.
Alex : et entre temps, il sera peut être passé à autre chose.
Julio : ou alors il se dit : “Moi je ne trouve pas la version, ça va me prendre trop de temps, c’est pas la peine, je passe”.
Donc si on peut Ă©viter de lui montrer cette version PHP, on peut enlever grâce au .htaccess, l’entĂŞte du “X-Powered-By”.
Parfois, cette entĂŞte est remplacĂ©e par autre chose, du moment que ce n’est pas un numĂ©ro de version, c’est mieux.
Par exemple, si vous utilisez wp-rocket, le “X-Powered-By” contient juste que c’est gĂ©nĂ©rĂ© par wp-rocket, la page de cache est gĂ©nĂ©rĂ©e par wp-rocket, donc lĂ il n’y a pas de numĂ©ro de version donc c’est bien mieux.
Dans la mĂŞme veine, il y a aussi la version d’Apache qui peut apparaĂ®tre aussi dans les entĂŞtes.
Donc de nouveau le fichier .htaccess peut cacher cette version d’Apache.
C’est ça le web il y a toujours des nouveautĂ©s qui arrivent, des failles qui arrivent, elles sont corrigĂ©es, on s’amĂ©liore, etc.
Les versions si possible on essaye de les cacher, vous avez sûrement déjà vu des tutoriels, SecuPress le fait aussi, je pense à tous les plugins aussi qui le font, on essaye de cacher la version WordPress.
2. Le “readme.html”
Alex : supprimer le “readme.html”
Julio : alors ça j’en parle juste après, tu fais une très bonne transition…
Je la garde juste pour après. Cacher une version ça ne sĂ©curise pas, on est d’accord hein. C’est juste qu’on cache, on Ă©vite que l’on divulgue des informations trop facilement qui pourraient aider un pirate Ă pirater plus rapidement finalement.
âš Cacher n’est pas sĂ©curiser âš
On met un petit peu des bâtons dans les roues, ce qui n’est pas mauvais non plus.
Et le “readme” comme tu dis, si on peut Ă©viter de montrer le “readme” du core de WordPress qui indique le numĂ©ro de version et finalement chaque “readme” de chaque plugin et thème en fait, puisque chaque thème et chaque plugin contient un fichier readme qui contient son numĂ©ro de version,
donc il suffirait d’aller voir le changelog de chaque plugin pour se dire “oh je vois qu’il y a une faille de sĂ©curitĂ© dans telle version, je vois que la personne n’est pas Ă jour”.
Si vous n’ĂŞtes pas Ă jour… voilĂ aussi en fait comment ça se passe au niveau des personnes qui ne se mettent pas Ă jour, on regarde dans les “changelogs” quand est-ce qu’il y a eu des failles de sĂ©curitĂ© corrigĂ©es et voilĂ …
Vous vous faites attaquer parce qu’il y a une faille, le pirate saura très bien retrouver la faille, il suffit de prendre la version avant la correction et la version d’après, il voit oĂą se trouve la faille, il comprend l’attaque et vous vous faites attaquer comme ça.
Alex : il y a des logiciels exprès quoi : WPScan
>>Julio : WPScan exactement, WPScan sert à ça, il scanne un site web pour trouver quels sont les plugins installés dessus, il essaye de trouver les versions, ensuite il connaît quelles versions sont vulnérables à telle faille et il vous lance des attaques.
Donc voyez, il y a clairement des systèmes automatisés, donc il ne faut pas forcément être un gros technicien malheureusement pour réussir à attaquer des sites web.
Allez encore une…
3. Le Directory Listing
Quand on installe un serveur Apache par dĂ©faut, il y a une configuration qui n’est pas forcĂ©ment toujours active, ça s’appelle le Directory Listing, ça permet de faire la liste d’un contenu de dossiers et…
âš Pour tester d’ailleurs sur votre site : tenez testez en live âš
Petit exercice : vous allez sur : votreurldesiteweb/wp-content/uploads
Normalement, vous avez soit une page blanche, soit une page 403 disant Forbidden, si vous avez ça c’est très bien.
Si inversement vous avez la liste des annĂ©es, avec la liste des mois, etc. votre contenu, votre dossier, lĂ ce n’est pas bien, c’est-Ă -dire que l’on peut naviguer dans vos dossiers qui ne contiennent pas de pages PHP comme index.php par exemple,
donc il pourrait très bien y avoir des uploads de fichiers zip qui sont censĂ©s ĂŞtre vendus par exemple sur votre site et lĂ en fait il suffit de cliquer pour le tĂ©lĂ©charger, ça c’est pas bien !
Grâce Ă Apache on peut interdire le Directory Listing, renvoyer toutes les personnes sur : vous n’ĂŞtes pas autorisĂ© Ă visiter cette page.
C’est très très simple Ă mettre en place, c’est vraiment des petites règles. Je vous dis dans l’article, vous allez voir comment ça se met, si vous faites ça Ă la main.
Après si vous utilisez SecuPress ou d’autres plugins, il y a fortes chances que ça soit fait en un clic, ça se règle tout seul, pas besoin d’aller mettre la main dans le cambouis, c’est Ă cela que sert justement tous ces plugins qui font le travail Ă votre place.
Alex : OK super
Formez-vous Ă WordPress en 3 mois
Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).
Conclusion
Julio : j’en ai d’autres, mais je vous les garde pour le reste en bas… vous pouvez lire…
>>Alex : Vous les trouverez en dessous et je vous mettrai aussi l’article du .htaccess de la Marmite en complĂ©ment,
comme ça je pense que vous serez parés pour pouvoir optimiser ce fichier .htaccess et surtout mettre en place des choses pour optimiser la sécurité de votre site.
Donc voilĂ … je suis sĂ»r que vous savez ce qu’il faut dire maintenant, c’est le pouce ! L’abonnement Ă la chaĂ®ne YouTube de WPMarmite et allez voir SecuPress.me
Et sur ce on se dit à très vite pour une nouvelle vidéo.
Ciao… đź‘‹Salut
C’est la dernière… Enfin il en reste deux petites Ă dĂ©couvrir bientĂ´t pour notre petite conclusion ! En espĂ©rant que la sĂ©curitĂ© n’a plus de secrets pour vous 🙂
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesWPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…
cPanel : fonctionnalités et guide d’utilisation de cette interface pour votre site WordPress
Besoin de modifier la version PHP de votre site web ? C’est lĂ que ça se passe. Une adresse e-mail Ă crĂ©er ? C’est aussi lĂ que ça se passe. Il vous faut installer un certificat SSL au pied levĂ©…
YourTextGuru : notre avis sur cet outil d’aide à la rédaction SEO [2024]
Vous rĂ©digez des textes sur le web. Pour vous et/ou vos clients, le SEO est super important. Alors vous utilisez forcĂ©ment YourTextGuru. Quoi ? Vous ne vous servez pas de cet outil incontournable pour optimiser sĂ©mantiquement vos contenus ? Bouuuuhhhh,…