Accueil » Le Point SĂ©cu » 🛡 Point SECU #24 : Comment gĂ©rer le fichier .htaccess

VidĂ©o : 🛡 Point SECU #24 : Comment gĂ©rer le fichier .htaccess



Salut Ă  tous et bienvenue dans le Point SĂ©cu avec Julio.

Hey 👋

Et aujourd’hui on va parler d’un fichier que vous connaissez certainement, le fichier .htaccess

Allez c’est parti !

Alors du coup pour la petite histoire, ce fichier .htaccess, on devait en parler un petit peu plus tĂŽt, mais au final ça ne se fait que maintenant, dĂ©solĂ© si vous l’attendiez… mais bon.

Mieux vaut tard que jamais, n’est-ce pas ?

Qu’est-ce qu’un fichier .htaccess

Julio : exactement ! Le fichier .htaccess c’est un fichier de configuration relatif au serveur spĂ©cifiquement sur Apache, donc les personnes qui ont un serveur sous Ngnix ou Ligtht Speed ne sont pas concernĂ©es par ça.

Néanmoins, les rÚgles qui se mettent dans un .htaccess sont convertibles, existent bien sûr aussi du cÎté Ngnix.

Il existe mĂȘme il me semble un petit service online qui convertit des rĂšgles .htaccess en rĂšgles Ngnix.

Alors pourquoi est-ce que je vais pourtant parler du .htaccess, parce qu’aujourd’hui, Apache est encore le systĂšme de serveur le plus utilisĂ©, mĂȘme si j’avoue que Ngnix est plus rapide parfois. Par contre il est aussi plus technique.

Voyez, si vous voulez modifier un fichier .htacess, vous l’avez sĂ»rement Ă  la racine de votre site sur tous les ftp vous avec un .htaccess, WordPress a du code dans son coeur pour aller modifier ce fichier .htaccess pour mettre ses rĂšgles, or il ne peut pas le faire pour NGnix parce que le fichier ne se trouve pas Ă  la racine du site.

Il se trouve vraiment sur le serveur donc on n’a pas la main dessus. C’est un peu plus gĂȘnant, c’est donc un peu plus technique, il faut avoir la main ou alors un support d’hĂ©bergeur qui est capable de vous aider Ă  mettre votre propre fichier.

Quelques rĂšgles pour modifier votre .htaccess

Donc aujourd’hui on voit .htacess encore une fois vous aves vu : le petit carnet, ça veut dire que j’ai quelques rĂšgles Ă  vous donner.

Encore une fois, les rĂšgles se retrouveront dans la description.

Alex : on va pas les balancer Ă  l’oral ça va ĂȘtre compliquĂ©.

Julio : ah non lĂ  c’est tout Ă  fait impossible ! Encore, Ă  la limite, sur le wp-config il y a quelques temps, ça passe encore, lĂ  c’est totalement impossible de vous les raconter, c’est totalement du chinois.

Ce qu’il faut comprendre c’est l’intĂ©rĂȘt de la chose !

explications sur le fichier .htaccess

1. Le « X-Powered-By »

Par exemple si je prends l’entĂȘte qui s’appelle : « X-Powered-By »

C’est une entĂȘte qui se trouve dans chaque page qui indique quelle la version de PHP qui est utilisĂ©e pour gĂ©nĂ©rer la page en cours.

Or, divulguer des informations sur des numĂ©ros de version, pour un pirate c’est toujours assez sympa parce qu’il se dit « oh, je vois que la personne utilise la version 5.3, mais c’est obsolĂšte, il y a des failles de sĂ©curitĂ© dedans »

donc il peut se mettre à attaquer votre site spécialement avec des failles sur la 5.3.

Or, s’il n’a pas l’information, il va devoir tester beaucoup plus de choses, qui vont lui prendre beaucoup plus de temps et vous aurez bien plus de temps de voir arriver la chose.

Alex : et entre temps, il sera peut ĂȘtre passĂ© Ă  autre chose.

Julio : ou alors il se dit : « Moi je ne trouve pas la version, ça va me prendre trop de temps, c’est pas la peine, je passe »

Donc si on peut Ă©viter de lui montrer cette version PHP, on peut enlever grĂące au .htaccess, l’entĂȘte du « X-Powered-By ».

Parfois, cette entĂȘte est remplacĂ©e par autre chose, du moment que ce n’est pas un numĂ©ro de version, c’est mieux.

Par exemple, si vous utilisez wp-rocket, le « X-Powered-By » contient juste que c’est gĂ©nĂ©rĂ© par wp-rocket, la page de cache est gĂ©nĂ©rĂ©e par wp-rocket, donc lĂ  il n’y a pas de numĂ©ro de version donc c’est bien mieux.

Dans la mĂȘme veine, il y a aussi la version d’Apache qui peut apparaĂźtre aussi dans les entĂȘtes.

Donc de nouveau le fichier .htaccess peut cacher cette version d’Apache.

C’est ça le web il y a toujours des nouveautĂ©s qui arrivent, des failles qui arrivent, elles sont corrigĂ©es, on s’amĂ©liore, etc.

Les versions si possible on essaye de les cacher, vous avez sûrement déjà vu des tutoriels, SecuPress le fait aussi, je pense à tous les plugins aussi qui le font, on essaye de cacher la version WordPress.

2. Le « readme.html »

Alex : supprimer le « readme.html »

Julio : alors ça j’en parle juste aprĂšs, tu fais une trĂšs bonne transition…

Je la garde juste pour aprĂšs. Cacher une version ça ne sĂ©curise pas, on est d’accord hein. C’est juste qu’on cache, on Ă©vite que l’on donne… que l’on divulgue des informations trop facilement qui pourraient aider un pirate Ă  pirater plus rapidement finalement.

⚠Cacher n’est pas sĂ©curiser ⚠

On met un petit peu des bĂątons dans les roues, ce qui n’est pas mauvais non plus.

Et le « readme » comme tu dis, si on peut éviter de montrer le « readme » du core de WordPress qui indique le numéro de version et finalement chaque « readme » de chaque plugin et thÚme en fait, puisque chaque thÚme et chaque plugin contient un fichier readme qui contient son numéro de version,

donc il suffirait d’aller voir le « changlog » de chaque plugin pour se dire « oh je vois qu’il y a une faille de sĂ©curitĂ© dans telle version, je vois que la personne n’est pas Ă  jour ».

Si vous n’ĂȘtes pas Ă  jour… voilĂ  aussi en fait comment ça se passe au niveau des personnes qui ne se mettent pas Ă  jour, on regarde dans les « changlogs » quand est-ce qu’il y a eu des failles de sĂ©curitĂ© corrigĂ©es et voilĂ …

Vous vous faites attaquer parce qu’il y a une faille, le pirate saura trĂšs bien retrouver la faille, il suffit de prendre la version avant la correction et la version d’aprĂšs, il voit oĂč se trouve la faille, il comprend l’attaque et vous vous faites attaquer comme ça

Alex : il y a des logiciels exprĂšs quoi : WPScan

>>Julio : WPScan exactement, WPScansert à ça, il scanne un site web pour trouver quels sont les plugins installés dessus, il essaye de trouver les versions, ensuite il connaßt quelles versions sont vulnérables à telle faille et il vous lance des attaques.

Donc voyez, il y a clairement des systĂšmes automatisĂ©s, donc il ne faut pas forcĂ©ment ĂȘtre un gros technicien malheureusement pour rĂ©ussir Ă  attaquer des sites web.

Allez encore une… Allez…

3. Le Directory Listing

Quand on installe un serveur Apache par dĂ©faut, il y a une configuration qui n’est pas forcĂ©ment toujours active, ça s’appelle le Directory Listing, ça permet de faire la liste d’un contenu de dossiers et…

⚠Pour tester d’ailleurs sur votre site : tenez testez en live ⚠

Petit exercice : vous allez sur : votreurldesiteweb/wp-content/uploads

Normalement, vous avez soit une page blanche, soit une page 403 disant Forbidden, si vous avez ça c’est trĂšs bien.

Si inversement vous avez la liste des annĂ©es, avec la liste des mois, etc. votre contenu, votre dossier, lĂ  ce n’est pas bien, c’est-Ă -dire que l’on peut naviguer dans vos dossiers qui ne contiennent pas de pages PHP comme index.php par exemple,

donc il pourrait trĂšs bien y avoir des uploads de fichiers zip qui sont censĂ©s ĂȘtre vendus par exemple sur votre site et lĂ  en fait il suffit de cliquer pour le tĂ©lĂ©charger, ça c’est pas bien !

GrĂące Ă  Apache on peut interdire le Directory Listing, renvoyer toutes les personnes sur : vous n’ĂȘtes pas autorisĂ© Ă  visiter cette page.

C’est trĂšs trĂšs simple Ă  mettre en place, c’est vraiment des petites rĂšgles. Je vous dis dans l’article, vous allez voir comment ça se met, si vous faites ça Ă  la main.

AprĂšs si vous utilisez SecuPress ou d’autres plugins, il y a fortes changes que ça soit fait en un clic, ça se rĂšgle tout seul, pas besoin d’aller mettre la main dans le cambouis, c’est Ă  cela que sert justement tous ces plugins qui font le travail Ă  votre place.

Alex : OK super

Julio : j’en ai d’autres, mais je vous les garde pour le reste en bas… vous pouvez lire…

>>Alex : Vous les trouverez en dessous et je vous mettrai aussi l’article du .htaccess de la Marmite en complĂ©ment,

comme ça je pense que vous serez parés pour pouvoir optimiser ce fichier .htaccess et surtout mettre en place des choses pour optimiser la sécurité de votre site.

Donc voilĂ … je suis sĂ»r que vous savez ce qu’il faut dire maintenant, c’est le pouce ! L’abonnement Ă  la chaĂźne YouTube de la Marmite et allez voir SecuPress.me

Et sur ce on se dit à trÚs vite pour une nouvelle vidéo.

Ciao… 👋Salut

 

C’est la derniĂšre… Enfin il en reste deux petites Ă  dĂ©couvrir bientĂŽt pour notre petite conclusion ! En espĂ©rant que la sĂ©curitĂ© n’a plus de secrets pour vous 🙂

 



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20 000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

ut consequat. velit, sed ut ut risus Curabitur pulvinar
Partagez
Tweetez
Partagez