GNU/Linux >> Tutoriels Linux >  >> Panels >> cPanel

Comment configurer la protection interne pour .htaccess

Comment configurer la protection interne pour .htaccess

Cette partie s'applique uniquement aux cas où vous souhaitez configurer manuellement tous les paramètres et règles nécessaires. Tous ces paramètres peuvent être configurés automatiquement avec des plugins sécurisés (notamment BulletProof Security). Nous vous recommandons d'utiliser d'abord les plugins sécurisés et seulement s'ils ne fournissent pas le contrôle nécessaire, effectuez une configuration manuelle. Si vous devez apporter manuellement des modifications spécifiques au fichier .htaccess, veuillez utiliser le guide fourni ci-dessous :

.htaccess (accès hypertexte) est le nom par défaut du fichier de configuration au niveau du répertoire spécifique aux serveurs Web exécutant Apache.

Il s'agit d'un fichier qui est le plus souvent modifié lorsqu'il s'agit de redirections et qui est également souvent utilisé pour modifier les types de fichiers afin de les rendre exécutables. C'est aussi celui que vous utiliserez pour durcir votre environnement.

Pour le protéger, appliquez quelques règles simples :définissez des autorisations faibles et refusez l'accès.


Appliquer des autorisations faibles


Les conseils de base pour les autorisations sont simples :plus le nombre est faible, plus l'accès devient difficile. Une bonne règle de base est de maintenir le nombre aussi bas que possible là où les performances ou les fonctionnalités ne sont pas affectées. Pour la plupart des utilisateurs, définissez-le sur 640 accordera le niveau d'accès dont vous avez besoin.


Ajouter des directives .HTACCESS


Ce qu'il est important de noter ici, c'est que cela ne fonctionne que si l'attaque est externe. Cela ne vous protégera pas des attaques internes (si un compte cPanel entier est piraté, par exemple)
Voici la directive .htaccess que vous pouvez utiliser :

#PROTECT HTACCESS

Order Allow, Deny
Deny from all

Remarque : Cela protège uniquement le fichier des accès externes.


  • Désactiver la navigation dans les répertoires


Si vous ne souhaitez pas permettre à vos visiteurs de parcourir l'intégralité de votre répertoire, ajoutez simplement le bout de 2 lignes dans votre .htaccess dans le répertoire racine de votre blog WordPress :

# désactiver la navigation dans les répertoires
Options Tous -Index


  • protection des fichiers wp-config


Wp-config.php est important car il contient toutes les données sensibles et la configuration de votre blog et par conséquent, il doit être verrouillé via .htaccess. Ajoutez le code ci-dessous au fichier .htaccess dans le répertoire racine :

# protect wpconfig.php

order allow,deny
deny from all

 

Le code refuse l'accès au fichier wp-config.php à tout le monde.


  • Accès au répertoire wp-content

Wp-content contient tout le contenu de votre installation WordPress. C'est un dossier très important et il doit être sécurisé. Les utilisateurs ne doivent pouvoir visualiser et accéder qu'à certains types de fichiers tels que les images (jpg, gif, png), Javascript, css et XML.

Placez le code ci-dessous dans le fichier .htaccess dans le dossier wp-content (pas la racine) :

Ordonner de refuser, autoriser
Refuser de tous

Autoriser de tous


  • fichiers wp-admin


Wp-admin ne doit être accessible que par vous et vos collègues blogueurs (le cas échéant). Vous pouvez utiliser .htaccess pour restreindre l'accès et n'autoriser que des adresses IP spécifiques à ce répertoire.
Si vous avez une adresse IP statique et que vous bloguez toujours depuis votre ordinateur, cela peut être une bonne option pour vous. Cependant, si vous gérez un blog à plusieurs utilisateurs, vous pouvez soit vous en désinscrire, soit autoriser l'accès à partir d'une plage d'adresses IP.

Copiez et collez le code ci-dessous dans le .htaccess dans le dossier wp-admin (pas le dossier racine) :

# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx # Ceci est votre IP statique
deny from all 


Le code ci-dessus empêchera le navigateur d'accéder à tout fichier de ces répertoires autre que "xx.xx.xx.xx" qui devrait être votre adresse IP statique.


  • Empêcher l'injection de script


Pour protéger votre blog WordPress contre l'injection de script et la modification indésirable de _REQUEST et/ou GLOBALS, copiez et collez le code ci-dessous dans votre .htaccess à la racine :

# protection contre l'injection sql
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [ NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
Règle de réécriture ^(.*)$ index.php [F,L]




C'est tout !

              
                      Besoin d'aide ? Contactez notre service d'assistance

Articles associés

Comment configurer des règles et des redirections dans .htaccess
cPanel

  1. Comment configurer la protection Hotlink dans cPanel

  2. Comment configurer des raccourcis de bureau pour cPanel

  3. Comment définir le fuseau horaire pour PHP via cPanel

  4. Comment définir des valeurs ulimit pour un service systemd

  5. Comment définir un pseudo par défaut pour les nouvelles connexions irssi ?

Comment configurer Tls pour Postfix sur Ubuntu ?

Comment configurer la protection contre les liens dynamiques dans Plesk ?

Comment définir la protection par mot de passe dans le répertoire cPanel

Comment définir les types MIME pour un domaine

Comment définir une version php via .htaccess dans cPanel ?

Comment ajouter une protection par mot de passe pour un répertoire à l'aide de cPanel