Le guide complet du fichier .htaccess pour WordPress

Yvan Brax
Yvan Brax
Produits mentionnés
Sites Web WordPress, Outils de gestion de site, Créateur de sites Web, Sécurité site Web
Configurer facilement votre site

Après avoir acheté votre domaine et votre abonnement WordPress, il vous faudra configurer votre site pour qu’il soit présentable et sécurisé. Pour ce faire, vous aurez sans aucun doute besoin de manipuler un ou plusieurs fichiers .htaccess. De quoi s’agit-il ? À quoi sert-il ? Comment le modifier vous-même ? Suivez notre guide complet pour configurer aisément votre site internet.

WordPress : qu’est-ce que le fichier .htaccess ? 

Fichier .htaccess : définition 

Avant de vous lancer directement dans la configuration de votre site, vous devez savoir ce qu’est un fichier .htaccess. Son nom est l’abréviation de l’expression Hypertext Access. Il s’agit tout simplement d’un fichier de configuration permettant de paramétrer tout serveur Apache.

Placé à la racine de tout site internet, il permet d’avoir le contrôle de toutes les données du répertoire subordonné, et seulement celui-ci. Dans la jungle des fichiers, vous le trouverez au même endroit que les dossiers WordPress, comme wp-admin ou wp-content. Vous pouvez ainsi en créer plusieurs, chacun permettant de gérer une partie du site ou un sous-domaine spécifique si vous en avez.

À quoi sert le fichier .htaccess ? 

Le fichier .htacces vous permet d’effectuer de très nombreuses actions sur votre site internet, que nous verrons plus bas. Son utilité principale, toutefois, est de sécuriser certaines pages sensibles grâce à un mot de passe, comme le back office, dont l’adresse de base est très facile à retrouver pour tout site WordPress.

Il est également utile pour mettre en place des redirections, si une partie de votre site est en maintenance. Vous pouvez aussi personnaliser la page d’erreur pour proposer à vos visiteurs de se rendre sur une autre page, ou juste écrire un message humoristique. Google, par exemple, vous propose un petit jeu de plateforme avec un dinosaure si vous perdez votre connexion internet.

Comment créer un fichier .htaccess sur WordPress ? 

Il n’est pas bien difficile de créer un fichier .htaccess sur votre serveur. Dans votre espace client de votre hébergeur web, il vous suffit de créer un nouveau fichier appelé « .htaccess » dans le répertoire de votre choix. Vous pouvez également créer un simple fichier texte depuis le bloc-notes de votre ordinateur. Dans ce cas, vous devrez le nommer « htaccess.txt » et changer son nom en « .htaccess » lors de l’intégration au serveur.

Il est chaudement conseillé de faire des sauvegardes en local de ces dossiers. Une simple fausse manipulation et votre site internet tout entier se retrouvera hors-ligne.

Une fois le fichier bien au chaud à la racine de votre serveur, vous pouvez l’ouvrir quand vous le voulez dans le bloc-notes ou un éditeur de code. N’oubliez pas d’en faire une copie avant chaque modification, pour vous permettre de revenir en arrière facilement en cas d’erreur.

WordPress : que faire avec votre fichier .htaccess ? 

Sécuriser votre site internet 

Nous l’avons vu plus haut, le fichier .htaccess vous permet de sécuriser votre site internet pour éviter toute intrusion et rendre la visite plus agréable. Les principales modifications que vous pouvez effectuer sont les suivantes.

Restreindre l’accès au registre 

Lors de la création de votre site internet sous WordPress, le registre entier de votre site est accessible en clair pour tout le monde. Pour empêcher toute modification inopportune, vous devez en restreindre l’accès. Pour ce faire, vous devez commencer par créer un fichier .htpasswd et le placer au même endroit que le .htaccess. Ce fichier contiendra les identifiants de toutes les personnes ayant accès aux pages privées.

Dans le fichier de configuration, vous devez simplement copier-coller les quelques lignes suivantes :

AuthUserFile /home/votre-site/www/.htpasswd

AuthGroupFile /dev/null

AuthName « restricted access »

AuthType Basic

require valid-user

La ligne « AuthUserFile » permet d’accéder au fichier contenant les données d’authentification et de vérifier la corrélation avec ce qui est inscrit sur la page de connexion. Vous pouvez modifier le « AuthName » comme vous le souhaitez. Il s’agit simplement du message d’alerte qui s’affiche lors d’une tentative de connexion.

Protéger le fichier .htaccess 

Pour ajouter un autre niveau de sécurité, vous pouvez empêcher l’accès au fichier .htaccess à tous ceux qui n’ont pas d’identifiants. Les quelques lignes de code à recopier sont les suivantes :

<Files .htaccess>

 order allow,deny

 deny from all

satisfy all

</Files>

Rediriger vers la version HTTPS de votre site 

Comme vous êtes un administrateur consciencieux, vous avez fait l’acquisition d’un certificat SSL pour votre site internet. Ils sont presque tous largement supportés par les navigateurs web, mais cela ne fera pas de mal de mettre en place une redirection toute simple pour amener les internautes sur la version sécurisée. Voici les lignes de code à recopier :

RewriteEngine On

RewriteCond %{SERVER_PORT} ^80$

RewriteRule ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

Bannir certaines adresses IP 

Vous avez remarqué une adresse IP tentant de se connecter un peu trop souvent à votre page administrateur ? Vous pouvez la bannir aisément avec les quelques lignes suivantes :

<Limit GET POST>

order allow,deny

deny from xxx.xxx.xxx.xxx

allow from all

</Limit>

xxx.xxx.xxx.xxx étant l’adresse IP en question.

Ce n’est pas une solution définitive, puisqu’il n’est pas difficile de changer d’adresse, mais cela montrera aux personnes malintentionnées que vous faites attention à la sécurité de votre site.

Créer des redirections 

Vous voulez changer l’une des pages de votre site de manière permanente ? Il est alors essentiel de créer une redirection dite 301 pour éviter que les internautes ne se retrouvent devant une page vide ou une erreur 404 lorsqu’ils tapent l’ancienne URL. La modification du fichier .htaccess tient alors en une seule ligne :

Redirect 301 /ancienne_page.html/ http://www.votre_site.com/nouvelle_page.html

Vous pouvez également effectuer une redirection temporaire, par exemple si vous modifiez votre page d’accueil pour un événement précis. Vous n’aurez pas besoin de supprimer l’ancienne page, juste d’en créer une nouvelle, puis d’intégrer cette ligne au .htaccess :

Redirect /repertoire/ancienne_page.html http://www.votre_site.com/repertoire/page_temporaire.html 

Il vous suffira ensuite de supprimer ce code pour revenir à l’ancienne page d’accueil.

wordpress htaccess
wordpress-htaccess

Activer la mise en cache de votre site 

Enfin, le fichier .htaccess vous permet d’activer la mise en cache de votre site. Cette fonctionnalité est très importante puisqu’elle met en mémoire certains fichiers de votre site internet sur le navigateur de l’internaute pour lui permettre de le charger plus vite lors de sa prochaine visite. Cette fois-ci, le code à copier est un peu plus long :

<IfModule mod_expires.c>

ExpiresActive On

ExpiresDefault « access plus 1 month »

 

ExpiresByType text/html « access plus 0 seconds »

ExpiresByType text/xml « access plus 0 seconds »

ExpiresByType application/xml « access plus 0 seconds »

ExpiresByType application/json « access plus 0 seconds »

ExpiresByType application/pdf « access plus 0 seconds »

 

ExpiresByType application/rss+xml « access plus 1 hour »

ExpiresByType application/atom+xml « access plus 1 hour »

 

ExpiresByType application/x-font-ttf « access plus 1 month »

ExpiresByType font/opentype « access plus 1 month »

ExpiresByType application/x-font-woff « access plus 1 month »

ExpiresByType application/x-font-woff2 « access plus 1 month »

ExpiresByType image/svg+xml « access plus 1 month »

ExpiresByType application/vnd.ms-fontobject « access plus 1 month »

 

ExpiresByType image/jpg « access plus 1 month »

ExpiresByType image/jpeg « access plus 1 month »

ExpiresByType image/gif « access plus 1 month »

ExpiresByType image/png « access plus 1 month »

 

ExpiresByType video/ogg « access plus 1 month »

ExpiresByType audio/ogg « access plus 1 month »

ExpiresByType video/mp4 « access plus 1 month »

ExpiresByType video/webm « access plus 1 month »

 

ExpiresByType text/css « access plus 6 month »

ExpiresByType application/javascript « access plus 6 month »

 

ExpiresByType application/x-shockwave-flash « access plus 1 week »

ExpiresByType image/x-icon « access plus 1 week »

</IfModule>

Toutes les mentions « access plus x » désignent la période pendant laquelle chaque type de fichier sera préchargé, ou jusqu’à ce que l’internaute vide son cache. Vous pouvez les modifier comme vous le voulez, selon vos besoins.

Le .htaccess est un fichier essentiel dans la configuration de votre site internet. Vous devez en maîtriser les différentes fonctionnalités pour proposer la meilleure expérience possible à vos visiteurs. Pas besoin d’apprendre par cœur toutes ces lignes de code, il vous suffit de les copier-coller lorsque vous en avez besoin. Enfin, WordPress étant bien fait, vous pouvez trouver des plugins pour effectuer automatiquement les tâches les plus complexes ou répétitives, comme les redirections.