Cโest un fichier incontournable et trรจs puissant. Sur WordPress, le fichier .htaccess peut vous aider ร renforcer la sรฉcuritรฉ de votre site, ร effectuer des redirections, ou encore ร amรฉliorer la vitesse de chargement de vos pages.
Pour donner sa pleine mesure, ce prรฉcieux alliรฉ doit รชtre manipulรฉ avec le plus grand soin. Parce quโen cas dโerreur de syntaxe dans le code quโil contient, votre site web plantera.
Pour vous รฉviter cela, cet article va tout vous rรฉvรฉler sur ce fichier. ร la fin de votre lecture, vous saurez le crรฉer, lโรฉditer et le modifier grรขce ร nos conseils pratiques et illustrรฉs.
Vous disposerez enfin dโune quinzaine de rรจgles de configuration ร copier-coller directement dans votre fichier .htaccess.
Le fichier WordPress .htaccess, cโest quoi ?
Dรฉfinition du .htaccess
Un fichier .htaccess est un fichier texte utilisรฉ par les serveurs web Apache. Il contrรดle comment fonctionne et s’exรฉcute un serveur, et permet de modifier sa configuration au niveau de chaque rรฉpertoire.
Grรขce ร lโajout de directives ร ce fichier, vous pouvez notamment renforcer la sรฉcuritรฉ de votre site, amรฉliorer ses performances, effectuer des redirections etc.
Voici plusieurs choses ร savoir sur le fichier .htaccess :
- Htaccess est lโabrรฉviation de hypertext access (accรจs hypertexte).
- Lโune des particularitรฉs dโun fichier .htaccess (sur WordPress ou un autre CMS, Content Management System) rรฉside dans sa syntaxe. Il commence par un point, comme de nombreux fichiers dรฉdiรฉs ร la configuration.
Dans le jargon informatique, on parle aussi de dot files (fichiers avec un point). Les fichiers contenant un point dans leur extension sont souvent cachรฉs (on y reviendra). - Un fichier .htaccess est un fichier de configuration du logiciel de serveur web Apache. Il ne sera pas supportรฉ par tous les serveurs web. Ce sera le cas de LiteSpeed, par exemple, mais pas de Nginx. Si votre site WordPress tourne sous Nginx, vous nโaurez pas de fichier .htaccess.
- WordPress modifie le fichier .htaccess pour pouvoir gรฉrer la structure de vos permaliens (adresses des pages de votre site web). Dโailleurs, le CMS en profite pour crรฉer votre fichier .htaccess dรจs que vous personnalisez vos permaliens (et il se met ร jour automatiquement dรจs que vous modifiez leur structure).
- Certains types de plugins, notamment ceux dรฉdiรฉs ร la sรฉcuritรฉ et ร la mise en cache, utilisent le fichier .htaccess de WordPress pour y ajouter leurs propres rรจgles de configuration.
Un exemple de fichier .htaccess sur WordPress
Afin de vous reprรฉsenter au mieux ce ร quoi ressemble ce fichier singulier, voici un exemple de fichier .htaccess pour une installation WordPress de base :
La capture ci-dessus doit vous sembler abstraite, voire incomprรฉhensible. Dรฉcortiquons-la pour la rendre plus claire :
- Les lignes prรฉcรฉdรฉes dโun signe diรจse (#) sont des lignes de commentaire (ex : # BEGIN WordPress et # END WordPress). Chaque commentaire commence obligatoirement par un signe diรจse et nโest pas pris en compte comme une directive.
- Entre les deux lignes de commentaire, vous trouvez un morceau de code qui indique ร votre serveur une rรจgle ร suivre. Chaque directive sโapplique ร un rรฉpertoire donnรฉ et ร ses sous-rรฉpertoires. Il est donc possible dโavoir plusieurs fichiers .htaccess sur WordPress, dans diffรฉrents rรฉpertoires comme wp-content, wp-admin ou wp-includes.
- Les initiales des lettres entre crochets (ex : ) correspondent ร des instructions donnรฉes au serveur.
Chaque ligne de code a forcรฉment un sens et une syntaxe propre comprรฉhensible par Apache.
Par exemple, โfโ dรฉsigne un fichier et โdโ un rรฉpertoire. Le point dโexclamation dรฉclare une nรฉgation : les fichiers concernรฉs ne devront pas suivre la directive รฉnoncรฉe.
Lโidรฉe ici ne consiste pas ร vous embrouiller avec du code complexe et de la technique. Nรฉanmoins, si vous voulez creuser le sujet et mieux comprendre comment dรฉclarer des directives, consultez la documentation officielle dโApache.
Si vous avez activรฉ le multisite sur votre installation WordPress, les fichiers .htaccess gรฉnรฉrรฉs seront diffรฉrents, par rapport ร une installation monosite. Voici un exemple pour une installation multisite en sous-dossier :
Que peut-on faire avec un fichier .htaccess ?
Comme vous venez de le constater, lโun des intรฉrรชts du fichier .htaccess sur WordPress, cโest quโil est รฉditable et personnalisable ร souhait.
Vous pouvez donc lui ajouter les directives de votre choix, sous la forme de morceaux de code. Ces derniers indiquent ร votre serveur web comment se comporter et permettent dโeffectuer les actions suivantes, dans trois grandes catรฉgories (sรฉcuritรฉ, redirections et performance) :
- Mettre en place des redirections, quโelles soient temporaires (redirections 302) ou permanentes (redirections 301). Vous pouvez vous servir du .htaccess sur WordPress pour rediriger votre site du HTTP vers le HTTPS, par exemple.
- Bloquer lโaccรจs ร votre site web ร certaines adresses IP, ou rendre certains fichiers inaccessibles.
- Rรฉรฉcrire des URLs afin de faciliter le travail dโexploration et dโindexation des moteurs de recherche comme Google.
- Augmenter la taille maximale de tรฉlรฉchargement de fichiers autorisรฉe par WordPress.
- Personnaliser le contenu qui sโaffiche sur vos pages dโerreurs 404.
- Protรฉger certains rรฉpertoires par mot de passe.
- Activer la protection contre le hotlinking. Cette technique consiste ร utiliser lโURL dโune photo hรฉbergรฉe sur votre site vers un autre site, sans hรฉberger la photo sur un serveur pour รฉconomiser de la bande passante.
Pour commencer ร mettre en place les diffรฉrentes rรจgles de votre choix, il y a un prรฉalable : localiser votre fichier .htaccess sur WordPress. Explications dรฉtaillรฉes dans la partie suivante.
Oรน se trouve le fichier .htaccess dans WordPress ?
En rรจgle gรฉnรฉrale, WordPress crรฉe un fichier .htaccess lorsque vous installez le CMS sur votre serveur dโhรฉbergement.
Vous trouverez ce fichier .htaccess dans le dossier racine de votre site.
La racine, cโest le dossier de base de lโarborescence de votre site web. Celui qui contient tous vos rรฉpertoires et fichiers.
Il porte un nom diffรฉrent en fonction de lโhรฉbergeur que vous utilisez, comme dans les exemples ci-dessous :
- Chez OVH, il sโappelle www.
- Chez Kinsta, lโhรฉbergeur que nous recommandons, il porte le nom de public.
- Chez o2switch, il se nomme public_html.
Attention, il se peut aussi que vous localisiez des fichiers .htaccess ร lโintรฉrieur dโautres rรฉpertoires de votre site, et pas seulement ร la racine.
Pour accรฉder au dossier racine de votre site WordPress, vous pouvez soit passer par un client FTP (File Transfer Protocol), soit par lโinterface proposรฉe par votre hรฉbergeur (ex : cPanel).
Sur la capture ci-dessous, issue du client FTP appelรฉ Filezilla, vous pouvez remarquer la prรฉsence dโun fichier .htaccess :
Une fois identifiรฉ, vous pouvez รฉditer votre .htaccess. Dans la partie suivante, vous allez dรฉcouvrir 3 mรฉthodes pour y parvenir.
Comment modifier un fichier .htaccess sur WordPress ?
Prรฉrequis
Avant de vous jeter ร lโeau, il est important de respecter certaines rรจgles dโusage. Le fichier .htaccess de WordPress รฉtant trรจs puissant, vous devez le manipuler avec soin.
Par exemple, la moindre erreur de syntaxe dans le code fera planter votre site, en affichant une belle erreur 500.
Afin dโรฉviter cette mรฉsaventure, voici quelques conseils ร appliquer :
- Sauvegardez votre site (fichiers + base de donnรฉes) avant de configurer votre fichier .htaccess. Pour cela, servez-vous dโun plugin comme UpdraftPlus ou dโun outil de maintenance comme WP Umbrella.
- Copiez le fichier .htaccess actuel de votre site oรน vous le souhaitez (ex : sur votre Bureau) avant de le manipuler. En cas de problรจme, vous pourrez trรจs vite le restaurer.
- Ne menez pas vos tests sur un site web en production. Si possible, travaillez dโabord sur un environnement de test. Soit sur une installation locale ร lโaide dโun outil gratuit DevKinsta ou Local, soit sur un environnement de prรฉ-production. Si toutes vos directives sโappliquent correctement, vous pourrez ensuite tรฉlรฉcharger votre fichier .htaccess en ligne en toute quiรฉtude.
- Munissez-vous dโun รฉditeur de texte type Brackets ou Sublime Text. Cโest grรขce ร lui que vous รฉditerez le fichier .htaccess.
- Ajoutez vos directives aprรจs la ligne de commentaire # END WordPress, car le CMS pourra รชtre amenรฉ ร modifier le code gรฉnรฉrรฉ juste au-dessus.
Mรฉthode 1 : utiliser cPanel
Un premier moyen dโaccรฉder ร votre fichier .htaccess sur WordPress consiste ร passer par lโinterface proposรฉe par votre hรฉbergeur.
cPanel est lโune des plus populaires, raison pour laquelle nous allons nous intรฉresser ร elle pour commencer. Pour la marche ร suivre, suivez les รฉtapes ci-dessous :
- Connectez-vous ร votre cPanel ร lโaide des identifiants communiquรฉs par votre hรฉbergeur. En principe, vous les avez reรงus par email aprรจs avoir souscrit ร son offre dโhรฉbergement.
- Dans lโencart โFichiersโ, cliquez sur โGestionnaire de fichiersโ. Localisez votre dossier racine et double-cliquez dessus.
- Identifiez votre fichier .htaccess dans la liste. Pour lโรฉditer, faites un clic droit et cliquez sur โEditโ. Encore un peu de patience pour les directives ร ajouter, on y consacre une partie entiรจre un peu plus tard.
Il est possible que votre .htaccess ne soit pas visible. Pas de panique, rappelez-vous : il sโagit souvent dโun fichier cachรฉ. Il est quand mรชme possible de lโafficher en cliquant sur le bouton โParamรจtresโ, en haut ร droite de votre page. Dans la fenรชtre qui sโouvre en surbrillance, cliquez sur โAfficher les fichiers masquรฉs (dot files)โ. Votre .htaccess devrait normalement apparaรฎtre.
Mรฉthode 2 : se servir dโun client FTP
Votre hรฉbergeur ne propose pas de cPanel ? Ou vous ne souhaitez pas appliquer cette mรฉthode ?
Une deuxiรจme voie ร emprunter pour modifier votre fichier .htaccess consiste ร passer par un client FTP.
On en a briรจvement parlรฉ un peu avant, voici la mรฉthode technique pour vous dรฉbrouiller tout seul :
- Connectez-vous ร votre client FTP favori (Filezilla, Cyberduck, Transmit etc.) ร lโaide des identifiants fournis par votre hรฉbergeur. Vous avez besoin de 4 informations : lโhรดte de connexion, le port, un nom dโutilisateur et un mot de passe.
- Dirigez-vous ร la racine de votre site et double-cliquez dessus.
- Cherchez votre fichier .htaccess. Lorsque vous lโavez trouvรฉ, cliquez dessus pour le mettre en surbrillance, puis faites un clic droit. Sรฉlectionnez Afficher / รditer pour lโouvrir.
Mรฉthode 3 : lโusage dโun plugin dรฉdiรฉ
Enfin, accรฉder et modifier votre fichier .htaccess sur WordPress est possible grรขce ร lโusage dโun plugin. Lโavantage, ici, cโest que vous ne quittez pas votre tableau de bord WordPress pour effectuer vos modifications.
Plusieurs solutions sont ร votre disposition pour cela :
- Opter pour une extension spรฉcifique, comme Htaccess File Editor.
- Profiter dโune option proposรฉe par votre plugin SEO. Yoast SEO, Rank Math ou encore SEOPress Pro permettent par exemple dโรฉditer votre fichier .htaccess.
La marche ร suivre avec lโextension Htaccess File Editor est la suivante :
- Installez et activez lโextension via le menu Extensions > Ajouter.
- Dirigez-vous dans le menu Rรฉglages > WP Htaccess Editor.
- Entrez vos rรจgles de configuration. Vous pouvez les tester avant dโenregistrer, pour รฉviter tout problรจme (SEOPress Pro permet aussi cela), en cliquant sur le bouton โTest Before Savingโ. Si tout fonctionne, terminez en enregistrant vos changements (bouton โSave Changesโ).
Vous connaissez ร prรฉsent plusieurs mรฉthodes pour trouver et modifier votre fichier .htaccess sur WordPress.
Dans certains cas de figure plus rares, il se peut que vous ne disposiez pas de .htaccess (y compris si vous forcez lโaffichage des fichiers cachรฉs, comme nous lโavons vu).
Si vous faites face ร cette situation, vous devrez crรฉer votre fichier .htaccess de toutes piรจces.
Comment crรฉer un fichier .htaccess ?
Pour concevoir un nouveau fichier .htaccess, commencez par regรฉnรฉrer vos permaliens.
Pour cela, sur votre back office WordPress (interface d’administration), allez dans Rรฉglages > Permaliens. Et sauvegardez vos permaliens en cliquant sur le bouton โEnregistrer les modificationsโ :
Retournez sur votre client FTP ou votre interface cPanel et vรฉrifiez si le fichier.htaccess a fait son apparition (nโoubliez pas de forcer lโaffichage des fichiers cachรฉs si vous ne lโapercevez pas).
Vous nโarrivez toujours pas ร mettre la main dessus ? Il est temps de crรฉer votre .htaccess en partant de zรฉro.
Encore une fois, sauvegardez votre site web (fichiers + base de donnรฉes) avant de commencer et menez vos tests sur un environnement de test, justement (pas directement en production).
Pour cela, suivez les รฉtapes suivantes :
- Connectez-vous ร votre client FTP.
- Dans le dossier racine de votre site, faites un clic droit et sรฉlectionnez โCrรฉer un nouveau fichierโ. Nommez-le .htaccess.
- Ouvrez ce fichier avec votre รฉditeur de code et ajoutez-lui les rรจgles de configuration contenues dans une installation WordPress de base :
# BEGIN WordPress
RewriteEngine On
RewriteRule .* -
RewriteBase /
RewriteRule ^index\.php$ -
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php
# END WordPress
Si une erreur sโaffiche sur votre รฉcran, supprimez tous les ajouts effectuรฉs et sauvegardez de nouveau. En principe, tout devrait revenir ร lโรฉtat normal.
En principe, le mode de fonctionnement du fichier .htaccess nโa plus vraiment de secrets pour vous. Pour terminer, vous allez voir comment le paramรฉtrer ร votre guise, en lui ajoutant les directives de votre choix.
Comment configurer le fichier .htaccess de WordPress : 13 rรจgles pour lโoptimiser
Avant de commencer ร รฉditer votre fichier .htaccess, on vous rappelle une derniรจre fois quelques rรจgles de base (elles ne sont jamais de trop) :
- Sauvegardez votre site avant toute modification sur votre fichier .htaccess.
- Copiez le contenu de votre fichier .htaccess actuel dans un fichier texte, sur votre ordinateur.
- Ajoutez vos rรจgles de configuration sous les directives dรฉjร prรฉsentes dans votre fichier actuel.
Rรจgles .htaccess sur WordPress relatives ร la sรฉcuritรฉ
Empรชcher lโaccรจs au .htaccess
Grรขce au morceau de code ci-dessous, vous renforcerez la sรฉcuritรฉ de votre fichier WordPress .htaccess.
La personne souhaitant y accรฉder se verra afficher une erreur 403 :
# Sรฉcuriser le fichier .htaccess
<Files .htaccess>
Order allow,deny
Deny from all
</Files>
Empรชcher lโaccรจs ร un fichier spรฉcifique
Vous pouvez restreindre lโaccรจs ร un fichier spรฉcifique avec cette directive. Remplacez le nom du fichier prรฉsentรฉ dans le snippet (votrefichier.jpg) par le nom et lโextension de fichier de votre choix.
# Restreindre lโaccรจs ร un fichier
<files votrefichier.jpg>
Order allow,deny
Deny from all
</files>
Restreindre lโaccรจs au dossier wp-admin
Pour empรชcher une personne de se connecter ร votre interface dโadministration, crรฉez un nouveau fichier .htaccess que vous ajouterez dans le rรฉpertoire wp-admin de votre site web WordPress.
Puis ajoutez la directive suivante dans le fichier .htaccess (remplacez les croix de lโadresse IP factice par lโadresse IP autorisรฉe ร se connecter ร votre site) :
# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from xx.xx.xx.xx
</Limit>
Bloquer une adresse IP
Si vous รชtes victime de spam de la part dโune adresse IP prรฉcise, vous pouvez lui empรชcher dโaccรฉder ร votre site avec ce morceau de code.
Remplacez lโadresse IP factice proposรฉe dans le snippet par celle de votre choix :
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Dรฉsactiver lโaffichage du contenu des rรฉpertoires
Par dรฉfaut, les rรฉpertoires (et leur contenu) de votre site WordPress sont accessibles en tapant une simple URL dans votre navigateur. Cela pose un problรจme de sรฉcuritรฉ important, car nโimporte qui peut consulter et copier certaines informations de votre site. Sans parler de le pirater.
Afin dโรฉviter cela, copiez-collez le code suivant dans votre fichier .htaccess :
# Dรฉsactiver lโaffichage du contenu des rรฉpertoires
Options All -Indexes
Bloquer lโaffichage du fichier wp-config.php
# Protรฉger le fichier wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
รviter le spam de commentaires
Vous รชtes victime de nombreux commentaires spam vantant les mรฉrites de produits et autres sites douteux ? Copiez-collez ce morceau de code dans votre fichier .htaccess pour vous en dรฉbarrasser.
Remplacez votresite.com par le nom de votre site :
# รviter le spam de commentaires
<IfModule mod_rewrite.c>
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.votresite.com.*
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$
</IfModule>
Un bon conseil pour limiter le spam consiste aussi – et surtout – ร activer un plugin comme Akismet, prรฉsent par dรฉfaut sur toute nouvelle installation de WordPress.
Masquer les informations relatives au serveur
Grรขce ร cette directive, vous empรชcherez certaines pages dโafficher des informations permettant dโidentifier votre serveur.
# Masquer les informations relatives au serveur
ServerSignature Off
Directives pour crรฉer des redirections
Crรฉer une redirection 301
Une redirection permanente (redirection 301) redirige une URL A (ex : mapage.fr) vers une URL B (tapage.fr).
# Rediriger une page vers une autre
Redirect 301 /mapage.html https://www.yourwebsite.com/nouvellepage.html
Pour crรฉer des redirections, vous pouvez aussi vous servir du plugin รฉponyme : Redirection.
Rediriger un domaine en www vers un domaine sans www
Servez-vous de ce code pour rediriger un site en www (ex : www.maintenancewp.fr) vers un site sans www (ex : maintenancewp.fr).
Remplacez supersite.com par le nom de domaine de votre choix :
# Rediriger vers un nom de domaine sans www
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.supersite\.com
RewriteRule ^(.*)$ http://supersite.com/$1
Rediriger un domaine sans www vers un domaine avec www
A contrario, il est possible de rediriger un nom de domaine sans www vers un nom de domaine avec www.
Pensez toujours ร remplacer supersite.com par votre nom de domaine :
# Redirection du site sans www vers www
RewriteEngine On
RewriteCond %{HTTP_HOST} ^supersite.com
RewriteRule ^(.*)$ http://www.supersite.com/$1
Rediriger vers le HTTPS
La directive suivante forcera vos visiteurs ร naviguer sur la version en HTTPS de votre site.
Au prรฉalable, vous devez avoir activรฉ un certificat SSL, la plupart du temps proposรฉ gratuitement par votre hรฉbergeur :
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
</IfModule>
Rรจgles pour amรฉliorer les performances
Empรชcher le hotlinking de vos images
Lorsque vous รชtes victime de hotlinking, une personne mal intentionnรฉe copie lโURL dโune image de votre site pour lโafficher sur le sien sans avoir ร tรฉlรฉcharger lโimage dans sa Mรฉdiathรจque (entre autres).
Problรจme ? Pour afficher cette image, cโest ร votre serveur dโhรฉbergement quโil est fait appel. Du coup, vous consommez plus de bande passante, ce qui peut ralentir la vitesse de chargement des pages de votre site ou de vos sites.
Pour รฉviter ce dรฉsagrรฉment, entrez ce code dans votre fichier .htaccess (remplacez votresite.com par votre nom de domaine) :
# Empรชcher le hotlinking de vos images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?votresite.com
RewriteRule \.(jpg|jpeg|png|gif)$ -
Pour aller plus loin et dรฉcouvrir dโautres directives, on vous recommande les ressources et sites suivants :
- La documentation officielle de WordPress.
- La ressource Trucs stupides sur le .htaccess du dรฉveloppeur amรฉricain Jeff Starr, spรฉcialiste de WordPress et du fichier .htaccess.
- Le site .htaccess Generator, pour gรฉnรฉrer automatiquement des directives pour votre fichier .htaccess.
Rรฉcapitulatif
Correctement utilisรฉ, le fichier .htaccess de WordPress est un outil trรจs puissant pour renforcer la sรฉcuritรฉ, crรฉer des redirections, ou encore amรฉliorer la performance de votre site.
Tout au long de ces lignes, vous avez dรฉcouvert les รฉlรฉments suivants :
- Quโest-ce quโun fichier .htaccess et son utilitรฉ.
- Comment localiser ce fichier et le modifier.
- Comment crรฉer un .htaccess en partant de zรฉro.
- Les bonnes pratiques pour manipuler le fichier .htaccess.
- Des rรจgles pour configurer des fonctionnalitรฉs supplรฉmentaires sur votre serveur.
Sur WordPress, configurer un fichier .htaccess nโest pas sans risques. Vous devez prรชter attention ร la syntaxe, et surtout vous couvrir en prenant des prรฉcautions dโusage avant dโagir (ex : sauvegarde de votre site).
Malgrรฉ tout cela, une erreur sโaffiche aprรจs avoir รฉditรฉ votre fichier chez vous ? Ou vous souhaitez simplement รชtre guidรฉ dans la configuration de ce fichier clรฉ ?
Rapide, professionnelle et efficace, lโรฉquipe dโexperts de Maintenance WP se tient ร votre disposition 7 jours/7 pour vous accompagner sur-mesure. Contactez-nous pour en savoir plus.
