Restreindre l’accès à un répertoire par mot de passe avec un fichier htaccess sur Apache

Parmi la multitude de fonctionnalités qu’offrent les fichiers .htaccess, il est possible de restreindre l’accès à un répertoire par un mot de passe.

Cette technique est relativement connue et bien documentée, mais faire un article me permettra de retrouver rapidement la syntaxe exacte la prochaine fois que je chercherai. ;)

Protection d'un répertoire avec un mot de passe sur Apache

Protection d'un répertoire avec un mot de passe sur Apache

Ce n’est pas mon premier article sur .htaccess, j’avais notamment expliqué comment empêcher le listage des répertoires, comment faire une page de maintenance avec un fichier .htaccess, restreindre l’accès à un répertoire par adresse IP, etc.

(suite…)

Une mise à jour de WordPress en 30 secondes

Les méthodes habituelles de mise à jour de WordPress sont éprouvées et fonctionnent très bien. Je reproche seulement aux protocoles FTP et/ou SCP/sFTP une certaine « lenteur » pour transférer tous les fichiers jusqu’au serveur d’hébergement.

Si vous avez comme moi un accès SSH, vous pourrez économiser plusieurs minutes à chaque mise à jour (à moins d’utiliser un système de mise à jour automatique).

Une fois connecté en SSH, très simplement :

0. Faites un backup de vos fichiers et de votre base de données

(1). Si vous le désirez, vous pouvez protéger votre blog avec un fichier .htaccess pour que seul vous-même puissiez accéder à l’interface d’administration pendant le processus de mise à jour (facultatif)

2. Créez-vous un répertoire de travail au même niveau que votre racine

Exemple : si /home/chemin/www est votre racine d’hébergement, créez un répertoire /home/chemin/wordpress

mkdir /home/chemin/wordpress

2. Téléchargez directement l’archive sur le serveur sans passer par votre PC

wget http://fr.wordpress.org/wordpress-2.7-fr_FR.zip

3. Décompressez le fichier dans le répertoire nouvellement créé

unzip wordpress-2.7-fr_FR.zip

4. Copier les nouveaux fichiers dans votre racine

cp * -R /home/chemin/www/

Note : l’option -R vous permet de faire la copie récursivement (comprendre sur tous les répertoires ET sous-répertoires).

5. Accédez à votre interface d’administration et poursuivez le processus de mise à jour

Attention :

  • cette technique est risquée pour une personne qui n’est pas à l’aise sur un serveur Linux,
  • peu d’hébergements ont un accès SSH : seuls les serveurs dédiés, partitions virtuelles, ou certains gros hébergements mutualisés le proposent.

Voilà !

Qu’en pensez-vous ? Moi j’utilise ce système depuis 2 ans maintenant, et je n’ai jamais eu de problèmes. ^^

Empêcher le listing des répertoires avec un fichier .htaccess

Une pratique assez courante pour protéger un site est de restreindre le listing des répertoires : en effet, si le listing n’est pas interdit, voilà ce que vous pouvez retrouver en tentant d’afficher un répertoire n’ayant pas de fichier index.

Listing d'un répertoire

Il était coutume de mettre un fichier index.html vide à la racine de chaque répertoire pour empêcher ce listing ; cependant, il existe un paramètre de configuration Apache à placer dans le fichier .htaccess.

(suite…)

Comment je me suis fait hacker mon blog….

Et oui, malheureusement, ça peut arriver… :(

Replaçons le contexte : vendredi soir, 23 heures, Bastien m’annonce que je me suis fait hacker mon blog (merci à Jennifer de l’avoir découvert). En effet, on retrouve un script PHP sur la page d’abonnement, script qui n’a rien à faire là.

Hack WordPress

Le résultat sur ma page "Abonnez-vous"

Alors, que s’est-il réellement passé ? Véritable hackeur ? Petit farceur ? Script-kiddies ? Vous en saurez plus dans la suite de l’article ! ;)

(suite…)

Combattre le hotlinking d’images avec un fichier .htaccess

Trois…oui, trois, c’est le nombre de fois que d’autres sites/blogs ont utilisé des images originales tirées de wOueb 2.0 au cours du dernier mois : le problème, c’est qu’ils les ont liées directement, et moi j’aime pas ça (non, non, je ne suis pas maniaque !). :)

Une protection grâce à un fichier .htaccess permet de combattre ce « squattage sauvage« .

Première solution : bloquer tous les accès aux images qui sont directement intégrés à d’autres sites.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?woueb.net/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|png)$ – [F]

Pour ceux qui n’ont pas fait de « Bac, option fichiers .htaccess » : pour tous les fichiers images du site www.woueb.net (et/ou woueb.net sans le www), bloquer l’accès depuis les autres sites.

Autre solution, plus sadique :?????? vous pouvez remplacer n’importe quel média par un fichier de votre choix !
La syntaxe est la même, sauf pour la dernière directive qui remplace l’image par une autre, plutôt d’en bloquer l’accès.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?woueb.net/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|png)$ http://www.woueb.net/images/logo_woueb.gif [R,L]

Voili !

En vrac #28