wOueb by Romain DECKER / Another IT Guy Blog

Parmi la multitude de fonctionnalités qu’offrent les fichiers .htaccess, il est possible de restreindre l’accès à un répertoire par un mot de passe.

Cette technique est relativement connue et bien documentée, mais faire un article me permettra de retrouver rapidement la syntaxe exacte la prochaine fois que je chercherai.

Protection d'un répertoire avec un mot de passe sur Apache

Ce n’est pas mon premier article sur .htaccess, j’avais notamment expliqué comment empêcher le listage des répertoires, comment faire une page de maintenance avec un fichier .htaccess, restreindre l’accès à un répertoire par adresse IP, etc.

(suite…)

Les méthodes habituelles de mise à jour de WordPress sont éprouvées et fonctionnent très bien. Je reproche seulement aux protocoles FTP et/ou SCP/sFTP une certaine « lenteur » pour transférer tous les fichiers jusqu’au serveur d’hébergement.

Si vous avez comme moi un accès SSH, vous pourrez économiser plusieurs minutes à chaque mise à jour (à moins d’utiliser un système de mise à jour automatique).

Une fois connecté en SSH, très simplement :

0. Faites un backup de vos fichiers et de votre base de données

(1). Si vous le désirez, vous pouvez protéger votre blog avec un fichier .htaccess pour que seul vous-même puissiez accéder à l’interface d’administration pendant le processus de mise à jour (facultatif)

2. Créez-vous un répertoire de travail au même niveau que votre racine

Exemple : si /home/chemin/www est votre racine d’hébergement, créez un répertoire /home/chemin/wordpress

mkdir /home/chemin/wordpress

2. Téléchargez directement l’archive sur le serveur sans passer par votre PC

wget http://fr.wordpress.org/wordpress-2.7-fr_FR.zip

3. Décompressez le fichier dans le répertoire nouvellement créé

unzip wordpress-2.7-fr_FR.zip

4. Copier les nouveaux fichiers dans votre racine

cp * -R /home/chemin/www/

Note : l’option -R vous permet de faire la copie récursivement (comprendre sur tous les répertoires ET sous-répertoires).

5. Accédez à votre interface d’administration et poursuivez le processus de mise à jour

Attention :

• cette technique est risquée pour une personne qui n’est pas à l’aise sur un serveur Linux,
• peu d’hébergements ont un accès SSH : seuls les serveurs dédiés, partitions virtuelles, ou certains gros hébergements mutualisés le proposent.

Voilà !

Qu’en pensez-vous ? Moi j’utilise ce système depuis 2 ans maintenant, et je n’ai jamais eu de problèmes. ^^

Une pratique assez courante pour protéger un site est de restreindre le listing des répertoires : en effet, si le listing n’est pas interdit, voilà ce que vous pouvez retrouver en tentant d’afficher un répertoire n’ayant pas de fichier index.

Il était coutume de mettre un fichier index.html vide à la racine de chaque répertoire pour empêcher ce listing ; cependant, il existe un paramètre de configuration Apache à placer dans le fichier .htaccess.

(suite…)

Et oui, malheureusement, ça peut arriver…

Replaçons le contexte : vendredi soir, 23 heures, Bastien m’annonce que je me suis fait hacker mon blog (merci à Jennifer de l’avoir découvert). En effet, on retrouve un script PHP sur la page d’abonnement, script qui n’a rien à faire là.

Le résultat sur ma page "Abonnez-vous"

Alors, que s’est-il réellement passé ? Véritable hackeur ? Petit farceur ? Script-kiddies ? Vous en saurez plus dans la suite de l’article !

(suite…)

Trois…oui, trois, c’est le nombre de fois que d’autres sites/blogs ont utilisé des images originales tirées de wOueb 2.0 au cours du dernier mois : le problème, c’est qu’ils les ont liées directement, et moi j’aime pas ça (non, non, je ne suis pas maniaque !).

Une protection grâce à un fichier .htaccess permet de combattre ce « squattage sauvage« .

Première solution : bloquer tous les accès aux images qui sont directement intégrés à d’autres sites.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?woueb.net/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|png)$ – [F]

Pour ceux qui n’ont pas fait de « Bac, option fichiers .htaccess » : pour tous les fichiers images du site www.woueb.net (et/ou woueb.net sans le www), bloquer l’accès depuis les autres sites.

Autre solution, plus sadique :?????? vous pouvez remplacer n’importe quel média par un fichier de votre choix !
La syntaxe est la même, sauf pour la dernière directive qui remplace l’image par une autre, plutôt d’en bloquer l’accès.

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?woueb.net/.*$ [NC]
RewriteRule \.(gif|jpg|jpeg|png)$ http://www.woueb.net/images/logo_woueb.gif [R,L]

Voili !

• Mon prochain écran sera incurvé et aura une résolution de 2880 x 990,
• Séparer les commentaires des trackbacks dans WordPress (ainsi que leurs compteurs),
• Éditez vos documents PDF en ligne,
• Interdire le hotlinking d’images via un fichier .htaccess,
• [sondage] Accordez-vous de l’importance au design des blogs que vous lisez,
• Twitter Toolset : 50 applications, hacks et guides pour Twitter,
• Interview de Daniel Burka, co-fondateur de Pownce,
• HTML 5 : quels impacts sur le référencement,
• 3 Must Apply Security Tips for WordPress.