Quelques unes de ses caractéristiques sont :

• Cross-browser (même IE6),
• HTML5-ready,
• Règles de mise en cache et d’optimisation,
• Optimisations pour mobiles,
• …

Un véritable concentré de bonnes pratiques !

Lien :

• HTML5 Boilerplate

Il vous suffit de selectionner les pays à bannir dans une liste :

Et en cliquant sur « générer » vous obtenez les règles de votre fichier .htaccess afin de bannir leurs adresses IP.

Lien :

• Block Unwanted Traffic By Country

1. forcer la présence du www
2. dans le cas ou vous possédez, par exemple, à la fois le .com et le .fr, effectuer une redirection vers l’un des deux domaines.

[text]
RewriteEngine on

# Redirection le domaine principal : www.mon-domaine.com/
RewriteCond %{HTTP_HOST} ^mon-domaine.com$ [OR]
RewriteCond %{HTTP_HOST} ^(www\.)?mon-domaine.fr$
RewriteRule ^(.*) http://www.mon-domaine.com/$1 [QSA,L,R=301]
[/text]

Reporter vous à ce petit guide si vous souhaitez en savoir plus sur les possibilités des fichiers .htaccess.

Non ? Tant pis

En tout cas, celui-ci précisait comment se protéger vous du hotlinking.

Et bien voici un plugin WordPress, bien plus complet pour surveiller les « voleurs de contenu »

Le petit plus par rapport à des simples règles mises dans le htaccess ?

La possibilité de gérer au cas par cas les autorisations ou interdiction de « hotlinker » votre contenu.

Celui-ci s’administre très facilement depuis l’interface d’administration :

A vous de tester

Lien :

• PictPocket : un plugin WordPress qui identifie et bloque les voleurs de contenu.

Un peu de sécurité tout d’abord.

Interdire le listage de vos répertoires

[plain]
Options All -Indexes
[/plain]

Limiter l’accès au répertoire wp-admin à votre adresse IP

Si vous avez une adresse IP fixe, autant l’utiliser et limiter l’accès au répertoire d’administration à vous seul (fichier à placer dans le répertoire wp-admin).

[plain]
order deny,allow
allow from xxx.xxx.xxx.xxx
deny from all
[/plain]

Protéger l’accès au fichier wp-config.php

Parce qu’il s’agit du fichier où se trouve notamment les paramètres de connexion à votre base de données, il vaut mieux protéger son accès.

[plain]
<files wp-config.php>
order allow,deny
deny from all
</files>
[/plain]

Un peu d’optimisation ensuite.

Protéger vous du hotlinking (voir cet article pour explications)

[plain]
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+.)?votresite.fr/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/hotlink.jpg [L]
[/plain]

Un élément que j’ai omis dans cet article, c’est son utilisation contre le hotlinking.

Une petite définition pour commencer :

Hotlinking :
Le direct linking ou hotlinking consiste à utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog, dans un forum, etc. En d’autres termes, au lieu d’enregistrer l’image et de l’installer sur son propre serveur web, le hotlinkeur crée un lien direct vers le serveur d’origine.

Source : Wikipedia

Autrement dit, le souci est que la bande passante de votre serveur peut-être utilisée pour d’autres sites internet que le votre…

Une solution consiste à manipuler un fichier .htaccess et à y préciser que les images de votre site ne pourront être afficher QUE sur votre site (reconnu par le nom de domaine).

Ci-dessous les règles qui permettent d’afficher une image différente lorsque la demande est faite par un autre nom de domaine que celui de votre site.

[plain]
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+.)?votresite.fr/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/hotlink.jpg [L]
[/plain]

Vous pouvez ici agrandir votre liste des extensions d’images à bloquer.

Empêcher le « listage » d’un répertoire.

[plain]
# disable directory browsing
Options All -Indexes
[/plain]

Définir la page par défaut d’un répertoire.

[plain]
# default page
DirectoryIndex index.html
[/plain]

Gérer les « erreurs ».

[plain]
# file not found
ErrorDocument 404 /error404.html
[/plain]

Protéger le fichier htaccess.

[plain]
# protect the htaccess file
<files .htaccess>
order allow,deny
deny from all
</files>
[/plain]

Mise en cache de certains fichiers et date d’expiration.

[plain]
# Expires headers
<IfModule mod_expires.c>

ExpiresActive on

# 1 YEAR
<FilesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|swf|mp3|mp4)$">
Header set Cache-Control "public"
Header set Expires "Thu, 15 Apr 2010 20:00:00 GMT"
Header unset Last-Modified
</FilesMatch>

# 2 HOURS
<FilesMatch "\.(html|htm|xml|txt|xsl)$">
Header set Cache-Control "max-age=7200, must-revalidate"
</FilesMatch>

# CACHED FOREVER
# MOD_REWRITE TO RENAME EVERY CHANGE
<FilesMatch "\.(js|css)$">
Header set Cache-Control "public"
Header set Expires "Thu, 15 Apr 2010 20:00:00 GMT"
Header unset Last-Modified
</FilesMatch>

</IfModule>
[/plain]

Gzipper certains fichiers.

[plain]
<IfModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes

mod_gzip_item_include file \.(html?|txt|css|js)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text\.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image\.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</IfModule>
[/plain]

URL Rewriting.

Les fichiers .htaccess permettent également de faire de l’URL Rewriting (sujet traité ici).

Conclusion :

Voici un site internet qui permet de créer en ligne son fichier .htaccess : htaccesseditor.com (ndlr : n’essayer pas de changer de langue sur ce site…)

Lien :

• Documentation Apache.

Ce sont tout simplement des règles de réécriture des adresses web classiques en URL plus « conviviales ».


Un exemple concret : la page qui permet la visualisation des informations d’un compte (nom, prénom, mot de passe, …).

A la base l’arrivée sur celle-ci est du style :

[html]
profile.php?id=devzonefr
[/html]

Traduction, on passe en GET l’identifiant du compte (ici la chaine « devzonefr ») à visualiser à notre page qui s’appelle profil.php.

Et maintenant si l’on veut une URL plus sympa genre :

[html]
users/devzonefr
[/html]

Voila qui parait plus joli non ?

Bref, pour ce faire, ca se passe dans le fichier .htaccess, qui est un fichier qui permet de « manipuler » la configuration du serveur apache.

[html]
# URL REWRITING
&lt;IfModule mod_rewrite.c&gt;
# Enables the runtime rewriting engine
RewriteEngine On

# Rewriting
RewriteRule ^users/(\d+)*$ ./profile.php?id=$1
&lt;/IfModule&gt;
[/html]

Explications :

• Nous vérifions d’abord par la ligne <IfModule mod_rewrite.c> que le module apache qui permet l’URL REWRITING est bien activé sur le serveur (cf mod_rewrite dans le fichier httpd.conf),
• Ensuite nous activons la réécriture grâce à RewriteEngine On,
• Enfin nous créons notre règle avec des lignes commençant par RewriteRule.

Ici, il faut utiliser des expressions régulières pour créer ses règles.

Liens :

• Le module rewrite sur le site d’apache.