Htacces – robots.txt et plugins WordPress

La sécurité est la première des priorités. Avant d’avoir le meilleur référencement ou le plus beau des design, vous devez vous assurer de la sécurité et de la stabilité de votre système, une fois n’est pas coutume ils vous faut prendre plusieurs critères en compte.

les bonnes pratiques.

Pour commencer sachez que la majeures parti des “piratages” sont dut à des erreurs humaines, session non clôturer, mot de passe récurant et/ou partager avec un tier.

Chaque administrateurs de votre site doit posséder sont accès propres nominatif et unique, les mots de passes doivent impérativement être une combinaison de minuscules, majuscules et chiffres, les caractères spéciaux sont aussi les bienvenue.

Mises à jour régulières.

Les CMS, propose des mises à jours régulière à vous d’en profiter, elle affecte en priorité les fonctions de sécurité de votre sites, pour éviter aux utilisateurs mal intentionnés de prendre la main sur vos données. Les plugins de votre site ainsi que vos designs doivent aussi être mis à jours. Concernant les plugins il est fortement recommandé de porter attention au rythme des mises à jours de vos plugins quand vous décider d’en ajouter. Ces derniers peuvent être la porte d’entrer d’injection, ou autres manœuvres destiné à vous prendre la main sur votre site, pour y ajouter du contenu à votre insu.

les fichiers .htacces et robots.txt.

Vous devez aussi effectuer certains opérations essentielles dans la configuration de votre serveur, pour simplifier et éviter les configuration propres au différents hébergeurs, nous nous concentreront sur les fichiers .htacces et robots.txt.

Le fichiers htaccess est primordial aussi bien pour le référencement, la sécurité et les performances. La syntaxe est relativement simple, à mettre en place.

A lire  évaluation et design wordpress

Google recommande d’utiliser des URL lisible, contenant des mots identifiables par vos visiteurs plutôt qu’une succession de caractères abscons. Pour ce faire rendez vous dans les réglages wordpress>permaliens. Normalement vous n’aurez pas à ajouter de code WordPress le fera pour vous en créant le fichiers .htaccess mais si le réglage sus nommés défaille, c’est probablement du fait de l’absence d’un .htaccess à la racine de votre site web contenant le code suivant.

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Mise en cache navigateur

Concernant les performances vous pouvez ajouter le code suivant pour réger la mise en cache de vos données. ce qui économiseras de la bande passante pour vos visiteurs réguliers.

## EXPIRES CACHING ##
<IfModule mod_expires.c>
 ExpiresActive on ExpiresByType text/css "access plus 1 year" ExpiresByType image/vnd.microsoft.icon "access plus 1 year" ExpiresByType image/x-icon "access plus 1 year" ExpiresByType application/javascript "access plus 1 year" ExpiresByType application/x-javascript "access plus 1 year" ExpiresByType text/javascript "access plus 1 year" ExpiresByType audio/ogg "access plus 1 month" ExpiresByType image/bmp "access plus 1 month" ExpiresByType image/gif "access plus 1 month" ExpiresByType image/jpeg "access plus 1 month" ExpiresByType image/png "access plus 1 month" ExpiresByType image/svg+xml "access plus 1 month" ExpiresByType image/webp "access plus 1 month" ExpiresByType video/mp4 "access plus 1 month" ExpiresByType video/ogg "access plus 1 month" ExpiresByType video/webm "access plus 1 month" ExpiresByType application/vnd.ms-fontobject "access plus 1 month" ExpiresByType font/eot "access plus 1 month" ExpiresByType font/opentype "access plus 1 month" ExpiresByType application/x-font-ttf "access plus 1 month" ExpiresByType application/font-woff "access plus 1 month" ExpiresByType application/x-font-woff "access plus 1 month" ExpiresByType font/woff "access plus 1 month" ExpiresByType application/font-woff2 "access plus 1 month"
</IfModule>
<ifModule mod_deflate.c>
<IfModule mod_setenvif.c> <IfModule mod_headers.c> SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding </IfModule> </IfModule>
</ifModule>
## EXPIRES CACHING ##

Compression des transferts

La compression des données et aussi pertinente que performante car elle vous feras économiser prés de 80% de bande passante en moyenne.

<IfModule mod_mime.c> AddType application/javascript js AddType audio/mp4 f4a f4b m4a AddType audio/ogg oga ogg opus AddType image/bmp bmp AddType image/svg+xml svg svgz AddType image/webp webp AddType video/mp4 f4v f4p m4v mp4 AddType video/ogg ogv AddType video/webm webm AddType video/x-flv flv AddType image/x-icon cur ico AddType application/font-woff woff AddType application/font-woff2 woff2 AddType application/vnd.ms-fontobject eot AddType application/x-font-ttf ttc ttf AddType font/opentype otf</IfModule><IfModule mod_mime.c>
# Ignorer les navigateurs problématique
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSI[E] !no-gzip !gzip-only-text/html

# Valider l'user-agent
Header append Vary User-Agent env=!dont-vary
</IfModule>

Sécurité

Et pour finir on bloque l’accès aux connections libwww-perl, souvent utilisé par les malware, et inutile pour la majeures partie des site web.

<IfModule mod_expires.c>
RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* – [F,L]
</ifModule>

Duré de validité des ressources dans le cache navigateur

Pour permettre un affichage rapide des pages lors de la navigation des visiteurs il est recommandé de ne pas re-télécharger des fichiers déjà acquis part vos visiteurs. A cette fin il faut définir une période de validité pour vos fichiers.

<IfModule mod_expires.c>
    ExpiresActive on
    ExpiresByType text/css                              "access plus 1 year"
    ExpiresByType image/vnd.microsoft.icon              "access plus 1 year"
    ExpiresByType image/x-icon                          "access plus 1 year"
    ExpiresByType application/javascript                "access plus 1 year"
    ExpiresByType application/x-javascript              "access plus 1 year"
    ExpiresByType text/javascript                       "access plus 1 year"
    ExpiresByType audio/ogg                             "access plus 1 month"
    ExpiresByType image/bmp                             "access plus 1 month"
    ExpiresByType image/gif                             "access plus 1 month"
    ExpiresByType image/jpeg                            "access plus 1 month"
    ExpiresByType image/png                             "access plus 1 month"
    ExpiresByType image/svg+xml                         "access plus 1 month"
    ExpiresByType image/webp                            "access plus 1 month"
    ExpiresByType video/mp4                             "access plus 1 month"
    ExpiresByType video/ogg                             "access plus 1 month"
    ExpiresByType video/webm                            "access plus 1 month"
    ExpiresByType application/vnd.ms-fontobject         "access plus 1 month"
    ExpiresByType font/eot                              "access plus 1 month"
    ExpiresByType font/opentype                         "access plus 1 month"
    ExpiresByType application/x-font-ttf                "access plus 1 month"
    ExpiresByType application/font-woff                 "access plus 1 month"
    ExpiresByType application/x-font-woff               "access plus 1 month"
    ExpiresByType font/woff                             "access plus 1 month"
    ExpiresByType application/font-woff2                "access plus 1 month"
</IfModule>

Robots.txt

Le robots.txt va lui bloques l’accès ou au fichier sensible de votre système ici aussi la syntaxe et sommaire.

User-agent: *

# On empéche l'indexation des dossiers sensibles
Disallow: /cgi-bin
Disallow: /wp-login.php
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /category/*/*
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Disallow: /*?
# On empéche l'indexation des fichiers sensibles
User-agent: Googlebot
Disallow: /wp-admin
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.gz$
Disallow: /*.swf$
Disallow: /*.wmv$
Disallow: /*.cgi$
Disallow: /*.xhtml$
# Autoriser Google Image
User-agent: Googlebot-Image
Disallow:
Allow: /*
# Autoriser Google AdSense
User-agent: Mediapartners-Google*
Disallow:
Allow: /*
# On indique au spider le lien vers notre sitemap
Sitemap: http://www.occitaweb.fr/sitemap.xml //à remplacer par votre site map

les plugins anti spam.

banner-772x250Pour bloquer les spams wordpress propose par défault askimet, dont les performance sont tout à fait acceptable et la configuration simplissime. vous pouvez aussi utiliser des service comme cloudflare mais il vous faudrat modifier les réglages dns de votre serveur ce qui peut être contraignant voir impossible. Cloudflare propose une plugins pour wordpress disponible ici.

A lire  PHP

Le plugins Anti-spam et aussi une solutions si vous n’êtes pas satisfait d’askimet, relativement récent, il propose un système de filtrage performant sans recours au captcha, pour ne pas perturber les interactions avec les visiteurs.

bien entendu d’autres solutions sont disponible et je n’ai pas tester tout les plugins du marché, si vous souhaitez partager votre outils ou vos code favori n’hésitez pas à laisser des commentaires.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

© 2018 Occitaweb formation WordPress et média sociaux