Guide du débutant à .htaccess: Aide-mémoire complet, exemples et meilleures pratiques

.htaccess est un simple fichier texte qui vous permet de contrôler la façon dont votre serveur web traite les requêtes. Initialement conçu pour gérer l'accès aux répertoires, il remplit désormais de nombreuses autres fonctions.

Ce guide n'est pas une plongée en profondeur dans .htaccess mais plutôt une introduction pratique avec une collection d'extraits de code utiles. .htaccess est puissant, mais cela ne signifie pas que vous devez l'utiliser à tout prix. Comprendre quand et comment l'appliquer peut améliorer la sécurité, les performances et les fonctionnalités de votre site web.

Quel est .htaccess?

Le .htaccess fichier, abréviation de « accès hypertexte », est un fichier de configuration principalement utilisé sur Apache serveurs. Il permet aux utilisateurs de contrôler les autorisations d'accès, de protéger les répertoires par mot de passe, de configurer des redirections, de personnaliser les pages d'erreur et de bloquer des adresses IP spécifiques.

Associé à un fichier .htpasswd, il permet un contrôle précis de l'accès aux répertoires pour plusieurs utilisateurs. De nombreux hébergeurs le prennent en charge. .htaccess, mais ce n’est pas universel : certains serveurs Web, comme Nginx, utilisent des méthodes différentes.

Où trouver votre .htaccess Fichier?

Par défaut, le .htaccess Le fichier est masqué dans le gestionnaire de fichiers de cPanel et d'autres panneaux de contrôle d'hébergement. Vous pouvez le révéler en activant l'option « Afficher les fichiers masqués » dans les paramètres de votre gestionnaire de fichiers.

Si vous ne trouvez pas le fichier, pas de panique ! Il n'existe peut-être pas encore. Dans la plupart des cas, il devrait se trouver dans le répertoire racine de votre site web, généralement nommé public_html ou www. Si vous gérez plusieurs sites web sous le même compte d'hébergement, chaque site peut avoir son propre répertoire. .htaccess fichier dans son dossier respectif.

La plupart des fichiers système commençant par un point (.) sont masqués. Si votre .htaccess le fichier n'est pas visible, vérifiez vos paramètres d'hébergement ou créez-en un manuellement dans un éditeur de texte.

.htaccess Aide-mémoire et exemples de code

Si .htaccess peut faire beaucoup, connaître les bonnes commandes est essentiel. Pour vous simplifier la tâche, nous avons compilé une aide-mémoire avec les commandes les plus courantes. .htaccess règles. Que vous ayez besoin de bloquer les robots malveillants, de forcer HTTPS, personnalisez les pages d'erreur ou améliorez le référencement, vous trouverez ci-dessous des extraits de code prêts à l'emploi.

Copiez-les, collez-les et ajustez-les selon vos besoins. C'est parti !

NoteVeuillez vérifier les règles avant de les utiliser. Nous déclinons toute responsabilité en cas de problème ; utilisez-les à vos propres risques. De plus, la plupart des règles exigent RewriteEngine On directive dans votre .htaccess fichier pour fonctionner correctement.

Règles de réécriture et de redirection

Répondre à toutes les demandes avec une seule réponse PHP Fichier avec .htaccess

RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([^?]*)$ /index.php [NC,L,QSA]

WordPress .htaccess pour les liens permanents avec .htaccess

(Il s'agit de la seule règle de cette section qui inclut la règle RewriteEngine on.)

# BEGIN WordPress
<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Forcer www avec .htaccess

RewriteEngine on
RewriteCond %{HTTP_HOST} ^example\.com [NC]
RewriteRule ^(.*)$ https://www.example.com/$1 [L,R=301,NC]

Forcer www de manière générique avec .htaccess

RewriteCond %{HTTP_HOST} !^$
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteCond %{HTTPS}s ^on(s)|
RewriteRule ^ http%1://www.%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Forcer le non-www avec .htaccess

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.example\.com [NC]
RewriteRule ^(.*)$ https://example.com/$1 [L,R=301]

Forcer le non-www de manière générique avec .htaccess

RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.
RewriteCond %{HTTPS}s ^on(s)|off
RewriteCond http%1://%{HTTP_HOST} ^(https?://)(www\.)?(.+)$
RewriteRule ^ %1%3%{REQUEST_URI} [R=301,L]

Force HTTPS au .htaccess

Utilisez ceci pour rediriger les non HTTPS demandes à un HTTPS demande. C'est-à-dire que si vous allez sur https://example.com/, il sera redirigé vers https://example.com.

RewriteEngine on
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Force HTTPS Derrière un proxy avec .htaccess

Utile si vous avez un proxy devant votre serveur effectuant la terminaison TLS.

RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Forcer la barre oblique finale avec .htaccess

Utilisez le suivi .htaccess Règle permettant de rediriger toutes les URL vers la même URL (avec une barre oblique finale) pour toute requête ne se terminant pas par une barre oblique finale. Par exemple, rediriger de https://exemple.com/votre-page vers https://exemple.com/votre-page/

RewriteCond %{REQUEST_URI} /+[^\.]+$
RewriteRule ^(.+[^/])$ %{REQUEST_URI}/ [R=301,L]

Supprimer la barre oblique finale avec .htaccess

Utilisez ceci pour supprimer toute barre oblique de fin (cela redirigera 301 vers l'URL sans barre oblique de fin)

RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)/$ /$1 [R=301,L]

Rediriger une seule page avec .htaccess

Rediriger une URL unique vers un nouvel emplacement

Redirect 301 /oldpage.html https://www.yoursite.com/newpage.html
Redirect 301 /oldpage2.html https://www.yoursite.com/folder/

Alias ​​un répertoire unique avec .htaccess

RewriteEngine On
RewriteRule ^source-directory/(.*) target-directory/$1

Chemins d'alias vers le script avec .htaccess

RewriteEngine On
RewriteRule ^$ index.fcgi/ [QSA,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.fcgi/$1 [QSA,L]

Cet exemple a un index.fcgi fichier dans un répertoire, et toutes les requêtes dans ce répertoire qui ne parviennent pas à résoudre un nom de fichier/répertoire seront envoyées au index.fcgi script. C'est bien si vous voulez baz.foo/some/cool/path être traité par baz.foo/index.fcgi (qui prend également en charge les demandes de baz.foo) tout en maintenant baz.foo/css/style.css etc.

Rediriger un site entier avec .htaccess

Utilisez le suivant .htaccess règle pour rediriger un site entier vers un nouvel emplacement/domaine

Redirect 301 / https://newsite.com/

De cette façon, les liens sont intacts. www.oldsite.com/some/crazy/link.html deviendra www.newsite.com/some/crazy/link.html. Ceci est extrêmement utile lorsque vous « déplacez » simplement un site vers un nouveau domaine.

Alias ​​​​des URL « propres » avec .htaccess

Cet extrait vous permet d'utiliser des « URL propres » — celles sans PHP extension, par exemple example.com/users au lieu de example.com/users.php.

RewriteEngine On
RewriteCond %{SCRIPT_FILENAME} !-d
RewriteRule ^([^.]+)$ $1.php [NC,L]

Règles de sécurité

Refuser tout accès avec .htaccess

Si vous souhaitez empêcher Apache de servir des fichiers, utilisez ce qui suit.

Cela vous empêchera d'accéder à votre site web. Si vous souhaitez interdire tout accès tout en conservant la possibilité de le consulter, veuillez lire la règle suivante :

Deny from all

Refuser tout accès sauf le vôtre (autoriser uniquement certaines adresses IP) avec .htaccess

Utilisez ceci pour autoriser uniquement certaines adresses IP à accéder à votre site Web.

# Require all denied
# Require ip xxx.xxx.xxx.xxx

xxx.xxx.xxx.xxx est votre adresse IP. Si vous remplacez les trois derniers chiffres par 0/12, par exemple, cela spécifiera une plage d'adresses IP au sein d'un même réseau, vous évitant ainsi de lister séparément toutes les adresses IP autorisées.

Veuillez consulter la règle suivante pour le « contraire » de cette règle !

Bloquer l'adresse IP avec .htaccess

Cela autorisera l'accès à toutes les adresses IP, sauf celles indiquées. Vous pouvez utiliser cette option pour autoriser tous les accès, sauf les adresses IP des spammeurs.

Remplacez xxx.xxx.xxx.xxx et xxx.xxx.xxx.xxy par les adresses IP que vous souhaitez bloquer.

Apache 2.4

# Require all granted
# Require not ip xxx.xxx.xxx.xxx
# Require not ip xxx.xxx.xxx.xxy

Autoriser l'accès uniquement à partir du réseau local avec .htaccess

order deny,allow
deny from all
allow from 192.168.0.0/24

Refuser l'accès à certains agents utilisateurs (bots) avec .htaccess

Utilisez cette .htaccess règle pour bloquer/interdire certains agents utilisateurs

RewriteCond %{HTTP_USER_AGENT} ^User\ Agent\ 1 [OR]
RewriteCond %{HTTP_USER_AGENT} ^Another\ Bot\ You\ Want\ To\ Block [OR]
RewriteCond %{HTTP_USER_AGENT} ^Another\ UA
RewriteRule ^.* - [F,L]

Refuser l'accès aux fichiers et répertoires cachés avec .htaccess

Fichiers et répertoires cachés (ceux dont les noms commencent par un point) .) devraient être sécurisés la plupart du temps, voire en permanence. Par exemple : .htaccess, .htpasswd, .git, .hg.

RewriteCond %{SCRIPT_FILENAME} -d [OR]
RewriteCond %{SCRIPT_FILENAME} -f
RewriteRule "(^|/)\." - [F]

Alternativement, vous pouvez simplement soulever un Not Found erreur, ne donnant aucune idée à l'attaquant :

RedirectMatch 404 /\..*$

Refuser l'accès à certains fichiers avec .htaccess

Utilisez ceci pour bloquer ou refuser l'accès à certains fichiers

<files your-file-name.txt>
order allow,deny
deny from all
</files>

Refuser l'accès aux fichiers de sauvegarde et aux fichiers sources avec .htaccess

Ces fichiers peuvent être laissés par certains éditeurs de texte/html (comme Vi/Vim) et représentent un grand danger pour la sécurité, lorsque n'importe qui peut y accéder.

<FilesMatch "(\.(bak|config|dist|fla|inc|ini|log|psd|sh|sql|swp)|~)$">
    ## Apache 2.2
    Order allow,deny
    Deny from all
    Satisfy All

    ## Apache 2.4
    # Require all denied
</FilesMatch>

Désactiver la navigation dans les répertoires avec .htaccess

Options All -Indexes

Activer les listes de répertoires avec .htaccess

Options All +Indexes

Désactiver la liste de certains types de fichiers avec .htaccess

Utilisez ceci pour exclure certains types de fichiers de la liste Apache Liste des répertoires. Vous pouvez utiliser cette option pour empêcher l'affichage des fichiers PDF ou vidéo.

IndexIgnore *.zip *.mp4 *.pdf

Désactiver le hotlinking d'image avec .htaccess

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

Redirigez les hotlinkers et affichez une image différente avec .htaccess

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www\.)?your-website.com/.*$ [NC]
RewriteRule \.(gif|jpg|png)$ https://www.your-website.com/do-not-hotlink-our-content.jpg [R,L]

Refuser l'accès à certains référents avec .htaccess

Utilisez cette règle pour bloquer l’accès aux demandes qui incluent un référent d’un certain domaine.

RewriteCond %{HTTP_REFERER} block-this-referer\.com [NC,OR]
RewriteCond %{HTTP_REFERER} and-block-traffic-that-this-site-sends\.com [NC]
RewriteRule .* - [F]

Protégez un répertoire par mot de passe avec .htaccess

Vous devez d'abord créer un fichier .htpasswd dans le système. Exécutez la commande suivante en ligne de commande :

htpasswd -c /home/hidden/directory/here/.htpasswd the_username

Vous pouvez ensuite l'utiliser pour l'authentification. Dans votre .htaccess Pour ce faire, vous aurez besoin d'un code similaire à celui-ci, mais assurez-vous que AuthUserFile correspond au chemin d'accès au fichier .htpasswd que vous venez de créer. Conservez ce fichier dans un répertoire inaccessible via le Web. Évitez donc de le placer dans vos répertoires /public_html/ ou /www/.

AuthType Basic
AuthName "Password Protected Dir Title"
AuthUserFile /home/hidden/directory/here/.htpasswd
Require valid-user

Protégez un ou plusieurs fichiers par mot de passe avec .htaccess

AuthName "Password Protected Directory Title"
AuthType Basic
AuthUserFile /home/hidden/directory/here/.htpasswd

<Files "/a-private-file.txt">
Require valid-user
</Files>

<FilesMatch ^((one|two|three)-rings?\.o)$>
Require valid-user
</FilesMatch>

Règles de performance

Compresser des fichiers texte avec .htaccess

<IfModule mod_deflate.c>

        # Force compression for mangled headers.
        # https://developer.yahoo.com/blogs/ydn/posts/2010/12/pushing-beyond-gzipping
        <IfModule mod_setenvif.c>
                <IfModule mod_headers.c>
                        SetEnvIfNoCase ^(Accept-EncodXng|X-cept-Encoding|X{15}|~{15}|-{15})$ ^((gzip|deflate)\s*,?\s*)+|[X~-]{4,13}$ HAVE_Accept-Encoding
                        RequestHeader append Accept-Encoding "gzip,deflate" env=HAVE_Accept-Encoding
                </IfModule>
        </IfModule>

        # Compress all output labeled with one of the following MIME-types
        # (for Apache versions below 2.3.7, you don't need to enable `mod_filter`
        #    and can remove the `<IfModule mod_filter.c>` and `</IfModule>` lines
        #    as `AddOutputFilterByType` is still in the core directives).
        <IfModule mod_filter.c>
            AddOutputFilterByType DEFLATE application/atom+xml \
              application/javascript \
              application/json \
              application/rss+xml \
              application/vnd.ms-fontobject \
              application/x-font-ttf \
              application/x-web-app-manifest+json \
              application/xhtml+xml \
              application/xml \
              font/opentype \
              image/svg+xml \
              image/x-icon \
              text/css \
              text/html \
              text/plain \
              text/x-component \
              text/xml
        </IfModule>

</IfModule>

Définir les en-têtes d'expiration avec .htaccess

En-têtes d'expiration Indiquez au navigateur s'il doit demander un fichier spécifique au serveur ou simplement le récupérer depuis le cache. Il est conseillé de définir les en-têtes d'expiration du contenu statique sur une date lointaine.

Si vous ne contrôlez pas le contrôle des versions avec le contournement du cache basé sur le nom de fichier, envisagez de réduire le temps de cache pour les ressources telles que CSS et JS à environ 1 semaine.

<IfModule mod_expires.c>
        ExpiresActive on
        ExpiresDefault                                    "access plus 1 month"

    # CSS
        ExpiresByType text/css                            "access plus 1 year"

    # Data interchange
        ExpiresByType application/json                    "access plus 0 seconds"
        ExpiresByType application/xml                     "access plus 0 seconds"
        ExpiresByType text/xml                            "access plus 0 seconds"

    # Favicon (cannot be renamed!)
        ExpiresByType image/x-icon                        "access plus 1 week"

    # HTML components (HTCs)
        ExpiresByType text/x-component                    "access plus 1 month"

    # HTML
        ExpiresByType text/html                           "access plus 0 seconds"

    # JavaScript
        ExpiresByType application/javascript              "access plus 1 year"

    # Manifest files
        ExpiresByType application/x-web-app-manifest+json "access plus 0 seconds"
        ExpiresByType text/cache-manifest                 "access plus 0 seconds"

    # Media
        ExpiresByType audio/ogg                           "access plus 1 month"
        ExpiresByType image/gif                           "access plus 1 month"
        ExpiresByType image/jpeg                          "access plus 1 month"
        ExpiresByType image/png                           "access plus 1 month"
        ExpiresByType video/mp4                           "access plus 1 month"
        ExpiresByType video/ogg                           "access plus 1 month"
        ExpiresByType video/webm                          "access plus 1 month"

    # Web feeds
        ExpiresByType application/atom+xml                "access plus 1 hour"
        ExpiresByType application/rss+xml                 "access plus 1 hour"

    # Web fonts
        ExpiresByType application/font-woff2              "access plus 1 month"
        ExpiresByType application/font-woff               "access plus 1 month"
        ExpiresByType application/vnd.ms-fontobject       "access plus 1 month"
        ExpiresByType application/x-font-ttf              "access plus 1 month"
        ExpiresByType font/opentype                       "access plus 1 month"
        ExpiresByType image/svg+xml                       "access plus 1 month"
</IfModule>

Désactivez les eTags avec .htaccess

En supprimant l'en-tête ETag, vous empêchez les caches et les navigateurs de valider les fichiers, ils sont donc obligés de s'appuyer sur vos en-têtes Cache-Control et Expires.

<IfModule mod_headers.c>
        Header unset ETag
</IfModule>
FileETag None

Limiter la taille du fichier téléchargé avec .htaccess

Indiquez la taille du fichier en octets. Le code ci-dessous le limite à 1 Mo.

LimitRequestBody 1048576

Règles diverses

Variables du serveur pour mod_rewrite avec .htaccess

%{API_VERSION}
%{DOCUMENT_ROOT}
%{HTTP_ACCEPT}
%{HTTP_COOKIE}
%{HTTP_FORWARDED}
%{HTTP_HOST}
%{HTTP_PROXY_CONNECTION}
%{HTTP_REFERER}
%{HTTP_USER_AGENT}
%{HTTPS}
%{IS_SUBREQ}
%{REQUEST_FILENAME}
%{REQUEST_URI}
%{SERVER_ADDR}
%{SERVER_ADMIN}
%{SERVER_NAME}
%{SERVER_PORT}
%{SERVER_PROTOCOL}
%{SERVER_SOFTWARE}
%{THE_REQUEST}

complet » PHP Variables avec .htaccess

php_value <key> <val>

Par exemple :

php_value upload_max_filesize 50M
php_value max_execution_time 240

Pages d'erreur personnalisées avec .htaccess

ErrorDocument 500 "Houston, we have a problem."
ErrorDocument 401 https://error.yourdomain.com/mordor.html
ErrorDocument 404 /errors/halflife3.html

Redirigez les utilisateurs vers une page de maintenance pendant que vous effectuez la mise à jour avec .htaccess

Cela redirigera les utilisateurs vers une page de maintenance, mais autorisera l'accès à votre adresse IP. Remplacez 555.555.555.555 par votre adresse IP et YourMaintenancePageFilenameOrFullUrlUrl.html par votre page d'erreur (ou une URL complète, sur un autre domaine).

ErrorDocument 403 YourMaintenancePageFilenameOrFullUrlUrl.html
Order deny,allow
Deny from all
Allow from 555.555.555.555

Forcer le téléchargement avec .htaccess

Parfois, vous souhaitez forcer le navigateur à télécharger du contenu au lieu de l'afficher. L'extrait suivant vous aidera.

<Files *.md>
        ForceType application/octet-stream
        Header set Content-Disposition attachment
</Files>

Désactiver l'affichage des informations sur le serveur (signature du serveur) avec .htaccess

Bien que de nombreuses personnes considèrent cela inutile (en particulier en ce qui concerne la sécurité), si vous souhaitez empêcher votre serveur de divulguer des informations sur le serveur (le système d'exploitation du serveur, etc.), utilisez ceci :

ServerSignature Off

Empêcher le téléchargement avec .htaccess

Parfois, vous souhaitez forcer le navigateur à afficher du contenu au lieu de le télécharger. L'extrait suivant vous aidera.

<FilesMatch "\.(tex|log|aux)$">
        Header set Content-Type text/plain
</FilesMatch>

Autoriser les polices inter-domaines avec .htaccess

CDNLes polices web diffusées peuvent ne pas fonctionner dans Firefox ou IE en raison de CROS. L'extrait suivant d'alrra devrait résoudre ce problème.

<IfModule mod_headers.c>
        <FilesMatch "\.(eot|otf|ttc|ttf|woff|woff2)$">
                Header set Access-Control-Allow-Origin "*"
        </FilesMatch>
</IfModule>

Encodage UTF-8 automatique avec .htaccess

Avoir Apache Pour encoder automatiquement votre contenu en UTF-8, utilisez le code suivant. Vous pouvez également remplacer l'UTF-8 par un autre jeu de caractères si nécessaire :

# Use UTF-8 encoding for anything served text/plain or text/html
AddDefaultCharset utf-8

# Force UTF-8 for a number of file formats
AddCharset utf-8 .atom .css .js .json .rss .vtt .xml

Définissez le fuseau horaire du serveur (sur UTC ou un autre fuseau horaire) avec .htaccess

SetEnv TZ UTC

Consultez la liste des fuseaux horaires. Pour choisir le fuseau horaire de Los Angeles :

SetEnv TZ America/Los_Angeles

Passer à un autre PHP Version avec .htaccess

Si vous êtes sur un hébergement partagé, il y a de fortes chances qu'il existe plusieurs versions de PHP installée, et vous souhaitez parfois une version spécifique pour votre site web. Par exemple, PHP >= 5.4. L'extrait suivant devrait changer le PHP version pour vous.

AddHandler application/x-httpd-php55 .php

Alternativement, vous pouvez utiliser AddType

AddType application/x-httpd-php55 .php

Désactiver la vue de compatibilité d'Internet Explorer

L'affichage de compatibilité dans IE peut affecter l'affichage de certains sites web. L'extrait suivant devrait forcer IE à utiliser Edge. RenderMoteur de recherche et désactivez la vue de compatibilité.

<IfModule mod_headers.c>
    BrowserMatch MSIE is-msie
    Header set X-UA-Compatible IE=edge env=is-msie
</IfModule>

Exécution PHP avec une extension de fichier différente avec .htaccess

Le code suivant exécutera les fichiers se terminant par .ext avec php :

AddType application/x-httpd-php .ext

Diffuser automatiquement les images WebP si elles existent

Si les images WebP sont prises en charge et qu'une image avec une extension .webp et le même nom se trouve au même endroit que l'image jpg/png qui va être diffusée, alors l'image WebP est diffusée à la place.

RewriteEngine On
RewriteCond %{HTTP_ACCEPT} image/webp
RewriteCond %{DOCUMENT_ROOT}/$1.webp -f
RewriteRule (.+)\.(jpe?g|png)$ $1.webp [T=image/webp,E=accept:1]

---

Récapitulation

Le .htaccess Le fichier est un outil puissant, mais il est important de l'utiliser avec discernement. Même s'il peut être tentant d'ajouter des règles supplémentaires pour des corrections rapides, n'oubliez pas que .htaccess n'est pas un fichier de configuration principal.

Chaque fois qu'un serveur rencontre un .htaccess Il doit le lire et l'exécuter, remplaçant ainsi les paramètres de configuration principaux. Ce processus consomme des ressources et peut ralentir votre site web, surtout en cas de surutilisation. Dans la mesure du possible, appliquez les configurations directement au niveau du serveur (par exemple, dans Apache(fichier de configuration principal) pour de meilleures performances.

En utilisant .htaccess efficacement et en l'associant à un plan d'hébergement bien optimisé – vous pouvez améliorer la sécurité, les performances et l'évolutivité de votre site Web

Foire Aux Questions