Comment protéger le fichier HTACCESS ?

Question

Comment puis-je protéger le fichier .htaccess de mon site contre les tentatives de piratage ?

Answer 1

Tout d'abord les droits d'accès au fichier .htaccess doivent être rw-r-r soit 644.

Ensuite, la méthode la plus répandue pour protéger les fichiers htaccess est d'y ajouter le code suivant qui empêchera quiconque d'accéder à un fichier nommé précisément ".htaccess".

<Files .htaccess>
 order allow,deny
 deny from all
</Files>

Ce n'est pas idéal car la correspondance est sensible à la casse. Sur certains systèmes, les fichiers htaccess protégés par cette méthode peuvent rester accessibles s'ils sont écrits par exemple en majuscule "HTACCESS".

Le mieux est d'empêcher l'accès externe à tout fichier contenant ".hta", ".HTA", ou n'importe quelle combinaison insensible à la casse.

.htaccess
.HTACCESS
.hTaCcEsS
FILE.htaccess
filename.HTACCESS
RoOt.hTaCcEsS

Voici le code qui effectue le job :

<Files ~ "^.*\.([Hh][Tt][Aa])">
 order allow,deny
 deny from all
 satisfy all
</Files>

Le code doit être placé dans le fichier .htaccess ou directement dans le fichier httpd.conf d'Apache.

Selon les sections que vous utilisez, il y a un ordre à respecter ; il est explicité sur cette page du site d'Apache.

Answer 2

Vous pouvez également protéger l'accès aux fichier .htaccess et .htpasswd via les fichiers de configuration de Apache, et de Nginx, si ce dernier est utilisé comme proxy inversé :

Règle à ajouter au fichier Apache httpd.conf :

<FilesMatch ^(?i:\.ht.*)$>
  Require all denied
</FilesMatch>

Si vous utilisez Nginx comme proxy inversé, il faut également ajouter une règle au fichier nginx.conf :

location ~* /\.ht {
deny all;
}