Guide .htaccess pour Debutants : Redirections, Securite et Plus

Qu est-ce que le .htaccess ?

Le fichier .htaccess est un fichier de configuration pour les serveurs web Apache. Il se place dans le repertoire racine de votre site (ou n importe quel sous-repertoire) et permet de controler le comportement du serveur sans toucher a la configuration principale. Le nom signifie "hypertext access".

A chaque requete sur votre site, Apache verifie les fichiers .htaccess dans l arborescence des repertoires et applique leurs regles. C est un outil puissant pour gerer les redirections, la securite, la mise en cache et le controle d acces, le tout sans redemarrer le serveur.

Point important : .htaccess ne fonctionne que sur les serveurs Apache. Si votre hebergement utilise Nginx ou LiteSpeed, la syntaxe est differente. Verifiez aupres de votre hebergeur en cas de doute.

Redirections et Reecritures d URL

Les redirections sont l usage le plus courant du .htaccess. Que vous deplaciez des pages, passiez en HTTPS ou nettoyiez vos URL, les redirections preservent votre referencement et evitent les liens casses.

Redirection 301 (Permanente)

Utilisez une redirection 301 quand une page a definitivement change d adresse :

Redirect 301 /ancienne-page /nouvelle-page

Forcer HTTPS

Redirigez tout le trafic HTTP vers HTTPS avec ces lignes :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Redirection www vers non-www

Pour unifier votre domaine sans le prefix www :

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]

En-tetes de Securite

Les en-tetes HTTP de securite protegent vos visiteurs contre de nombreuses attaques. Ajoutez-les via .htaccess :

• X-Content-Type-Options : Empeche le navigateur de deviner le type MIME. Header set X-Content-Type-Options "nosniff"
• X-Frame-Options : Bloque l affichage de votre site dans une iframe. Protege contre le clickjacking. Header set X-Frame-Options "SAMEORIGIN"
• Content-Security-Policy : Definit les sources autorisees pour les scripts, styles et autres ressources. Reduit le risque d attaques XSS.
• Strict-Transport-Security : Force le navigateur a toujours utiliser HTTPS. Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Mise en Cache du Navigateur

La mise en cache cote navigateur ameliore les performances en indiquant au navigateur de conserver certains fichiers localement :

Les fichiers statiques comme les images, le CSS et le JavaScript changent rarement. Configurez une expiration longue pour ces ressources et une duree plus courte pour le HTML qui peut changer regulierement.

• Images : Cache de 1 an (elles changent rarement)
• CSS et JS : Cache de 1 mois (utilisation du versioning dans le nom de fichier)
• HTML : Cache de quelques heures maximum

Protection de Repertoires

Empechez l acces direct a certains fichiers ou repertoires sensibles :

• Bloquer l acces aux fichiers de configuration : Protegez les fichiers .env, wp-config.php et autres fichiers contenant des informations sensibles.
• Desactiver le listing de repertoire : Ajoutez Options -Indexes pour empecher l affichage du contenu des repertoires sans fichier index.
• Bloquer des adresses IP : Restreignez l acces a certaines IP pour les zones d administration.

Erreurs Frequentes et Depannage

Les problemes les plus courants avec .htaccess :

• Erreur 500 : Generalement une erreur de syntaxe. Verifiez chaque ligne attentivement. Un espace ou un caractere en trop suffit a casser la configuration.
• Boucles de redirection : Se produisent quand deux regles se renvoient mutuellement. Utilisez les conditions RewriteCond pour eviter les boucles.
• Regles non appliquees : Verifiez que le module mod_rewrite est active sur votre serveur et que AllowOverride All est configure.

Notre generateur .htaccess vous aide a creer des configurations correctes sans risque d erreur de syntaxe.