Le fichier htaccess est l’un des éléments les plus puissants à votre disposition pour contrôler le comportement de votre site WordPress. Pourtant, beaucoup de propriétaires de sites passent à côté de son potentiel, se contentant des réglages par défaut ou craignant de provoquer une erreur fatale dans WordPress.
Dans ce guide, vous découvrirez comment exploiter pleinement ce fichier de configuration pour renforcer la sécurité, accélérer le chargement de vos pages et maîtriser vos redirections. Que vous gériez un blog personnel ou un site e-commerce, ces techniques vous permettront de prendre le contrôle de votre serveur web.
Sommaire de l’article
Points clés à retenir
- Le fichier .htaccess est indispensable au fonctionnement des permaliens WordPress et constitue votre première ligne de défense pour protéger des fichiers sensibles comme wp config.php.
- Une simple faute de syntaxe dans .htaccess peut provoquer une erreur 500 sur l’ensemble de votre site internet : sauvegardez systématiquement avant toute modification.
- Ce guide vous fournit des exemples concrets et prêts à l’emploi pour une installation simple, le multisite, le passage HTTP vers HTTPS et la suppression de /category/ dans vos URLs.
- Toutes les manipulations présentées sont réalisables via FTP, le gestionnaire de fichiers de votre hébergeur (cPanel, Plesk) ou un plugin dédié, même si vous n’êtes pas développeur.
- Maîtriser htaccess dans WordPress est tout à fait accessible si vous procédez par étapes et testez chaque changement avant de passer au suivant.
Qu’est-ce que le fichier .htaccess dans WordPress ?
Le fichier .htaccess (abréviation de Hypertext Access) est un fichier texte de configuration utilisé par les serveurs web Apache. Il est lu à chaque requête HTTP et permet de contrôler le comportement du serveur pour le répertoire courant ainsi que tous ses sous répertoires.
Dans le contexte de WordPress, ce fichier joue un rôle central dans la gestion des permaliens. Lorsque vous configurez des URLs « propres » depuis Réglages > Permaliens dans le tableau de bord WordPress (par exemple /2025/10/mon-article/ au lieu de ?p=123), WordPress génère automatiquement les règles de réécriture nécessaires dans .htaccess.
Un fichier .htaccess par défaut est généralement créé lors de l’activation des permaliens sur une installation WordPress standard. Ce mécanisme existe depuis les versions 2.x de WordPress et reste identique dans les versions récentes.
Il est important de savoir que plusieurs fichiers htaccess peuvent coexister sur votre site :
| Emplacement | Fonction |
|---|---|
| Racine du site (/public_html/ ou /www/) | Règles principales : permaliens, redirections globales, sécurité |
| /wp-admin/ | Restrictions d’accès au back-office |
| /wp-content/ | Protection des thèmes et plugins |
| /wp-content/uploads/ | Contrôle des fichiers téléversés |
Ce fichier n’est interprété que sur les hébergements Apache ou compatibles (LiteSpeed, Apache modifié). Sur un serveur Nginx, les règles doivent être traduites dans la configuration du serveur (nginx.conf).
À quoi ressemble le .htaccess WordPress par défaut ?
Voici la structure classique d’un fichier htaccess de WordPress pour une installation simple :
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPressVoici ce que fait chaque directive :
- RewriteEngine On : Active le moteur de réécriture d’URLs d’Apache (mod_rewrite)
- RewriteBase / : Définit la base de réécriture à la racine du site
- RewriteRule ^index.php$ – [L] : Si la requête cible déjà index.php, ne rien faire
- RewriteCond %{REQUEST_FILENAME} !-f : Vérifie que le fichier demandé n’existe pas physiquement
- RewriteCond %{REQUEST_FILENAME} !-d : Vérifie que le répertoire demandé n’existe pas
- RewriteRule . /index.php [L] : Redirige tout le reste vers index.php pour traitement par WordPress
Règle d’or : ne modifiez jamais le code situé entre # BEGIN WordPress et # END WordPress. WordPress réécrit automatiquement cette zone lors des changements de permaliens ou de l’activation de certains plugins.
Vos redirections personnalisées et règles de sécurité doivent être placées avant ou après ce bloc, selon vos besoins, pour éviter les conflits.
Précautions indispensables avant de modifier .htaccess
La moindre faute de syntaxe dans votre fichier .htaccess — un espace manquant, une directive inconnue, un module non disponible — peut bloquer l’intégralité de votre site avec une erreur 500 Internal Server Error.
Avant toute modification, suivez ces étapes essentielles :
1. Effectuez une sauvegarde complète de votre site
Utilisez un plugin de sauvegarde comme UpdraftPlus ou Duplicator pour créer une copie de vos fichiers et de votre base de données. En cas de problème grave, vous pourrez restaurer votre site en quelques clics.
2. Sauvegardez spécifiquement le fichier .htaccess
Téléchargez-le localement avec un nom daté, par exemple .htaccess-2026-01-01.txt. Ainsi, vous pourrez revenir en arrière instantanément en cas d’erreur.
3. Testez chaque bloc de règles séparément
Ajoutez un snippet, sauvegardez, puis rechargez plusieurs pages clés :
- La page d’accueil
- Un article ou une page
- L’administration (/wp-admin/)
Si une erreur 500 apparaît, restaurez immédiatement l’ancienne version.
4. Gardez un accès FTP fonctionnel
En cas de blocage complet, vous pouvez renommer .htaccess en .htaccess_old via FTP pour désactiver temporairement toutes les règles et retrouver l’accès à votre site.
Erreurs 500 et autres problèmes fréquents
Une erreur 500 après modification de .htaccess provient généralement de l’une de ces causes :
| Origine du problème | Solution |
|---|---|
| Directive interdite par l’hébergeur mutualisé | Consulter la documentation de l’hébergeur |
| Module Apache manquant (mod_expires, mod_headers) | Encadrer les directives avec <IfModule> |
| Conflit entre deux blocs de réécriture | Vérifier l’ordre des règles |
| Erreur de syntaxe (espace, caractère spécial) | Relire ligne par ligne |
Le journal d’erreurs (error_log accessible dans cPanel ou le panel de votre hébergeur) permet d’identifier précisément la directive en cause.
En cas de doute, commentez les blocs suspects un par un avec le symbole # pour isoler la règle problématique.
Certains hébergeurs français comme OVHcloud ou o2switch interdisent ou limitent certaines directives. Consultez leur documentation technique avant d’ajouter des règles avancées.
Où trouver et comment accéder au fichier .htaccess WordPress ?
Le fichier .htaccess est un « fichier caché » dont le nom commence par un point. Par défaut, il n’est pas visible dans de nombreux gestionnaires de fichiers, mais reste parfaitement accessible une fois les bons réglages activés.
Sur un hébergement standard, vous le trouverez à la racine de votre site WordPress :
- /public_html/
- /www/
- Ou le dossier portant le nom de votre domaine (ex : /monsite.fr/)
Il se situe au même niveau que wp-config.php et le dossier wp-content.
Vous ne pouvez pas éditer .htaccess depuis l’interface WordPress standard (Réglages, Extensions…) sans installer un plugin spécifique.
Si vous ne trouvez pas de fichier .htaccess malgré des permaliens configurés, WordPress n’a probablement pas eu les droits d’écriture. Vous devrez alors créer un fichier manuellement et y coller le code par défaut.
Accès via le gestionnaire de fichiers (cPanel, Plesk, panel d’hébergeur)
Voici la procédure pour un utilisateur débutant :
- Connectez-vous à votre panneau d’hébergement (cPanel, Plesk ou panel propriétaire)
- Cliquez sur « Gestionnaire de fichiers »
- Naviguez vers le dossier racine de votre site WordPress
- Activez l’option « Afficher les fichiers cachés (dotfiles) » — souvent accessible via les paramètres ou préférences du gestionnaire
- Le fichier .htaccess apparaît alors dans la liste
Bonnes pratiques :
- Téléchargez une copie avant toute modification
- Utilisez l’éditeur intégré pour ajuster les directives
- Vérifiez l’encodage : UTF-8 sans BOM
Certains panels comme Plesk proposent un bouton « Éditer » permettant une modification directe sans logiciel supplémentaire.
Accès via FTP (FileZilla, Cyberduck…)
L’accès FTP reste la méthode la plus fiable pour gérer vos fichiers :
- Installez un client FTP gratuit comme FileZilla
- Connectez-vous avec les identifiants fournis par votre hébergeur (hôte, utilisateur, mot de passe, port)
- Naviguez vers le dossier racine du site
- Dans FileZilla : menu « Serveur » > « Forcer l’affichage des fichiers cachés »
Pour modifier le fichier :
- Téléchargez .htaccess sur votre ordinateur
- Ouvrez-le avec un éditeur de texte brut (Notepad++, VS Code, Sublime Text)
- Effectuez vos modifications
- Renvoyez le fichier sur le serveur en écrasant l’ancien
L’extension doit rester exactement .htaccess (sans .txt ajouté), sinon Apache ne le prendra pas en compte.
Accès FTP via un plugin WordPress
Certains plugins permettent d’éditer .htaccess directement depuis le tableau de bord, ce qui est pratique si l’accès FTP vous pose problème.
Exemples de plugins utilisés actuellement :
- Htaccess File Editor : édition directe et simple
- Yoast SEO : outil d’édition de fichiers intégré
- Rank Math SEO : gestion avancée des redirections et accès au .htaccess
Pour installer un plugin d’édition :
- Extensions > Ajouter
- Recherchez le plugin souhaité
- Cliquez sur Installer puis Activer
- Accédez à la page dédiée (souvent dans Outils ou SEO)
Restez prudent : copiez toujours le contenu actuel dans un fichier local avant d’enregistrer des modifications via un plugin. Une erreur peut aussi bloquer l’accès au back-office.
Créer ou régénérer un .htaccess WordPress propre
Plusieurs situations nécessitent de créer ou régénérer le fichier :
- Absence de .htaccess sur votre installation
- Corruption après une attaque ou une manipulation hasardeuse
- Erreurs 404 sur toutes les pages
- Migration de site ou changement d’hébergeur
Méthode manuelle :
- Créez un nouveau fichier texte vierge sur votre ordinateur
- Collez le code .htaccess standard de WordPress (voir section précédente)
- Enregistrez-le sous le nom .htaccess (sans extension .txt)
- Téléversez-le à la racine du site via FTP
Méthode automatique (recommandée) :
- Connectez-vous au tableau de bord WordPress
- Allez dans Réglages > Permaliens
- Vérifiez la structure souhaitée (par exemple /%postname%/)
- Cliquez sur « Enregistrer les modifications »
WordPress réécrit automatiquement le fichier .htaccess avec les règles appropriées.
Si WordPress affiche un message indiquant qu’il ne peut pas écrire dans le fichier, vérifiez les permissions (généralement 644 pour .htaccess) ou créez le fichier manuellement.
.htaccess pour installation simple vs multisite
Un réseau WordPress multisite (activé via wp-config.php avec define(‘WP_ALLOW_MULTISITE’, true)) modifie profondément les règles de réécriture.
| Type d’installation | Caractéristiques du .htaccess |
|---|---|
| Installation simple | Règles standards avec RewriteRule vers index.php |
| Multisite en sous-dossiers | Règles supplémentaires pour gérer les chemins /site2/, /site3/ |
| Multisite en sous-domaines | Configuration DNS + règles spécifiques |
Pour un multisite en sous-dossiers (ex : monsite.fr/site2/), WordPress fournit le code exact dans Outils > Réseau après activation de la fonctionnalité. Ce code doit remplacer celui du .htaccess classique à la racine.
Ne mélangez pas des snippets trouvés au hasard avec les règles de base d’un multisite. Testez d’abord sur un environnement de préproduction si possible.
Renforcer la sécurité de WordPress avec .htaccess
Le fichier .htaccess permet d’ajouter une couche de sécurité côté serveur avant même que WordPress ne se charge. Cette protection au niveau Apache bloque de nombreuses attaques automatisées avant qu’elles n’atteignent votre application.
Les snippets de sécurité que nous allons voir ne remplacent pas un plugin de sécurité complet comme Wordfence ou Sucuri, mais constituent un complément léger et très efficace contre les attaques de base.
Commentez chaque bloc avec une ligne explicative (ex : # Protéger wp-config.php) pour vous y retrouver lors de futures modifications.
Protéger les fichiers sensibles (wp-config.php, .htaccess, fichiers système)
Le fichier wp-config.php contient vos identifiants de base de données et vos clés secrètes. Bloquer son accès au niveau Apache empêche toute consultation directe via HTTP.
Ajoutez ce code dans votre .htaccess, en dehors du bloc # BEGIN WordPress :
# Protéger wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>
# Protéger .htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>
# Protéger les fichiers système
<FilesMatch "^(readme\.html|license\.txt|wp-config-sample\.php)$">
order allow,deny
deny from all
</FilesMatch>Ces règles retournent une erreur 403 Forbidden si quelqu’un tente d’accéder directement à ces fichiers.
Pour xmlrpc.php (souvent ciblé par des attaques par force brute), vous pouvez ajouter :
# Bloquer xmlrpc.php si non utilisé
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>Placez ces règles au-dessus du bloc WordPress pour qu’elles soient traitées en priorité.
Désactiver l’indexation des répertoires
Sans directive particulière, certains serveurs affichent la liste des fichiers d’un dossier qui ne contient pas d’index.php. Cela peut dévoiler vos thèmes, plugins ou fichiers de sauvegarde à des visiteurs malveillants.
Ajoutez cette directive simple en haut de votre .htaccess principal :
# Désactiver l'affichage du contenu des répertoires
Options -IndexesCette règle couvre l’ensemble de votre site WordPress, y compris les dossiers wp-content, wp-includes et leurs sous répertoires.
L’opération est rapide, sans impact sur le rendu des pages, et améliore significativement la confidentialité de votre structure de fichiers.
Limiter l’accès au back-office et à wp-login.php
La page de connexion wp-login.php et le répertoire /wp-admin/ sont des cibles privilégiées pour les attaques par force brute. Les logs des sites WordPress français montrent des centaines de tentatives quotidiennes sur ces ressources.
Restriction par adresse IP (pour IP fixe) :
# Restreindre wp-login.php à certaines IP
<Files wp-login.php>
order deny,allow
deny from all
allow from 123.45.67.89
allow from 98.76.54.32
</Files>Remplacez les adresses IP par celles de votre bureau ou domicile.
Protection par mot de passe HTTP (pour IP dynamiques) :
Pour les connexions itinérantes, ajoutez une authentification HTTP sur /wp-admin/ :
- Créez un fichier .htpasswd en dehors de public_html avec l’utilitaire htpasswd
- Ajoutez dans /wp-admin/.htaccess :
AuthType Basic
AuthName "Zone Admin"
AuthUserFile /chemin/vers/.htpasswd
Require valid-userTestez d’abord ces règles depuis une IP alternative (smartphone en 4G par exemple) pour vous assurer de ne pas vous bloquer vous-même.
Bloquer des IP et limiter certaines attaques courantes
Vous pouvez utiliser .htaccess pour bannir des adresses IP connues pour spam ou tentatives d’intrusion :
# Bloquer des IP spécifiques
<RequireAll>
Require all granted
Require not ip 192.0.2.1
Require not ip 203.0.113.0/24
</RequireAll>Ou avec la syntaxe classique :
order allow,deny
allow from all
deny from 192.0.2.1
deny from 203.0.113.Vous pouvez également bloquer certains user-agents malveillants :
# Bloquer des bots agressifs
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^(BadBot|EvilScraper) [NC]
RewriteRule .* - [F,L]Les adresses IP changent régulièrement (VPN, proxies). Ce blocage est surtout efficace contre des attaques répétées venant de la même source. Pour un blocage géographique fin, préférez le pare-feu de votre hébergeur ou un CDN comme Cloudflare.
Tenez une liste documentée des IP bloquées pour nettoyer régulièrement votre fichier .htaccess.
Créer des redirections et gérer les URLs avec .htaccess
Le fichier .htaccess est l’outil principal pour les redirections 301 côté serveur, indispensables lors de refontes, changements de structure d’URL ou migration HTTP vers HTTPS.
Types de redirections :
| Code | Type | Usage |
|---|---|---|
| 301 | Permanente | Changements définitifs (SEO-friendly) |
| 302 | Temporaire | Modifications provisoires |
Pour les modifications durables qui impactent le référencement, utilisez toujours une redirection 301.
Pour un site WordPress classique, placez vos règles de redirection avant le bloc # BEGIN WordPress pour éviter les conflits avec la réécriture des permaliens.
Les sites avec des centaines de redirections préféreront un plugin dédié comme « Redirection » pour une gestion plus visuelle et des fonctionnalités d’import/export.
Redirections 301 classiques (pages, catégories, anciens articles)
Voici les cas concrets les plus fréquents :
- Changement de slug d’article après optimisation SEO
- Fusion de deux pages similaires
- Suppression d’une catégorie
- Restructuration des URLs lors d’une refonte
Syntaxe de base :
# Redirection simple d'une page
Redirect 301 /ancienne-page/ https://monsite.fr/nouvelle-page/
# Redirection avec RewriteRule
RewriteEngine On
RewriteRule ^ancien-article/?$ /nouvel-article/ [R=301,L]Pour les patterns complexes :
# Rediriger une ancienne structure de catégorie
RewriteRule ^blog/(.*)$ /articles/$1 [R=301,L]Testez chaque redirection immédiatement après l’ajout : vérifiez dans le navigateur et avec les DevTools de Chrome/Firefox (onglet Réseau).
Pour les gros sites, maintenez une « carte de redirection » sous forme de tableur afin de garder une vision claire des changements d’URL impactant votre référencement naturel.
Forcer HTTPS et choisir la version avec ou sans www
Depuis l’essor des certificats SSL gratuits (Let’s Encrypt), forcer la navigation en HTTPS est devenu indispensable pour la sécurité et pour éviter le contenu dupliqué.
Forcer HTTPS (sans www) :
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Forcer sans www
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]Forcer HTTPS avec www :
RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^(.*)$ https://www.monsite.fr/$1 [R=301,L]Choisissez une seule version canonique et forcez toutes les autres à y rediriger.
Les redirections HTTP vers HTTPS doivent être placées en haut de .htaccess pour être appliquées avant toute autre règle de réécriture.
Les outils SEO (Google Search Console, Ahrefs, SEMrush) considèrent la version canonique choisie ; restez cohérent dans toutes vos configurations.
Supprimer /category/ des URLs de catégories
Par défaut, WordPress insère /category/ dans les URLs des archives de catégories (ex : /category/actualites/), ce qui peut alourdir la structure.
Avantages d’une URL plus courte (/actualites/) :
- Meilleure lisibilité pour les utilisateurs
- Ancrage plus clair pour les moteurs de recherche
- Structure d’URL plus professionnelle
Deux approches possibles :
- Via un plugin (plus convivial) : Yoast SEO Premium, Rank Math ou des plugins dédiés comme « Remove Category URL »
- Via .htaccess (plus technique) :
RewriteRule ^category/(.+)$ /$1 [R=301,L]Vérifiez absolument que toutes les anciennes URLs /category/ renvoient bien un code 301 vers la nouvelle URL, afin de ne pas perdre de trafic ni accumuler d’erreurs 404.
Améliorer les performances avec cache et compression dans .htaccess
Le fichier .htaccess peut considérablement accélérer votre site WordPress en activant la mise en cache navigateur et la compression GZIP/DEFLATE des ressources.
Ces optimisations sont souvent recommandées par les outils de performance comme PageSpeed Insights, GTmetrix ou WebPageTest.
Prérequis :
- Vérifiez que les modules Apache nécessaires sont disponibles : mod_expires, mod_deflate, mod_headers
- Si un plugin comme WP Rocket, W3 Total Cache ou LiteSpeed Cache est installé, il injecte probablement déjà ses propres directives — évitez les doublons
Configurer la mise en cache du navigateur
Le principe : le navigateur conserve en local les fichiers statiques (images, CSS, JS, polices) pendant une durée définie, rendant les visites suivantes beaucoup plus rapides.
<IfModule mod_expires.c>
ExpiresActive On
# Images
ExpiresByType image/jpeg "access plus 1 year"
ExpiresByType image/gif "access plus 1 year"
ExpiresByType image/png "access plus 1 year"
ExpiresByType image/webp "access plus 1 year"
ExpiresByType image/svg+xml "access plus 1 year"
# CSS et JavaScript
ExpiresByType text/css "access plus 1 month"
ExpiresByType application/javascript "access plus 1 month"
# Polices
ExpiresByType font/woff2 "access plus 1 year"
ExpiresByType font/woff "access plus 1 year"
# HTML
ExpiresByType text/html "access plus 0 seconds"
</IfModule>Durées recommandées pour un site éditorial :
| Type de ressource | Durée suggérée |
|---|---|
| Images rarement modifiées | 1 an |
| CSS/JS | 1 mois |
| Polices | 1 an |
| HTML | Pas de cache (données dynamiques) |
Après ajout des règles, testez en navigation privée et relancez un audit de performance pour vérifier que les en-têtes HTTP sont correctement envoyés.
Activer la compression GZIP/DEFLATE
La compression GZIP/DEFLATE réduit la taille du HTML, CSS, JS et autres ressources textuelles avant leur envoi au navigateur, diminuant ainsi le temps de chargement.
<IfModule mod_deflate.c>
# Compresser les ressources textuelles
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/json
</IfModule>Cette optimisation peut réduire la taille des pages de 70 à 90 % pour les ressources basées sur du texte.
Tous les navigateurs modernes (Chrome, Firefox, Safari, Edge) gèrent la compression depuis des années, ce qui en fait une optimisation sans risque.
Utilisez les DevTools (onglet Réseau) pour vérifier que la compression est active : recherchez l’en-tête Content-Encoding: gzip ou br dans les réponses.
Cas avancés et bonnes pratiques autour de .htaccess WordPress
Au-delà des configurations standards, .htaccess permet diverses optimisations supplémentaires : forcer le téléchargement de fichiers, contrôler les types MIME, désactiver certaines méthodes HTTP considérées comme risquées.
Ces réglages avancés sont optionnels et doivent toujours être testés sur un environnement de préproduction avant déploiement en production.
Principes de maintenance :
- Plus vous ajoutez de règles, plus la documentation devient importante
- Regroupez les règles par thème (sécurité, redirections, performance)
- Séparez les sections par des commentaires clairs
- Révisez périodiquement pour supprimer les règles obsolètes
Forcer le téléchargement de certains types de fichiers
Par défaut, les navigateurs affichent certains fichiers (PDF, images) au lieu de proposer un téléchargement direct. Vous pouvez modifier ce comportement avec .htaccess.
# Forcer le téléchargement des PDF
<FilesMatch "\.pdf$">
Header set Content-Disposition attachment
</FilesMatch>Ou de manière plus large avec AddType :
AddType application/octet-stream .pdf .doc .docx .xls .xlsxExemple concret : forcer le téléchargement des PDF hébergés dans /docs/ pour proposer un « vrai » téléchargement de brochure commerciale ou de livre blanc.
Limitez ces règles aux dossiers ou extensions nécessaires pour ne pas perturber l’expérience utilisateur sur le reste du site (lecture en ligne, visionnage d’images).
Désactiver des méthodes HTTP jugées dangereuses
Certaines méthodes HTTP comme TRACE, TRACK ou DELETE ne sont pas utilisées sur un WordPress classique et peuvent être exploitées dans certains scénarios d’attaque.
# N'autoriser que GET, POST et HEAD
RewriteEngine On
RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)$
RewriteRule .* - [F,L]Selon votre configuration (API externes, WebDAV, applications tierces), soyez prudent avant de bloquer des méthodes supplémentaires au risque de casser une fonctionnalité non prévue.
Vérifiez les logs d’erreurs et testez vos formulaires (contact, boutique WooCommerce) après avoir restreint les méthodes HTTP.
FAQ – htaccess et WordPress
Que faire si mon site affiche une erreur 500 après modification de .htaccess ?
Commencez par renommer le fichier .htaccess via FTP (par exemple en .htaccess_old) pour désactiver toutes les règles. Vérifiez que votre site refonctionne, puis réintroduisez vos changements étape par étape.
Consultez le fichier error_log dans le panel de votre hébergeur pour identifier précisément la directive fautive.
Cette approche méthodique vous permettra d’isoler rapidement le problème sans perdre l’ensemble de votre configuration.
Comment réinitialiser .htaccess aux valeurs par défaut de WordPress ?
Supprimez ou renommez votre fichier .htaccess actuel, puis connectez-vous au tableau de bord WordPress.
Allez dans Réglages > Permaliens, vérifiez que la structure souhaitée est sélectionnée, puis cliquez sur « Enregistrer les modifications ».
WordPress recréera automatiquement un .htaccess standard. Pour un site multisite, utilisez le code spécifique fourni dans l’outil de configuration réseau (Outils > Réseau).
Est-ce que tous les hébergeurs permettent d’utiliser .htaccess ?
Le fichier .htaccess est propre aux serveurs Apache et compatibles (LiteSpeed), largement utilisés chez les hébergeurs mutualisés français.
Sur un serveur Nginx pur, .htaccess n’est pas pris en compte : les règles doivent être converties dans nginx.conf, généralement géré par l’hébergeur.
De plus, certains prestataires limitent certaines directives pour des raisons de sécurité — consultez leur documentation en cas de doute.
Vaut-il mieux gérer les redirections dans .htaccess ou avec un plugin WordPress ?
Pour quelques redirections critiques et permanentes, .htaccess est plus efficace car traité avant le chargement de WordPress, sans plugin supplémentaire à maintenir.
En revanche, pour des dizaines ou centaines de redirections, un plugin dédié comme « Redirection » offre une interface graphique, des logs de suivi et parfois des fonctions d’import/export CSV, ce qui simplifie considérablement la gestion au quotidien.
Modifier .htaccess a-t-il un impact direct sur le référencement naturel (SEO) ?
Le fichier .htaccess influence indirectement le SEO via plusieurs leviers : les redirections 301 préservent l’autorité des pages après une refonte, le passage à HTTPS est un critère de classement Google, et les optimisations de performance (cache, compression) améliorent les Core Web Vitals. À l’inverse, une mauvaise configuration peut multiplier les erreurs 404 ou créer des chaînes de redirections, ce qui nuit au classement. Testez toujours vos changements majeurs avec des outils SEO avant et après déploiement.
