Sécuriser le fichier .htaccess WordPress : Guide Complet 2026

Pourquoi le .htaccess est votre bouclier de sécurité WordPress le plus sous-estimé

Selon Patchstack, plus de 96 % des failles exploitées sur WordPress en 2025 auraient pu être atténuées par de simples mesures de durcissement serveur — dont la configuration du .htaccess. Pourtant, la majorité des propriétaires de sites WordPress ne touchent jamais à ce fichier autrement que via leur plugin SEO.

Le fichier .htaccess (HyperText Access) est l’un des leviers de sécurité les plus puissants à votre disposition. Il vous permet de :

• Bloquer l’accès à des fichiers et dossiers sensibles
• Interdire l’exécution de scripts PHP dans des répertoires spécifiques
• Filtrer les requêtes malveillantes avant qu’elles atteignent WordPress
• Forcer le HTTPS et contrôler les redirections
• Protéger la page de connexion contre les attaques brute force

Ce guide vous présente 10 règles .htaccess essentielles pour durcir votre site WordPress en 2026, avec les blocs de code prêts à l’emploi.

⚠️ Avant de modifier le .htaccess : Faites toujours une sauvegarde complète de votre site et de votre fichier .htaccess actuel. Une erreur de syntaxe peut rendre votre site inaccessible (erreur 500). Testez en staging si possible.

Règle n°1 — Protéger le fichier .htaccess lui-même

La première chose à faire est d’empêcher quiconque d’accéder directement au fichier .htaccess depuis un navigateur. Ajoutez ce bloc au tout début de votre fichier :

# Bloquer l'accès direct au .htaccess
<Files .htaccess>
  Order Allow,Deny
  Deny from all
</Files>

Règle n°2 — Protéger wp-config.php

Le fichier wp-config.php contient vos identifiants de base de données, vos clés secrètes et bien d’autres informations critiques. Il ne doit jamais être accessible depuis le web. En complément de ce que nous détaillons dans notre guide sur la sécurisation de wp-config.php, ajoutez cette règle dans votre .htaccess :

# Bloquer l'accès à wp-config.php
<Files wp-config.php>
  Order Allow,Deny
  Deny from all
</Files>

Règle n°3 — Désactiver l’exécution PHP dans les dossiers d’upload

L’une des techniques d’attaque les plus répandues consiste à uploader un fichier PHP malveillant déguisé en image dans le dossier /wp-content/uploads/, puis à l’exécuter directement via son URL. Selon le NVD NIST, des dizaines de CVE WordPress par an exploitent ce vecteur.

Créez un fichier .htaccess dédié dans /wp-content/uploads/ avec ce contenu :

# Interdire l'exécution PHP dans les uploads
<Files *.php>
  Deny from all
</Files>

Cette règle simple bloque l’exécution de tout fichier PHP dans le dossier uploads, neutralisant la majorité des tentatives d’upload de backdoors.

Règle n°4 — Bloquer l’accès au dossier wp-includes

Le dossier wp-includes ne devrait jamais être directement accessible depuis le web. Ajoutez cette règle dans votre .htaccess principal :

# Bloquer l'accès à wp-includes
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /
  RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
  RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
  RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Règle n°5 — Forcer le HTTPS sur tout le site

En 2026, un site WordPress sans HTTPS est une aberration sécuritaire. Si ce n’est pas déjà géré par votre hébergeur ou votre plugin SSL, voici comment le forcer via .htaccess :

# Forcer HTTPS
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{HTTPS} off
  RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Cette règle est complémentaire aux en-têtes de sécurité HTTP (HSTS, CSP, X-Frame-Options) que vous devriez également configurer.

Règle n°6 — Protéger wp-admin avec une restriction IP

Si vous accédez toujours à votre back-office depuis une IP fixe (bureau, VPN), vous pouvez restreindre l’accès à /wp-admin/ à cette seule IP. Créez ou modifiez le .htaccess dans le dossier /wp-admin/ :

# Restreindre l'accès à wp-admin par IP
Order Deny,Allow
Deny from all
Allow from 203.0.113.42

⚠️ Attention : Si votre IP change fréquemment (connexion mobile, FAI dynamique), cette règle peut vous bloquer vous-même. Prévoyez un accès FTP de secours avant de l’activer.

Règle n°7 — Bloquer les user-agents malveillants et scanners

Des milliers de bots scannent en permanence les sites WordPress à la recherche de vulnérabilités. Vous pouvez bloquer les user-agents les plus agressifs directement au niveau Apache, avant même que WordPress ne soit sollicité. Cette approche est complémentaire à notre guide sur la protection WordPress contre les bots malveillants.

# Bloquer les user-agents malveillants connus
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{HTTP_USER_AGENT} (havij|libwww-perl|sqlmap|nikto|python-requests|nmap|masscan) [NC,OR]
  RewriteCond %{HTTP_USER_AGENT} (acunetix|burpsuite|dirbuster|metasploit|w3af|zgrab) [NC]
  RewriteRule .* - [F,L]
</IfModule>

Règle n°8 — Désactiver la navigation dans les répertoires

Par défaut, si un dossier ne contient pas de fichier index.php ou index.html, Apache peut en lister le contenu. C’est un risque de sécurité car cela expose la structure de vos fichiers à n’importe qui. Désactivez-le globalement :

# Désactiver la navigation dans les répertoires
Options -Indexes

Règle n°9 — Ajouter des en-têtes de sécurité HTTP

Le .htaccess permet également d’injecter des en-têtes HTTP de sécurité directement au niveau serveur. D’après le rapport Wordfence 2025, les sites qui activent X-Frame-Options et X-Content-Type-Options réduisent significativement les risques de clickjacking et de MIME-sniffing :

# En-têtes de sécurité HTTP
<IfModule mod_headers.c>
  Header set X-XSS-Protection "1; mode=block"
  Header set X-Content-Type-Options "nosniff"
  Header set X-Frame-Options "SAMEORIGIN"
  Header set Referrer-Policy "strict-origin-when-cross-origin"
  Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>

Règle n°10 — Bloquer les requêtes sans Host header valide

Les scanners automatiques envoient souvent des requêtes sans en-tête Host valide, ou avec des valeurs vides. Cette règle les bloque proprement :

# Bloquer les requêtes sans Host valide
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{HTTP_HOST} ^$
  RewriteRule ^(.*)$ - [R=400,L]
</IfModule>

Votre .htaccess WordPress sécurisé : synthèse complète

En combinant ces 10 règles, vous durcissez votre WordPress à plusieurs niveaux :

• 🔒 Niveau fichiers : .htaccess, wp-config.php et wp-includes protégés
• 🚫 Niveau exécution : PHP bloqué dans les uploads
• 🛡️ Niveau réseau : HTTPS forcé, bots bloqués, répertoires masqués
• 📋 Niveau HTTP : en-têtes de sécurité activés

Pour aller encore plus loin dans la sécurisation de votre WordPress, n’hésitez pas à consulter notre checklist sécurité WordPress 2026 qui couvre l’ensemble des points de contrôle indispensables — des mises à jour aux sauvegardes en passant par la gestion des utilisateurs.

FAQ — Sécuriser le .htaccess WordPress

Est-ce que modifier le .htaccess peut casser mon site WordPress ?

Oui, une erreur de syntaxe dans le .htaccess provoque généralement une erreur HTTP 500. C’est pourquoi il est impératif de sauvegarder le fichier original avant toute modification. En cas d’erreur, reconnectez-vous via FTP ou votre gestionnaire de fichiers hébergeur pour restaurer la version précédente. Si votre hébergeur utilise Nginx, le .htaccess n’est pas pris en charge.

Ces règles .htaccess remplacent-elles un plugin de sécurité WordPress ?

Non, elles sont complémentaires. Le .htaccess agit au niveau serveur avant même que WordPress soit chargé — très efficace pour bloquer les requêtes malveillantes à moindre coût. Un plugin de sécurité (Wordfence, Patchstack) offre en plus : scan de malwares, alertes en temps réel, gestion des utilisateurs. La combinaison des deux est la meilleure approche.

Mon hébergeur utilise Nginx — ces règles fonctionnent-elles ?

Non, le .htaccess est spécifique à Apache (et LiteSpeed). Sur Nginx, il faut configurer les équivalents directement dans les fichiers de configuration Nginx (nginx.conf ou les blocs server). Contactez votre hébergeur ou votre administrateur système pour obtenir l’équivalent Nginx de ces règles.

Faut-il aussi sécuriser le .htaccess de wp-admin ?

Oui, absolument. Créer un .htaccess séparé dans le dossier /wp-admin/ avec une restriction par IP (règle n°6) est l’une des protections les plus efficaces contre les attaques brute force sur la page de connexion. Combiné avec la désactivation de XML-RPC (voir notre guide sur comment désactiver XML-RPC WordPress), votre surface d’attaque est considérablement réduite.

Conclusion : le .htaccess, un rempart gratuit à ne pas négliger

La sécurisation du fichier .htaccess est l’une des mesures de durcissement WordPress les plus efficaces, les moins coûteuses et les plus rapides à mettre en place. En quelques minutes, vous pouvez bloquer des catégories entières d’attaques automatisées avant même qu’elles n’atteignent votre application.

Pour une sécurité complète de votre WordPress, intégrez ces règles dans une démarche globale et consultez notre checklist sécurité WordPress 2026 pour couvrir tous les aspects — mises à jour, mots de passe, sauvegardes, monitoring et bien plus encore.

Vous manquez de temps pour sécuriser votre WordPress vous-même ? Découvrez nos services de sécurisation WordPress — audit, nettoyage post-hack et protection proactive assurés par des experts.