plow Posté(e) 19 avril 2017 Share Posté(e) 19 avril 2017 Bonjour, Profitant des nouvelles fonctionnalités, j'essaie de passer un site wordpress en https. Certificat let's encrypt installé. Réglages wordpress fait et urls http transformés en https avec le script search replace db. L'accès en https fonctionne et le petit cadenas vert est bien là sur toutes les pages. Cependant, dans mes recherches sur internet à ce sujet, il semble que pour éviter les accès en http ll faille mettre en place une redirection 301 dans le fichier .htaccess avec ces lignes (bien sur, avec le nom de mon site) RewriteCond %{SERVER_PORT} ^80$ [OR] RewriteCond %{HTTPS} =off RewriteRule ^(.*)$ https://monsite.com/$1 [R=301,L] Mais quand je fais ça, ça ne marche pas ? "La page n'est pas redirigée correctement" Qui peut m'aider Lien vers le commentaire Partager sur d’autres sites More sharing options...
nkiefer Posté(e) 19 avril 2017 Share Posté(e) 19 avril 2017 Bonjour Plow, Sur mon site (qui n'est pas en Wordpress), j'ai utilisé la syntaxe suivante : # ---------------------------- # -- FORCER UTILISATION HTTPS # ---------------------------- RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteCond %{HTTPS} !on RewriteRule ^(.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] Et ça a l'air de fonctionner. La ligne "RewriteRule" est différente. Je ne sais pas si ta syntaxe est mieux que la mienne. Cordialement. Nicolas Lien vers le commentaire Partager sur d’autres sites More sharing options...
plow Posté(e) 19 avril 2017 Auteur Share Posté(e) 19 avril 2017 Merci Nkiefer, Ta syntaxe ne provoque pas d'erreur mais la redirection ne se fait pas. Si je tape http://teplitz-theatre.net , le site dont il s'agit, j'arrive sur http://teplitz-theatre.net et non sur https://fncta-midipy.fr ce qui devrait être le résultat de la redirection Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fd_C Posté(e) 19 avril 2017 Share Posté(e) 19 avril 2017 Bonjour plow Essaye ceci : # REDIRECT HTTP to HTTPS RewriteCond %{HTTPS} on RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
plow Posté(e) 19 avril 2017 Auteur Share Posté(e) 19 avril 2017 Ca y est, ça fonctionne ! J'avais en fait un problème de cache de navigateur. Merci à tous les deux pour votre aide Lien vers le commentaire Partager sur d’autres sites More sharing options...
Administrateurs Aurelien P. Posté(e) 19 avril 2017 Administrateurs Share Posté(e) 19 avril 2017 Topic indiqué comme résolu. Lien vers le commentaire Partager sur d’autres sites More sharing options...
alh Posté(e) 21 avril 2017 Share Posté(e) 21 avril 2017 (modifié) Et pour compléter, je recommanderais de rajouter ceci au .htaccess : # bloquer les attaques XSS Header always set X-XSS-Protection "1; mode=block" # activer le plus haut mode de rendu pour IE Header always set X-UA-Compatible "IE=Edge" # eviter le click hijacking ou le vol d'identifiant via des frame Header always set X-Frame-Options "SAMEORIGIN" # eviter que le client exécute du code malicieux dans des fichiers vérolés (js dans jpeg par ex) Header always set X-Content-Type-Options "nosniff" # préciser la gestion du referer: https://scotthelme.co.uk/a-new-security-header-referrer-policy/ Header always set Referrer-Policy" strict-origin-when-cross-origin" # Activation de HSTS (pour éviter les requetes en non chiffrées): https://hstspreload.org/ Header always set Strict-Transport-Security "max-age=63072000" # Content Security Policy (attention la config peut être casse-geule): https://www.w3.org/TR/CSP2/ et https://wiki.mozilla.org/Security/Guidelines/Web_Security#Content_Security_Policy Header always set Content-Security-Policy "default-src 'none'; style-src 'self' 'unsafe-inline'; script-src 'self'; img-src 'self'; font-src 'self'; frame-ancestors 'self'" Il est possible de vérifier tout cela avec les sites suivants : https://www.ssllabs.com/ssltest/ https://tls.imirhil.fr/ https://securityheaders.io/ https://observatory.mozilla.org/ Et si on souhaite implémenter correctement la compression Gzip sur le site : SetOutputFilter DEFLATE SetEnvIfNoCase Request_URI \.(?:bmp|bbaw|crx|cur|f4[abpv]|flv|gif|ico|jpe?g|m4[av]|mp4|oex|og[agv]|opus|otf|pdf|png|safariextz|svgz|swf|tt[cf]|web[mp]|woff2?|xpi)$ no-gzip dont-vary <FilesMatch "\.(appcache|css|htc|js|manifest|map|rdf|svg|txt|vcard|vcf|vtt|webapp|webmanifest|xloc|csv|xls|po|shtml|phtml|html?|atom|xml|rss)$"> Header set Vary Accept-Encoding Header append Cache-Control "no-transform" </FilesMatch> Modifié 21 avril 2017 par alh Lien vers le commentaire Partager sur d’autres sites More sharing options...
bruno Posté(e) 21 avril 2017 Share Posté(e) 21 avril 2017 Bonsoir, Sinon sous WP il y a des modules qui le font très bien Bruno Lien vers le commentaire Partager sur d’autres sites More sharing options...
alh Posté(e) 21 avril 2017 Share Posté(e) 21 avril 2017 Mouais... j'ai jamais été convaincu par le "tout module" de WP, ca devient vite une usine à gaz... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) 22 avril 2017 Share Posté(e) 22 avril 2017 Perso je vais utiliser ce tuto très complet la semaine prochaine quand je vais switch: https://wpmarmite.com/wordpress-https/ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fd_C Posté(e) 25 avril 2017 Share Posté(e) 25 avril 2017 Un htacces que je trouve bien foutu et dont il est facile de s'inspirer : https://gist.github.com/ludo237/5857215 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Recommended Posts
Créer un compte ou se connecter pour commenter
Vous devez être membre afin de pouvoir déposer un commentaire
Créer un compte
Créez un compte sur notre communauté. C’est facile !
Créer un nouveau compteSe connecter
Vous avez déjà un compte ? Connectez-vous ici.
Connectez-vous maintenant