Générateur .htaccess WordPress : sécurité, redirections, cache
Avant tout : sauvegardez votre fichier .htaccess actuel. Une erreur dans ce fichier rend le site inaccessible (erreur 500), la restauration de la copie suffit alors à tout réparer.
Comment utiliser ce générateur .htaccess
Cochez les options souhaitées, le fichier se met à jour instantanément. Copiez le résultat, puis collez-le dans le fichier .htaccess à la racine de votre site (au même niveau que wp-config.php), via FTP ou le gestionnaire de fichiers de votre hébergeur. Les options par défaut conviennent à la grande majorité des sites WordPress sur Apache ou LiteSpeed (OVH, o2switch, Ionos, Hostinger, PlanetHoster).
Ce que fait chaque option
Forcer HTTPS redirige tout le trafic HTTP vers HTTPS en 301, indispensable pour le SEO et la sécurité. www / sans www unifie votre domaine sur une seule version, ce qui évite le contenu dupliqué. Protéger wp-config.php interdit toute lecture du fichier qui contient vos identifiants de base de données. Bloquer xmlrpc.php ferme la porte aux attaques par force brute amplifiées (si vous utilisez Jetpack ou la publication à distance, laissez-le accessible). L’énumération des auteurs permet à un robot de découvrir vos identifiants de connexion : le blocage renvoie une erreur 403. Les headers de sécurité protègent contre le sniffing MIME, le clickjacking et les fuites de référent.
Côté performance, mod_expires indique au navigateur de conserver images, polices, CSS et JS en cache local, et mod_deflate compresse les réponses texte : les deux réduisent le temps de chargement sans plugin. L’anti-hotlinking empêche d’autres sites d’afficher vos images en consommant votre bande passante.
FAQ : .htaccess et WordPress
Où se trouve le fichier .htaccess de WordPress ?
À la racine du site, dans le même dossier que wp-config.php et wp-content. C’est un fichier caché : activez l’affichage des fichiers cachés dans votre client FTP ou le gestionnaire de fichiers cPanel.
Mon site affiche une erreur 500 après modification, que faire ?
Restaurez la copie de sauvegarde de votre .htaccess (ou supprimez le fichier et re-enregistrez les permaliens dans Réglages, Permaliens). L’erreur vient presque toujours d’un module absent chez votre hébergeur ou d’une faute de frappe.
Ce générateur fonctionne-t-il avec Nginx ?
Non. Nginx ignore les fichiers .htaccess : la configuration se fait dans les fichiers du serveur (nginx.conf ou vhost). Ces règles doivent y être traduites.
Faut-il un plugin pour modifier le .htaccess ?
Non, un accès FTP ou cPanel suffit et reste plus sûr : un plugin de plus est une surface d’attaque de plus. Notre guide du WAF gratuit pour WordPress et le guide complet des headers de sécurité vont plus loin sur la protection.