Aller au contenu principal
Gaprod

Configurer un firewall

Comment configurer le pare-feu de votre hébergement cPanel pour bloquer les accès non autorisés et protéger votre serveur.

Mis à jour le 22 janvier 2026

Présentation

Un pare-feu (firewall) filtre le trafic réseau entrant et sortant selon des règles définies. Sur les hébergements mutualisés Gaprod, le pare-feu serveur est géré par notre équipe. Vous pouvez cependant configurer des protections supplémentaires au niveau de votre compte cPanel, notamment pour bloquer des IPs spécifiques ou protéger certaines pages.

Protection par IP via cPanel

Bloquer une adresse IP

Si vous constatez des attaques répétées ou des accès suspects depuis une adresse IP particulière, vous pouvez la bloquer directement dans cPanel.

  1. Accéder à la gestion des IP

    Dans cPanel, cherchez la section Sécurité et cliquez sur Blocage d'adresses IP (ou IP Blocker).

  2. Saisir l'adresse IP à bloquer

    Dans le champ prévu, saisissez l'adresse IP ou la plage d'adresses à bloquer. Vous pouvez saisir :

    • Une IP unique : 192.168.1.100
    • Une plage CIDR : 192.168.1.0/24 (bloque tout le sous-réseau)
    • Une plage : 192.168.1.1-192.168.1.50

    Cliquez sur Ajouter pour appliquer le blocage immédiatement.

  3. Vérifier et gérer les IPs bloquées

    La liste des IPs bloquées s'affiche en bas de la page. Vous pouvez supprimer un blocage à tout moment en cliquant sur Supprimer en face de l'entrée concernée.

Trouver l'IP d'un attaquant

Consultez les journaux d'accès de votre serveur (cPanel → Journaux → Accès brut) pour identifier les IPs qui génèrent un grand nombre de requêtes suspectes. Filtrez par URL ciblée (ex. : /wp-login.php) pour repérer les attaques par force brute.

Protection .htaccess (pare-feu applicatif)

Le fichier .htaccess vous permet de définir des règles de sécurité au niveau de votre application web.

Bloquer l'accès à des fichiers sensibles

Ajoutez ces règles dans votre .htaccess principal (public_html/.htaccess) :

# Bloquer l'accès aux fichiers de configuration
<FilesMatch "\.(env|log|bak|sql|conf|ini)$">
  Order allow,deny
  Deny from all
</FilesMatch>

# Bloquer l'accès aux répertoires cachés (.git, .svn)
<DirectoryMatch "^(.*)\/\.">
  Order allow,deny
  Deny from all
</DirectoryMatch>

Limiter les méthodes HTTP

Pour la plupart des sites, seules les méthodes GET, POST et HEAD sont nécessaires. Bloquez les autres pour réduire la surface d'attaque :

<LimitExcept GET POST HEAD>
  Deny from all
</LimitExcept>

Ajouter des en-têtes de sécurité HTTP

Les en-têtes HTTP de sécurité protègent vos visiteurs contre diverses attaques (XSS, clickjacking, etc.). Ajoutez dans .htaccess :

# Protection contre le clickjacking
Header always set X-Frame-Options "SAMEORIGIN"

# Protection XSS
Header always set X-XSS-Protection "1; mode=block"

# Empêcher le MIME sniffing
Header always set X-Content-Type-Options "nosniff"

# Forcer HTTPS (HSTS)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

# Politique de référent
Header always set Referrer-Policy "strict-origin-when-cross-origin"

HSTS irréversible à court terme

L'en-tête HSTS (Strict-Transport-Security) indique aux navigateurs de toujours utiliser HTTPS pour votre domaine. Une fois activé, le navigateur ignorera HTTP pendant la durée du max-age. Assurez-vous que votre HTTPS est bien configuré avant d'activer HSTS.

Configurer ModSecurity (WAF)

ModSecurity est un pare-feu applicatif web (WAF) disponible sur les hébergements Gaprod. Il analyse les requêtes HTTP et bloque celles qui correspondent à des patterns d'attaque connus (injections SQL, XSS, etc.).

  1. Accéder à ModSecurity dans cPanel

    Dans cPanel, rendez-vous dans SécuritéModSecurity. La page affiche l'état de ModSecurity pour chaque domaine de votre hébergement.

  2. Activer ModSecurity

    En face de chaque domaine, activez ModSecurity en passant le curseur sur Activé. ModSecurity s'active immédiatement et commence à analyser le trafic.

  3. Surveiller les règles déclenchées

    Si ModSecurity bloque des requêtes légitimes, des erreurs 403 peuvent apparaître sur votre site. Consultez les journaux ModSecurity dans cPanel pour identifier les règles déclenchées et, si nécessaire, contactez le support Gaprod pour ajuster les règles.

Protéger wp-login.php avec un mot de passe HTTP

Ajouter une couche d'authentification HTTP devant la page de connexion WordPress est très efficace contre les bots.

  1. Créer un fichier .htpasswd

    Dans le Gestionnaire de fichiers, naviguez hors de public_html (dans votre répertoire home). Créez un fichier .htpasswd et ajoutez une ligne au format :

    utilisateur:$apr1$xxxxxx$xxxxxxxxxxxxxxxxxxxxxx

    Utilisez un générateur en ligne sécurisé pour créer le hash du mot de passe (format MD5 Apache ou bcrypt).

  2. Créer un .htaccess dans le dossier wp-admin

    Dans public_html/wp-admin/, créez un fichier .htaccess avec le contenu suivant :

    AuthType Basic
AuthName "Accès restreint"
AuthUserFile /home/VOTRE_USER/.htpasswd
Require valid-user

    Remplacez /home/VOTRE_USER/ par le chemin réel vers votre répertoire home (visible dans cPanel → Informations générales).

Étapes suivantes

Pour une sécurité complète :

  • Activez l'authentification à deux facteurs sur cPanel
  • Mettez en place des sauvegardes quotidiennes
  • Consultez régulièrement les journaux d'accès pour détecter des comportements anormaux

Besoin d'aide supplémentaire ?

Notre support technique est disponible du lundi au vendredi pour répondre à vos questions.

Ouvrir un ticketVoir le blog