Rien n’est pire que le vol de vos images ou de votre bande passante, mais cela arrive assez régulièrement, car tout est ouvert sur Internet pour que les gens puissent y accéder facilement. Cela peut vous coûter de l’argent et c’est même illégal si la personne est liée à des photos dans lesquelles vous avez dû acquérir une licence d’utilisation. Aujourd’hui, nous allons vous expliquer ce qu’est le hotlinking, pourquoi il est mauvais, et comment vous pouvez empêcher le hotlinking sur votre site WordPress.

Qu’est-ce que le Hotlinking ?

Le concept de hotlinking est très simple. Vous trouvez une image sur Internet quelque part et utilisez l’URL de l’image directement sur votre site. Cette image sera affichée sur votre site Web, mais elle sera servie à partir de l’emplacement original. C’est très pratique pour le hotlinker mais c’est en fait du vol car il utilise les ressources du site victime. C’est comme si on prenait notre voiture et qu’on s’en allait avec l’essence qu’on siphonnait de la voiture de notre voisin

Pourquoi le Hotlinking est mauvais

Vous trouverez ci-dessous quelques points à prendre en compte lorsqu’il s’agit de hotlinking :

1. Le Hotlinking coûte de l’argent au propriétaire du site Web d’origine

Quelqu’un qui crée un lien vers vos images à partir de son site Web peut sembler anodin, mais cela peut générer beaucoup de frais supplémentaires pour vous. The Oatmeal en est un excellent exemple. Le Huffington Post a relié une de ses caricatures qui était composée de multiples images. Puisqu’il s’agit d’une publication importante avec beaucoup de trafic, cela a entraîné beaucoup de frais supplémentaires pour The Oatmeal, car des milliers de personnes ont visualisé les images. Dans un coup classique de The Oatmeal, Matthew Inman, créateur de The Oatmeal, a remplacé tous les fichiers “hotlinked” par ce qui suit :

Exemple de hotlinking
Exemple de hotlinking

Il a également pris soin de remplacer la dernière image par le dessin d’un derrière et d’un sexe. Génial ! Mais comme vous pouvez le constater, les coûts peuvent s’accumuler assez rapidement, surtout si c’est un site très fréquenté qui assure la liaison directe avec votre contenu. Êtes-vous sûr que tous les rédacteurs et blogueurs savent comment utiliser correctement les images ? Probablement pas. Et c’est pourquoi la protection contre le hostlinking existe.

Article connexe : Scraping de contenu – Bloquer ou ignorer ?

 

2. Dans la plupart des cas, l’établissement de liens directs est illégal

Dans de nombreux cas, l’établissement de liens directs est en fait illégal. Pourquoi ? Parce que de nombreuses photos que vous voyez sur le web ont des restrictions de licence qui y sont attachées. Voici quelques restrictions courantes en matière d’images sur l’octroi de licences à partir de sites populaires de photos :

  • Aucune utilisation commerciale n’est permise en aucune circonstance.
  • “Publication sur un site Web ou un blog que vous possédez (dans des articles ou des news à des fins d’illustration seulement).”

Les deux restrictions ci-dessus pourraient facilement être enfreintes si quelqu’un fait un lien vers votre image et l’utilise sur son site Web. Ils n’ont probablement pas la permission de le faire, car ils n’ont pas payé pour la licence. Cela va également de pair avec un lien vers ce site qui n’est pas correctement référencé sur leur site, mais aussi avec l’attribution correcte au créateur original.

3. Cela draine des ressources du serveur

Les liaisons directes peuvent représenter un énorme gaspillage de ressources pour le serveur cible. Imaginez si vous êtes chez un hébergeur WordPress mutualisé et que le Huffington Post se connecte soudainement à vos images. Vous pourriez passer de quelques centaines de requêtes par heure sur votre site à quelques centaines de milliers. Cela pourrait même entraîner la suspension de votre compte d’hébergement WordPress. C’est certainement une raison d’utiliser non seulement un hébergeur de haute performance (qui peut gérer des sauts comme celui-ci), mais aussi d’activer la protection hotlink pour que cela n’arrive pas.

4. Le hotlinking est tout simplement de la paresse

Les gens font-ils du hotlink simplement parce qu’ils sont paresseux ? Eh bien, bien souvent, les gens ne font pas de lien intentionnel vers vos images et ne sont pas conscients que c’est même un problème. Ils sont généralement juste occupés à écrire et font simplement un copier-coller des URLs et des fichiers. Il se peut même qu’ils ne sachent pas comment créer un lien vers une image. Cependant, ce n’est toujours pas une bonne excuse. Si vous écrivez du contenu sur le Web, il est important de comprendre les meilleures pratiques pour créer des liens vers les images d’autres personnes, ainsi que l’attribution appropriée.

Est-ce que le blocage du Hotlinking peut affecter votre SEO ?

Empêcher les gens de faire du hotlinking ne nuira pas à votre référencement, mais cela doit être correctement paramétré. Il y a des robots d’indexation de Google, Bing, Yahoo, etc. qui nécessitent un accès à vos images pour pouvoir les indexer et les afficher correctement. Par exemple, lorsque vous voyez une image dans la recherche d’images Google, la vignette est servie à partir du cache d’images de Google. Mais la version originale (si vous cliquez dessus) est en fait servie depuis votre serveur.

Le hotlinking dans la recherche d'images Google
Le hotlinking dans la recherche d’images Google

Et vous voulez vos images dans la recherche d’images Google. Comme WordStream l’a dit, le trafic de recherche d’images Google est un « atout simple » et peut en fait générer des conversions et des leads pour votre entreprise, que vous n’auriez peut-être pas obtenus autrement.

Comment prévenir le hotlinking

Il existe quelques moyens simples de protéger vos images contre le hotlinking, jetons un coup d’œil aux options qui s’offrent à nous.

Utiliser un CDN avec la protection Hotlink

La plupart d’entre vous diffusent du contenu dans le monde entier à partir de vos sites Web et font appel à un fournisseur CDN pour accélérer la livraison de vos ressources. Les fournisseurs de CDN tels que KeyCDN et Cloudflare disposent déjà d’une excellente protection hotlink intégrée gratuitement que vous pouvez activer. C’est la méthode recommandée car ils ont des règles très précises pour les bots et autres referrers qui ne devraient pas être bloqués. Un autre avantage de le faire sur votre CDN est que vous n’avez rien à changer avec votre installation WordPress.

Si vous utilisez KeyCDN, cliquez simplement sur Zonereferrers et ajoutez les règles. Les crawlers pourront toujours accéder à vos images et les indexer.

Protection Hotlink KeyCDN
Protection Hotlink KeyCDN

Ils ont même une option en un seul clic pour permettre aux référents vides par zone.

KeyCDN autorise le référent vide
KeyCDN autorise le référent vide

Cela permettrait de protéger les ressources de votre CDN contre le hotlinking, mais pas votre serveur d’origine. Donc, si vous êtes très inquiet à propos d’un lien direct vers vos images directement sur votre serveur, vous pouvez également activer la protection hotlink sur votre serveur d’origine (voir les règles Apache et NGINX plus bas). Ceci est très improbable, car quelqu’un devrait supprimer manuellement l’URL CDN. Mais ça pourrait arriver.

Si vous utilisez Cloudflare, vous pouvez facilement activer la protection hotlink sous Scrape Shield dans votre compte. La protection Hotlink n’a pas d’impact sur l’indexation, mais cela empêchera les images d’être affichées sur des sites tels que Google images, Pinterest, etc. Puisque Cloudflare est un service de proxy complet, vous n’avez pas besoin de vous soucier d’activer la protection hotlink sur votre serveur d’origine.

Protection contre le hotlinking dans Cloudflare
Protection contre le hotlinking dans Cloudflare

Si vous utilisez Amazon S3, vous pouvez activer la protection hotlink avec des politiques de buckets, qui se trouve sous « Permissions » dans votre bucket.

Protection Hotlink Amazon S3
Protection Hotlink Amazon S3

Il suffit d’ajouter le code suivant ci-dessous :

{
  "Version": "2008-10-17",
  "Id": "preventHotLinking",
  "Statement": [
    {
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::my-brand-new-bucket/*",
      "Condition": {
        "StringLike": {
          "aws:Referer": [
            "http://yourwebsitename.com/*",
            "http://www.yourwebsitename.com/*"
            "https://google.com/*"
            "https://bing.com/*"
            "https://yahoo.com/*"
          ]
        }
      }
    }
  ]
}

Activer la protection Hotlink sur Apache

Si votre site WordPress tourne sur Apache, il vous suffit d’ouvrir le fichier .htaccess dans le répertoire racine de votre site (ou de le créer) et d’ajouter ce qui suit :

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?bing.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yahoo.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|svg)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

La deuxième ligne permet les références vierges. Vous voudrez probablement l’activer car certains visiteurs utilisent un pare-feu personnel ou un programme antivirus qui supprime les informations de référence de page envoyées par le navigateur Web. Si vous n’autorisez pas les références vierges, vous pourriez désactiver par inadvertance toutes vos images pour ces utilisateurs.

La troisième ligne définit le référent autorisé, le site qui est autorisé à créer un lien direct vers l’image, il doit s’agir de votre site web (mettre à jour votredomaine.com ci-dessus avec votre domaine). Les quatrième, cinquième et sixième lignes ajoutent les moteurs de recherche à la liste autorisée, parce que vous ne voulez pas bloquer les robots de recherche tels que Google bot ou Bing bot. Cela pourrait empêcher vos images de s’afficher et de s’indexer dans la recherche d’images Google.

Et la septième ligne définit l’image que vous voulez que le visiteur voit à la place de l’image protégée par hotlink. Ce n’est pas obligatoire, mais vous pourriez leur donner un avertissement amical. Si vous voulez autoriser plusieurs sites, vous pouvez dupliquer cette ligne et remplacer le référent. Si vous voulez générer des règles plus complexes, jetez un coup d’oeil à ce générateur de protection hotlink par htaccess.

Si vous utilisez les règles ci-dessus avec un CDN, vous pourriez également avoir besoin d’une liste blanche pour votre sous-domaine CDN.

Activer la protection Hotlink sur NGINX

Si vous utilisez NGINX, tout ce que vous avez à faire est d’ouvrir votre fichier de configuration et d’ajouter ce qui suit :

location ~ .(gif|png|jpeg|jpg|svg)$ {
     valid_referers none blocked ~.google. ~.bing. ~.yahoo. yourdomain.com *.yourdomain.com;
     if ($invalid_referer) {
        return   403;
    }
}

Si vous êtes un utilisateur Kinsta et que vous n’utilisez pas de CDN, nous pouvons ajouter ceci pour vous. Il vous suffit d’ouvrir un ticket rapide avec notre équipe de support depuis le tableau de bord MyKinsta. Si vous utilisez les règles ci-dessus avec un CDN, vous pourriez également avoir besoin d’une liste blanche pour votre sous-domaine CDN.

Plugins WordPress

Il existe quelques plugins WordPress liés au hotlinking mais beaucoup de ceux à usage unique ne sont pas très bien maintenus ou ont de mauvaises critiques. Nous vous déconseillons de les utiliser. Nous vous suggérons de jeter un coup d’oeil au plugin All In One WP Security And Firewall qui est un excellent plugin de sécurité complet avec la possibilité d’empêcher le hotlinking. Cependant, il est généralement préférable d’activer la protection hotlink au niveau du serveur ou du CDN.

All In One WP Security And Firewall
All In One WP Security And Firewall

All In One WP Security & Firewall compte actuellement plus de 500.000 installations actives avec une note impressionnante de 5 étoiles sur 5. Vous pouvez le télécharger à partir du référentiel WordPress ou en le recherchant dans votre tableau de bord WordPress sous « Ajouter » extensions.

Note : Si vous êtes un utilisateur de Kinsta, ce plugin n’est pas autorisé car nous appliquons plusieurs de ces mêmes précautions de sécurité au niveau serveur. Cela permet de s’assurer que cela n’affecte pas les performances de votre site WordPress et qu’ils sont bien adaptés à notre environnement. Si vous avez besoin d’une protection hotlink activée, contactez simplement notre équipe d’assistance.

Désactiver le clic droit dans WordPress

Une autre option que vous avez pour empêcher le hotlinking dans WordPress est de désactiver la fonctionnalité de clic droit. Il ne s’agit en aucun cas d’une approche à toute épreuve, mais elle peut être un bon moyen de s’assurer que les utilisateurs habituels ne volent pas vos images ou ne les copient pas dans d’autres applications et ne les lient pas à votre domaine source. Il existe un petit plugin gratuit appelé Prevent Content Theft qui vous aidera à arrêter cela. Vous pouvez le télécharger à partir du référentiel WordPress ou en le recherchant dans votre tableau de bord WordPress sous « Ajouter » extensions.  Il n’y a pas de paramètres, il suffit de l’installer et c’est prêt.

Plugin WordPress Prevent Content Theft
Plugin WordPress Prevent Content Theft

Ce plugin désactive non seulement le clic droit sur vos images mais aussi sur la page entière, protégeant ainsi votre contenu. Nous l’avons installé et testé sur notre site de développement et vous pouvez voir ci-dessous un exemple de ce qui se passe lorsqu’un utilisateur essaie de faire un clic droit sur une image. Ils reçoivent une boîte de notification qui leur indique que cette fonction est désactivée.

Désactiver le clic droit dans WordPress
Désactiver le clic droit dans WordPress

Renommer les fichiers

Si vous découvrez soudainement un site à fort trafic ou un hotlinking de sources multiples vers une seule image, une méthode simple que vous avez à votre disposition est de simplement renommer le fichier. Changez le lien sur votre propre site et laissez les hotlinkers s’enflammer de colère alors que leurs images deviennent des erreurs 404. Bien que pratique, cette méthode est plus une solution rapide, c’est un peu difficile à utiliser contre les hotlinks à grande échelle.

Paramètres cPanel

Si vous avez cPanel /WHM installé pour votre domaine, vous pouvez utiliser l’outil de protection hotlink intégré. Jetez un coup d’œil à la documentation de cPanel pour plus d’informations, c’est aussi simple que d’activer un paramètre.

Comment déposer un avis de retrait DMCA

Une autre solution est que puisqu’ils ne possèdent pas l’image et l’utilisent sans votre permission, vous pouvez toujours déposer un avis de retrait DMCA. Cela peut être un moyen rapide de s’assurer qu’elle sera enlevée. Vous seriez surpris de voir à quel point une lettre d' »abus » rapide peut faire l’affaire. De nombreux propriétaires de sites Web traiteront la question immédiatement, car ils craignent des poursuites judiciaires.

Conclusion

Si vous êtes un agrégateur de contenu et un passionné de partage, assurez-vous d’être sympa et de créer des liens vers des sites Web, n’affichez pas d’images directement. Si vous êtes vraiment un fan de ce que vous montrez, vous soutiendrez beaucoup plus l’auteur original ! Si vous êtes un créateur de contenu, assurez-vous de vous protéger contre le vol, le hotlinking est un domaine qui n’est pas trop difficile à prévenir. Chacune des méthodes mentionnées ci-dessus vous permettra d’économiser de l’argent, du temps et de la bande passante.

Avez-vous déjà eu affaire à des gens qui ont accès à vos images ? Si oui, nous aimerions en entendre parler ci-dessous.

Daniel Pataki

Hi, my name is Daniel, I'm the CTO here at Kinsta. You may know me from Smashing Magazine, WPMU Dev, Tuts+ and other WordPress/Development magazines. Aside from WordPress and PHP I spend most of my time around Node, React, GraphQL and other technologies in the Javascript space.

When not working on making the best hosting solution in the Universe I collect board games, play table football in the office, travel or play guitar and sing in a pretty bad band.