Protection d’un répertoire de WordPress sous OVH

Suite à sa dernière mise à jour, le plugin WP-DBManager affichait dans l’interface d’administration de mon blog le message suivant :
« Your backup folder MIGHT be visible to the public.
To correct this issue, move the .htaccess file from wp-content/plugins/wp-dbmanager to /…/…/wp-content/backup-db
« .

Panique à bord. Je ne m’étais jamais souciée de protéger spécifiquement un répertoire sous WordPress. Je me suis renseignée, et j’ai entrepris de créer et d’installer les fichiers .htaccess et .htpasswd nécessaires à la protection de mon blog. Celui-ci est hébergé chez OVH. J’ai donc suivi et appliqué la méthode proposée dans le Guide.OVH.com à la page Comment protéger l’accès à un répertoire par une authentification ? La méthode est simple, mais pas suffisamment explicite sur certains points. J’ajoute ici quelques précisions.

1. Pour m’assurer d’une parfaite conformité avec la méthode préconisée par OVH, je supprime d’abord le fichier « .htaccess » non renseigné, automatiquement créé dans wp-content/plugins/wp-dbmanager lors de l’installation de WP-DBManager.
2. Je copie le script .htaccess proposé par OVH, je le colle dans un éditeur de code – chez moi Smultron (gratuit) – et je le renseigne, toujours d’après les indications fournies par OVH.

Le modèle du script est le suivant :

AuthUserFile /home/votre_login_ftp/www/'chemin d'accès au fichier .htpasswd'/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès Restreint"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>

Remarques :
Le /home/ et le /’chemin d’accès au fichier .htpasswd’/, i. e. le chemin absolu, doivent être précisés.

Si vous souhaitez protéger le répertoire « wp-content/backup-db », consultez dans l’interface d’administration de votre blog la page « Database/Backup DB » du plugin WP-DBManager : vous trouverez en tête de cette page, à la ligne « Checking Backup Folder », la version de votre /home/ et le chemin d’accès (path) absolu à votre répertoire « backup-db ».
Remplacez le /home/votre_login_ftp/www/’chemin d’accès au fichier .htpasswd’ du script ci-dessus par le chemin indiqué à la ligne « Checking Backup Folder ».
Rien d’autre à faire. Le fichier « .htaccess » est maintenant renseigné.
Si vous souhaitez protéger un répertoire dont vous ne connaissez pas le chemin absolu, créez un fichier « chemin.php » contenant le script suivant :

<?php echo realpath('chemin.php'); ?>

Installez ce fichier « chemin.php » dans le répertoire que vous souhaitez protéger.
Ouvrez votre navigateur, saisissez dans la barre d’adresse :

https://url_de_votre_blog/wp-content/nom_du_repertoire_a_proteger/chemin.php

Validez. Le chemin recherché s’affiche dans la barre d’adresse. Il ne vous reste plus qu’à le recopier.

3. Enregistrez le fichier « .htaccess » maintenant renseigné. Comme les noms commençant par un point sont réservés aux fichiers système, nommez provisoirement votre fichier « .htaccess » par exemple comme ceci : « test.htaccess ».

4. Créez maintenant le fichier « .htpasswd », toujours d’après le modèle fourni par OVH :
utilisateur:mot_de_passe_crypté
OVH n’admet que les mots de passe cryptés par l’outil OVH. Pour crypter le mot de passe de votre choix, allez à la page Outils OVH/Crypter un mot de passe, entrez le mot à crypter, puis la clé, et cliquez sur « Cryptez le mot de passe ».


 

Le mot de passe s’affiche. Copiez-le et sauvegardez-le précieusement.
Renseignez maintenant le script « utilisateur:mot_de_passe_crypté ».
Enregistrez le fichier « .htpasswd » ainsi renseigné, en le nommant provisoirement par exemple comme ceci : « test.passwd ».

5. Transférez les fichiers « test.htaccess » et « test.htpasswd » en ftp sur votre serveur. Installez le fichier « test.htpasswd » dans le répertoire à protéger, et le fichier « test.htaccess » dans le même répertoire si vous n’avez rien d’autre à protéger, ou bien classiquement à la racine de votre site si vous envisagez de protéger divers répertoires. Modifiez, directement sur votre serveur, le nom de « test.htpasswd » en « .htpasswd », et celui de « test.htaccess » en « .htaccess ». Pour ce faire, servez-vous de Smultron ou de l’éditeur intégré à votre logiciel de ftp. N’oubliez pas d’enregistrer ces modifications.

6. Testez la validité de votre système de protection. Saisissez dans la barre d’adresse de votre navigateur le chemin relatif du répertoire désormais protégé, par exemple comme suit :

https://url_de_votre_blog/wp-content/backup-db/

Vous devez obtenir la fenêtre suivante :


 

Saisissez le nom de l’utilisateur et le mot de passe en clair.
Si le nom de l’utilisateur et le mot de passe sont correctement renseignés, le serveur autorise l’accès au répertoire « backup-db ». Si ce n’est pas le cas, l’accès demeure refusé : « Vous n’êtes pas autorisé à accéder… »
Ecco !


Ecrit par Christine - Site

3 commentaires pour “Protection d’un répertoire de WordPress sous OVH

  1. bonjour Christine,

    j’ai simplement pris le fichier htacces.txt qui se trouvait dans wp-dbmanager, je l’ai renommé .htaccess et placé dans le dossier backup-db, c’est tout et ça marche.

  2. Bonjour Jean Pierre,

    J’aurais bien aimé a priori que les choses marchent ainsi pour moi. Mais ce n’était pas le cas sur ma machine. A noter que j’ai installé depuis quelques mois WordPress Firewall, qui interdit les « Blocks suspicious-looking requests to WordPress ».

    Finalement, je suis contente d’avoir amélioré la protection de mon blog.

  3. je suis chez Ovh aussi et cet article me servira certainement pour la construction d’un nouveau blog à la rentrée. Comme quoi le malheur des uns fait le bonheur des autres.
    merci :-;

Les commentaires sont clos.