Pas de protection par mot de passe pour le dossier wp-admin

Sur Internet vous trouverez beaucoup d’articles qui expliquent comment ajouter une protection par mot de passe pour votre back-office.

Il existe un problème

Avec une protection par mot de passe sur ce dossier, il y a un gros problème car cela va empêcher toutes les requêtes vers admin-ajax.php et admin-post.php.

Dans le Codex de WordPress vous pourrez trouver une page vous expliquant comment implémenter l’AJAX. Vous y lirez que admin-ajax.php se trouve dans /wp-admin/.

En utilisant une protection par mot de passe pour ce dossier vous bloquez l’accès à ces fichiers ce qui veut dire que les requêtes AJAX sont cassées.

Il existe une solution

Vous pouvez tout à fait faire ça, mais il n’y a qu’un seul bon moyen :

AuthType Basic
AuthName "Protected page"
AuthUserFile /home/.htpasswd

Require valid-user
<Files admin-ajax.php>
  Order allow,deny
  Allow from all
  Satisfy any
</Files>
<Files admin-post.php>
  Order allow,deny
  Allow from all
  Satisfy any
</Files>
<Files "\.(css|gif|png|js)$">
  Order allow,deny
  Allow from all
  Satisfy any
</Files>

Avec ce code, vous bloquerez les accès au dossier /wp-admin mais PAS pour ajax/post ni les contenus comme les jpg/css/js. Ceci est la bonne méthode.

Vous pouvez utiliser htaccesstools.com pour générer le fichier .htpasswd que vous copierez sur votre serveur comme indiqué dans l’exemple : /home/.htpasswd.

htaccesstools.com

Maintenant, gardez en tête que cette protection par mot de passe n’est PAS la seule façon de protéger vos contenus et fichiers. Notre plugin de sécurité SecuPress le fera facilement sans que vous n’ayez à taper la moindre ligne de code.

À propos de Julio Potier Tous les articles de Julio Potier

Créateur de SecuPress et de la Formation LearnWPSecurity, Julio est aussi organisateur du WordCamp Lille.
Orateur compulsif, formateur sénior et ingénieur WordPress, il s’est spécialisé dans la sécurité depuis 2002 et contribue à WordPress sous diverses formes.