Comment protéger l'accès à un répertoire sur votre hébergement web ?

Définition

Pourquoi protéger l'accès à un répertoire ?

Lorsque vous avez des données sensibles (dossiers clients...), il est fortement recommandé de protéger vos répertoires. 
 

Quels types de répertoires peut-on protéger ?

Vous pouvez protéger tous les répertoires de votre site. Il faut bien prendre en compte que les paramétrages indiqués par un fichier .htaccess s'appliquent au répertoire où le fichier est installé, ainsi qu'à tous ses sous-répertoires.
 

Procédure

Objectif

Cette documentation vous guide pas à pas pour sécuriser l’accès à un répertoire spécifique de votre hébergement web en utilisant une protection par mot de passe. Nous vous proposons deux méthodes pour cela :

• Méthode 1 : Utilisation du LWS Panel qui génère automatiquement les fichiers nécessaires.
• Méthode 2 : Création manuelle des fichiers .htaccess et .htpasswd si vous préférez gérer la configuration vous-même.

Pourquoi protéger un répertoire ?

Protéger un répertoire avec un mot de passe est essentiel lorsque vous avez des informations sensibles ou privées que vous souhaitez rendre accessibles uniquement à certaines personnes. Cela peut être utile pour des répertoires contenant des fichiers administratifs, des documents réservés à une équipe ou des données confidentielles. Cette protection garantit que seules les personnes autorisées pourront accéder à ces fichiers.

Précisions importantes

• Le répertoire racine (htdocs) : Il est important de noter que le répertoire racine ne peut pas être protégé via la méthode simplifiée du LWS Panel. En effet, cette méthode ne permet pas de protéger le répertoire racine de votre site. Si vous souhaitez protéger ce répertoire, vous devrez utiliser la méthode manuelle en créant et configurant les fichiers .htaccess et .htpasswd directement.
• Propagation de la protection aux sous-répertoires : Lorsque vous protégez un répertoire, cette protection s'applique automatiquement à tous les sous-répertoires et fichiers contenus dans ce répertoire. Cela signifie que si vous ajoutez une protection à un dossier, toutes les pages et ressources à l’intérieur de ce dossier seront également protégées par mot de passe. Si vous souhaitez exclure certains sous-répertoires de la protection, cela nécessite une configuration spécifique dans le fichier .htaccess.

Pré-requis

• Un hébergement web géré par le LWS Panel (hors formule domaine).
• Un accès à votre LWS Panel ou la possibilité de manipuler les fichiers de votre hébergement via FTP ou un gestionnaire de fichiers.
• Un nom d’utilisateur et un mot de passe que vous souhaitez attribuer pour accéder au répertoire protégé.

Méthode 1 : Protection via LWS Panel

Étape 1 : Accéder au LWS Panel

1. Connectez-vous à votre espace client LWS.
2. Sélectionnez le domaine sur lequel vous souhaitez ajouter une protection.
3. Dans la rubrique "Fichiers", cliquez sur "Protection dossier".
   

Étape 2 : Remplir le formulaire de protection

1. Saisissez un nom d’utilisateur et un mot de passe. Ces informations seront utilisées pour accéder au répertoire protégé.
   
2. Indiquez le répertoire à sécuriser (4) pour terminer, (à l’exception du répertoire racine).

Étape 3 : Activation de la protection

1. cliquez sur le bouton valider (5) 
2. Une fois le formulaire validé, le LWS Panel génère automatiquement les fichiers nécessaires : .htaccess et .htpasswd sont créés et placés dans le répertoire à protéger. Ne les effacez pas sinon le répertoire ne sera plus sécurisé.
3. La protection par mot de passe est immédiatement active. Dès lors, toute personne tentant d’accéder au répertoire devra entrer le nom d’utilisateur et le mot de passe définis.

Méthode 2 : Protection manuelle via les fichiers .htaccess et .htpasswd

Si vous préférez gérer la configuration de la protection par mot de passe vous-même, vous pouvez créer manuellement les fichiers .htaccess et .htpasswd. Voici comment procéder, étape par étape.

Étape 1 : Créer le fichier .htpasswd

Le fichier .htpasswd contient les identifiants (nom d’utilisateur et mot de passe) utilisés pour accéder au répertoire protégé. Ce fichier doit être placé dans un endroit sécurisé, hors de la portée des visiteurs de votre site.

1. Connectez-vous à votre gestionnaire de fichiers via le LWS Panel ou utilisez un client FTP comme FileZilla.
2. Allez dans le répertoire où vous souhaitez stocker le fichier .htpasswd. IMPORTANT : Il est recommandé de ne pas le placer dans le répertoire que vous voulez protéger. Vous pouvez créer un dossier privé à la racine de votre site, comme private/, pour y mettre ce fichier.
3. Créez un fichier appelé .htpasswd dans ce répertoire.

4. Ajoutez un nom d’utilisateur et un mot de passe dans ce fichier sous cette forme :

   nom_utilisateur:mot_de_passe

   Exemple : Si vous voulez que l'utilisateur soit "admin" avec le mot de passe "secret123", vous devriez d'abord chiffrer le mot de passe (vous pouvez utiliser un générateur en ligne pour cela). Après chiffrement, cela pourrait ressembler à ceci :

   admin:$apr1$N9j7h9gk$JdFqjD/yDg2wMNtnTsdwU.

   Vous pouvez utiliser des générateurs en ligne comme htpasswd generator pour créer le mot de passe sécurisé.

Étape 2 : Créer ou modifier le fichier .htaccess

Le fichier .htaccess est responsable de la gestion des règles d’accès à votre répertoire. Il doit être placé dans le répertoire que vous souhaitez protéger. Si le fichier .htaccess existe déjà, vous devez le modifier.

1. Allez dans le répertoire que vous souhaitez protéger (par exemple, un dossier private).
2. Si le fichier .htaccess n'existe pas encore, créez-le dans ce répertoire. Si ce fichier existe déjà, ouvrez-le pour l’éditer.

3. Ajoutez les lignes suivantes dans le fichier .htaccess pour activer la protection par mot de passe :

   AuthType Basic
   AuthName "Espace protégé"
   AuthUserFile /chemin/vers/.htpasswd
   Require valid-user

   Explication des lignes :

   • AuthType Basic : Cela définit le type de protection (ici, la protection de base par mot de passe).
   • AuthName "Espace protégé" : Ce texte apparaîtra dans la boîte de dialogue de demande d’identifiants. Vous pouvez le personnaliser (par exemple : "Accès restreint").
   • AuthUserFile /chemin/vers/.htpasswd : C’est ici que vous devez indiquer le chemin absolu vers le fichier .htpasswd que vous avez créé à l’étape précédente. Exemple : si le fichier .htpasswd se trouve dans un dossier private, le chemin pourrait être /home/utilisateur/private/.htpasswd.
   • Require valid-user : Cela signifie qu'un utilisateur valide, dont le nom d’utilisateur et le mot de passe sont dans le fichier .htpasswd, pourra accéder au répertoire.

   IMPORTANT : Veillez à bien utiliser le chemin absolu vers le fichier .htpasswd, ce qui permet au serveur de trouver ce fichier, peu importe où il est situé.

Vérification et résultat attendu

• Vous devriez être redirigé vers une fenêtre de connexion lorsque vous tentez d’accéder au répertoire protégé. Après avoir saisi les informations correctes, vous serez autorisé à accéder au contenu.
  
• Si vous obtenez un message d’erreur, assurez-vous que le chemin vers le fichier .htpasswd est correct et que le fichier contient des identifiants chiffrés valides.

Erreurs fréquentes

1. Erreur 403 (Accès interdit) :
   • Vérifiez que le fichier .htpasswd est dans un répertoire sécurisé et que son chemin est correctement indiqué dans le fichier .htaccess.
   • Assurez-vous que le fichier .htpasswd contient bien les identifiants chiffrés et qu’il est correctement formaté.
2. Mot de passe incorrect :
   • Si le mot de passe ne fonctionne pas, vérifiez qu’il est correctement chiffré dans le fichier .htpasswd. Utilisez un générateur de mot de passe chiffré en ligne pour générer un nouveau mot de passe sécurisé.
3. Erreur 404 (Fichier introuvable) :
   • Assurez-vous que le fichier .htaccess est dans le bon répertoire et qu’il est bien nommé (avec un point devant).

Conclusion

Protéger un répertoire avec un mot de passe est une méthode simple et efficace pour sécuriser des informations sensibles sur votre site web. Vous pouvez choisir de le faire via le LWS Panel, qui génère automatiquement les fichiers nécessaires, ou manuellement en créant et en configurant vous-même les fichiers .htaccess et .htpasswd. Les deux méthodes garantissent que seules les personnes disposant des bons identifiants pourront accéder au contenu du répertoire.

 

• Sécuriser votre site avec SSL
• Gestion avancée des fichiers .htaccess

[/tips]

Vidéos

Comment protéger un dossier ?

Pour aller plus loin

Conclusion

Vous êtes désormais en mesure de protéger l'accès à vos répertoires avec les formules d'hébergements mutualisés de LWS.

N'hésitez pas à partager vos remarques et vos questions !