Centre d'Assistance
Accueil Hébergement Autres langages de script et de programmation

Mettre en place une protection de répertoire à l'aide de .htaccess et FTP

Pour l'hébergement Web

Dans cet article, vous apprendrez comment mettre en place une protection par mot de passe côté serveur pour votre site Web.

Une protection par mot de passe côté serveur (HTTP-Basic-Authentication) permet de sécuriser efficacement les répertoires de votre site Web. Avant de livrer des contenus, le serveur Web demande au visiteur un nom d'utilisateur et un mot de passe. Cette méthode est nettement plus sûre que les solutions JavaScript, car la vérification a lieu directement sur le serveur.

Remarque

Avez-vous commandé votre contrat avant le 10/09/2024 ? Dans ce cas, vous pouvez également configurer la protection directement dans votre compte IONOS. Vous trouverez de plus amples informations à ce sujet dans l'article du Centre d'Assistance Configurer la protection du répertoire pour l'espace Web dans le compte IONOS .

Conditions préalables

  • Vous disposez d'un pack d'hébergement Web IONOS avec accès SSH.

Le principe en bref

Pour la protection par mot de passe, vous avez besoin de deux fichiers dans le même répertoire de votre espace Web.

  • .htpasswd : les utilisateurs ainsi que leurs mots de passe cryptés sont enregistrés ici.
  • .htaccess : ce fichier fait office de "videur". A chaque ouverture du site Web, il vérifie si le visiteur a saisi les données d'accès correctes dans .htpasswd.

Étape 1 : Déterminer le répertoire cible

Sur un espace Web, il y a souvent plusieurs sites Web dans différents dossiers. Pour éviter de bloquer par erreur le mauvais site, vous devez d'abord vérifier dans quel dossier se trouve votre projet.

  • Connectez-vous à votre compte IONOS.

  • Dans la barre de titre, cliquez sur Menu > Domaines & SSL.

  • Cliquez sur le domaine dont vous souhaitez protéger le site Web.

  • Cherchez l'entrée Cible.

Vous y verrez ce que l'on appelle le répertoire d'origine (par ex. /wordpress ou /ma-boutique). Mémorisez le nom de ce dossier. A l'étape 3, vous devez vous rendre précisément dans ce dossier.

Étape 2 : établir une connexion SSH

Pour exécuter des commandes directement sur votre espace Web, vous devez d'abord établir une connexion cryptée (SSH).

Les instructions suivantes vous montrent comment établir une connexion SSH. Sélectionnez les instructions correspondant à votre système d'exploitation :

Etape 3 : Passer dans le répertoire cible

Après avoir établi la connexion SSH, vous vous trouvez dans le répertoire principal de votre espace Web. Vous y voyez généralement les dossiers de tous vos projets.

Attention si vous avez plusieurs sites Web : ne créez pas les fichiers de protection directement dans le répertoire principal, à moins que vous ne souhaitiez verrouiller tous vos sites Web avec le même mot de passe. Passez plutôt toujours dans le dossier du site Web spécifique.

Pour naviguer dans le bon dossier, utilisez les commandes suivantes :

  • Pour afficher les dossiers existants, saisissez ls (list) et appuyez sur la touche Entrée.

    ls

  • Accédez au dossier déterminé à l'étape 1 (par exemple "ma-boutique") en saisissant la commande suivante et en appuyant sur la touche Entrée:

    cd ma-boutique

Conseil : vous pouvez appuyer sur la touche de tabulation après les premières lettres du nom du dossier pour le compléter automatiquement.

Étape 4 : Créer un utilisateur et un fichier de mots de passe (créer un fichier .htpasswd)

Créez maintenant le fichier .htpasswd et créez le premier utilisateur.

  • Saisissez la commande suivante et confirmez avec la touche Entrée. Remplacez <NOM D'UTILISATEUR> par le nom de connexion souhaité (par ex. admin ou gast) :

    htpasswd -Bc .htpasswd <NOM D'UTILISATEUR>.

  • Appuyez sur la touche Entrée.
  • Saisissez le mot de passe souhaité et confirmez-le en appuyant sur la touche Entrée. Pour des raisons de sécurité, aucun caractère ou astérisque n'est affiché lors de la saisie. Saisissez simplement le mot de passe "à l'aveugle".

Le fichier .htpasswd est créé et le mot de passe y est enregistré de manière cryptée et sécurisée à l'aide de bcrypt.

Étape 5 : Configurer la protection (créer un fichier .htaccess)

Pour que la protection soit active, vous devez indiquer au serveur où se trouve exactement le fichier de mots de passe. Pour cela, il a besoin du chemin absolu du système.

  • Pour déterminer le chemin d'accès au système, saisissez pwd dans le répertoire actuel et appuyez sur la touche Entrée:

    pwd

  • Copiez le chemin dans un fichier texte. la structure du chemin d'accès diffère selon la date de commande de votre contrat.

    Exemple (pour les contrats commandés jusqu'au 17/09/2025 inclus) :

    /clients/homepages/12/d12345678/htdocs

    Exemple (pour les contrats commandés à partir du 18/09/2025) :

    /home/www/public/ma-boutique

  • Créez maintenant le fichier .htaccess. Pour ce faire, ouvrez l'éditeur de texte nano en saisissez la commande suivante et confirmez avec la touche Entrée :

    nano .htaccess

  • Copiez le bloc suivant dans l'éditeur :

    AuthType Basic
    AuthName "Domaine protégé"
    AuthUserFile /CHEMIN/VERS/VOTRE/FICHIER/.htpasswd
    Require valid-user

  • Pour adapter le chemin, naviguez avec les touches fléchées jusqu'à la ligne AuthUserFile. Supprimez le caractère de remplacement /CHEMIN/VERS/VOTRE/FICHIER/.htpasswd et insérez le chemin que vous avez déterminé ci-dessus avec pwd, complété par /.htpasswd.

    Voici à quoi devrait ressembler la ligne à la fin :

    Exemple (pour les contrats commandés jusqu'au 17/09/2025 inclus) :

    AuthUserFile /clients/homepages/12/d12345678/htdocs/ma-boutique/.htpasswd

    Exemple (pour les contrats commandés à partir du 18/09/2025) :

    AuthUserFile /home/www/public/ma-boutique/.htpasswd

  • Pour enregistrer le fichier, appuyez sur les touches Ctrl + O (Enregistrer), confirmez avec la touche Entrée et appuyez ensuite sur Ctrl + X (Quitter).
     

La protection par mot de passe est immédiatement active.

Étape 6 : Tester

Pour tester la protection par mot de passe, procédez comme suit :

  • Ouvrez votre navigateur et accédez à votre site Web. Une fenêtre de connexion devrait alors s'ouvrir.

  • Dans la fenêtre de connexion, saisissez le nom d'utilisateur et le mot de passe de l'étape 4.

Si la page se charge, la configuration a réussi. Si ce n'est pas le cas, consultez la section "Dépannage" et recommencez les étapes de configuration si nécessaire.

Facultatif : ajouter d'autres utilisateurs

Vous pouvez à tout moment ajouter d'autres utilisateurs à votre fichier de mots de passe :

  • Allez dans le répertoire dans lequel vous avez configuré la protection par mot de passe (voir ci-dessus l'étape 3 : aller dans le répertoire cible).

  • Saisissez la commande passwd selon le schéma suivant :

Attention

Si vous ajoutez d'autres utilisateurs, n'utilisez en aucun cas la commande "passwd" avec l'option -c (ou -Bc). Le "c" signifie "create" (recréer). Si vous utilisez cette option, votre fichier existant sera écrasé et tous les utilisateurs précédents seront supprimés.

htpasswd -B .htpasswd <NOM D'UTILISATEUR>.

Avant de l'exécuter, remplacez le caractère de remplacement <NOM D'UTILISATEUR> par le nom de l'utilisateur que vous souhaitez ajouter.

Dépannage

 
Erreur 500 (Internal Server Error)

Si vous recevez le message d'erreur 500 après avoir activé la protection par mot de passe sur votre site, cela indique en général une erreur dans le fichier .htaccess.

  • Cause : la cause la plus fréquente est que le chemin d'accès à AuthUserFile n'est pas correct à 100 %. Vérifiez-le donc à nouveau avec pwd.
  • Solution : pour rendre le site à nouveau accessible, supprimez le fichier .htaccess par FTP ou SSH (rm .htaccess) et répétez ensuite l'étape 5.

Aucune demande de mot de passe

Si aucune demande de mot de passe n'est effectuée, le .htaccess se trouve probablement dans le mauvais dossier. Vérifiez donc que vous vous trouvez bien dans le répertoire du domaine (voir étapes 1 et 3).

 

Contenu