Les propriétaires de sites Web doivent donner la priorité à la sécurité WordPress pour protéger leurs données sensibles et maintenir la confiance de leurs utilisateurs. Une méthode très efficace que nous utilisons chez WPBeginner est de protéger par mot de passe notre répertoire d'administration WordPress.
Le répertoire wp-admin est le centre de contrôle de votre site WordPress. C'est là que vous gérez tout, du contenu aux paramètres, ce qui en fait une cible de choix pour les pirates informatiques. Protéger par mot de passe vos fichiers d'administration les gardera à l'abri des attaques.
Cet article fournit un guide simple pour protéger facilement par mot de passe votre répertoire wp-admin et renforcer la sécurité de votre site Web.
Pourquoi protéger par mot de passe votre répertoire d'administration WordPress ?
En protégeant par mot de passe votre répertoire d'administration WordPress, vous ajoutez une couche de sécurité supplémentaire au point d'entrée le plus important de votre site Web WordPress.
Votre tableau de bord d'administration WordPress est le centre névralgique de votre site. C'est là que vous publierez des articles et pages, personnaliserez votre thème, installerez des plugins WordPress, et plus encore.
Souvent, lorsque les pirates tentent d'accéder à votre site web, ils le font via l'écran wp-admin en utilisant une attaque par force brute.
Vous pouvez aider à protéger votre site web contre les attaques potentielles en utilisant des mesures de sécurité telles qu'un mot de passe fort et en limitant les tentatives de connexion.
Pour être encore plus sécurisé, vous pouvez également protéger par mot de passe le répertoire wp-admin. Ensuite, lorsque quelqu'un tente d'accéder à votre zone d'administration, il devra saisir un nom d'utilisateur et un mot de passe avant d'atteindre la page de connexion WordPress.
Cela dit, examinons comment vous pouvez protéger par mot de passe votre répertoire d'administration WordPress étape par étape.
La première méthode est recommandée pour la plupart des utilisateurs, et vous pouvez utiliser les liens rapides ci-dessous pour accéder directement à la méthode que vous souhaitez utiliser :
- Protéger wp-admin par mot de passe à l'aide de la confidentialité du répertoire (Recommandé)
- Protéger wp-admin par mot de passe à l'aide de code
- Dépannage de la protection par mot de passe de wp-admin
- Bonus : Meilleurs guides WordPress pour la sécurité de wp-admin
Tutoriel vidéo
Si vous préférez des instructions écrites, continuez à lire.
Méthode 1 : Protéger wp-admin par mot de passe à l'aide de la confidentialité du répertoire (Recommandé)
Le moyen le plus simple de protéger par mot de passe votre répertoire d'administration WordPress est d'utiliser l'application Directory Privacy de votre fournisseur d'hébergement WordPress.
Tout d'abord, vous devez vous connecter au tableau de bord de votre compte d'hébergement et cliquer sur l'option « Confidentialité du répertoire » dans la section Fichiers du tableau de bord cPanel de votre site Web.
Remarque : La plupart des hébergeurs Web utilisant cPanel, comme Bluehost, auront des étapes similaires. Cependant, votre tableau de bord peut être légèrement différent de nos captures d'écran, en fonction de votre fournisseur d'hébergement.
Cela vous amène à un écran qui répertorie tous les différents répertoires de votre serveur. Vous devez trouver le dossier qui contient les fichiers de votre site Web.
Pour la plupart des propriétaires de sites Web, cela peut être trouvé en cliquant sur le dossier « public_html ».
Cela affiche tous les fichiers de site Web que vous avez installés sur votre serveur.
Ensuite, vous devrez cliquer sur le dossier portant le nom de domaine de votre site Web.
Dans ce dossier, vous verrez un dossier wp-admin.
Au lieu de cliquer sur le nom du dossier, vous devrez cliquer sur le bouton « Modifier » à côté de ce dossier.
Cela vous amène à un écran où vous pouvez activer la protection par mot de passe.
Cochez simplement la case qui dit « Protéger ce répertoire par mot de passe ». Si vous le souhaitez, vous pouvez également donner un nom à votre répertoire comme « Zone d'administration » pour vous aider à vous en souvenir.
Une fois que vous avez fait cela, vous devrez cliquer sur le bouton « Enregistrer ».
Cela vous mènera à une page où le message de confirmation apparaîtra.
Maintenant, vous devrez cliquer sur le bouton « Retour », et vous serez redirigé vers un écran où vous pourrez créer un utilisateur qui pourra accéder à ce répertoire.
Il vous sera demandé d’entrer un nom d’utilisateur et un mot de passe, puis de confirmer le mot de passe. Assurez-vous de noter votre nom d’utilisateur et votre mot de passe dans un endroit sûr, tel qu’une application de gestion de mots de passe.
Assurez-vous de cliquer sur le bouton « Enregistrer » une fois que vous avez terminé.
Désormais, lorsque quelqu’un essaiera d’accéder à votre répertoire wp-admin, il sera invité à entrer le nom d’utilisateur et le mot de passe que vous avez créés ci-dessus.
Méthode 2 : Protéger par mot de passe wp-admin à l’aide de code
Vous pouvez également protéger par mot de passe votre répertoire d’administration WordPress manuellement. Pour ce faire, vous devrez créer deux fichiers appelés .htpasswd et .htaccess.
Remarque : L’ajout de code à votre site WordPress peut être dangereux. Une petite erreur peut causer des problèmes majeurs sur votre site Web. Nous recommandons cette méthode uniquement aux utilisateurs avancés.
Création du fichier .htaccess
Tout d’abord, ouvrez votre éditeur de texte préféré et nommez le nouveau fichier .htaccess.
Après cela, vous devez copier l’extrait de code suivant et l’ajouter au fichier :
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Assurez-vous de modifier le chemin « AuthUserFile » pour qu’il corresponde à l’emplacement où vous téléchargerez le fichier .htpasswd et remplacez « yourusername » par le nom d’utilisateur que vous souhaitez utiliser pour vous connecter.
N’oubliez pas d’enregistrer le fichier une fois que vous avez terminé.
Création du fichier .htpasswd
Une fois que vous avez fait cela, vous devez créer un fichier .htpasswd.
Pour ce faire, ouvrez un éditeur de texte et créez un fichier nommé .htpasswd. Ce fichier listera votre nom d'utilisateur ainsi que votre mot de passe sous forme cryptée.
Le moyen le plus simple de générer le mot de passe crypté est d'utiliser un générateur htpasswd.
Entrez simplement votre nom d'utilisateur et votre mot de passe, sélectionnez le format de cryptage, et cliquez sur le bouton « Créer le fichier .htpasswd ».
Le générateur htpasswd affichera une ligne de texte que vous devrez coller dans votre fichier .htpasswd. Assurez-vous de sauvegarder le fichier une fois que vous avez terminé.
Téléchargement des fichiers .htaccess et .htpasswd dans le répertoire wp-admin
La dernière étape consiste à télécharger les deux fichiers que vous avez créés dans le dossier wp-admin de votre site web.
Vous devrez vous connecter à votre compte d'hébergement WordPress en utilisant un client FTP ou l'outil de gestion de fichiers en ligne fourni par votre hébergeur. Pour plus de détails, consultez notre guide pour débutants sur comment utiliser FTP pour télécharger des fichiers sur WordPress.
Pour ce tutoriel, nous utiliserons FileZilla car il est gratuit et fonctionne sur Mac et Windows.
Une fois que vous vous êtes connecté à votre site web, vous verrez les fichiers sur votre ordinateur dans la fenêtre de gauche et les fichiers sur votre site web dans la fenêtre de droite. Sur la gauche, vous devrez naviguer jusqu'à l'emplacement où vous avez enregistré les fichiers .htaccess et .htpasswd.
Ensuite, sur la droite, vous devez accéder au répertoire wp-admin du site Web que vous souhaitez protéger. La plupart des utilisateurs devront double-cliquer sur le dossier public_html, puis sur le dossier portant le nom de leur domaine, puis sur le dossier wp-admin.
Vous pouvez maintenant sélectionner les deux fichiers à gauche et cliquer sur « Télécharger » dans le menu contextuel ou simplement faire glisser les fichiers dans la fenêtre de gauche.
Désormais, votre répertoire « wp-admin » sera protégé par mot de passe.
Dépannage de la protection par mot de passe de wp-admin
Selon la configuration de votre serveur et de votre site Web, il est possible que vous rencontriez des erreurs WordPress. Ces erreurs peuvent être corrigées en ajoutant soigneusement du code à votre fichier .htaccess.
Note : Il s'agit du fichier .htaccess situé dans le dossier principal de votre site Web, et non de celui que vous avez téléchargé dans le dossier « wp-admin ». Si vous avez du mal à le trouver, consultez notre guide sur pourquoi vous ne trouvez pas .htaccess et comment le localiser.
Correction de l'erreur Ajax non fonctionnel
L'une des erreurs les plus courantes est que la fonctionnalité Ajax peut cesser de fonctionner sur le front-end de votre site. Si vous avez des plugins WordPress qui nécessitent Ajax, tels que la recherche Ajax en direct ou les formulaires de contact Ajax, vous remarquerez que ces plugins ne fonctionneront plus.
Pour résoudre ce problème, ajoutez simplement le code suivant au fichier .htaccess situé dans votre dossier wp-admin :
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Correction de l'erreur 404 et de l'erreur trop de redirections
Deux autres erreurs que vous pourriez rencontrer sont l'erreur 404 et l'erreur de trop nombreuses redirections.
La façon la plus simple de les corriger est d'ouvrir votre fichier .htaccess principal situé dans le répertoire de votre site Web et d'ajouter la ligne de code suivante avant les règles WordPress :
ErrorDocument 401 default
Bonus : Meilleurs guides WordPress pour la sécurité de wp-admin
Nous espérons que cet article vous a aidé à apprendre comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin). Vous voudrez peut-être consulter d'autres guides sur la sécurisation de votre zone d'administration :
- Comment restreindre l'accès administrateur WordPress par adresse IP
- Conseils vitaux pour protéger votre zone d'administration WordPress (mis à jour)
- Comment ajouter une URL de connexion personnalisée dans WordPress (étape par étape)
- Comment et pourquoi limiter les tentatives de connexion dans WordPress
- Comment ajouter l'authentification à deux facteurs dans WordPress (méthode gratuite)
- Comment ajouter des questions de sécurité à l'écran de connexion WordPress
- Comment forcer les utilisateurs à changer de mot de passe dans WordPress – expiration du mot de passe
- Comment réinitialiser les mots de passe de tous les utilisateurs dans WordPress
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Rauf
Monsieur, lorsque je me connecte, le bouton popup réapparaît sans cesse, me demandant d'entrer le nom d'utilisateur et le mot de passe
demonkoryu
Édition : Je vois que votre problème ne concerne pas les commentaires Disqus (facepalm), mais il pourrait s'appliquer dans votre cas de toute façon.
Cela m'est arrivé aussi.
a) Effacer tous les cookies (pour Disqus et le site où vous essayez de l'utiliser)
b) Essayer un autre navigateur que celui que vous utilisez actuellement
Thomas
Cela ne fonctionne pas pour moi dans WordPress 3.9.1. J'obtiens une erreur 500 (serveur interne) pour toutes les pages d'administration, et la page wp-login.php se charge mais ne s'affiche pas correctement.
J'ai ajouté le code pour l'erreur 404 au fichier .htaccess principal, et j'ai ajouté le code ajax au fichier .htaccess de wp-admin/. Pas de changement.
Qu'est-ce qui pourrait causer cela ? Mon serveur ou mon installation WordPress est-il mal configuré ?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Merci ! –
corrigé mon problème de boucle de redirection avec ErrorDocument 401 default
Invité
J'ai ajouté le code admin-ajax à mon fichier .htaccess /wp-admin, mais cela n'a pas résolu le problème. Le plugin All-In-One-Event-Calendar ne peut toujours pas accéder à admin-ajax sur le front-end.
S'il vous plaît, conseillez-moi.
Merci !
bamajr
L'ajout de l'authentification à deux facteurs au processus de connexion de l'administration WordPress ne résoudrait-il pas cela ? Par exemple, en utilisant Authy (et leur plugin associé) !
Support WPBeginner
Oui, mais une couche supplémentaire renforce la sécurité.
Admin
Chris Christoff
Salut les gars,
Note rapide, admin-ajax.php n'est pas la seule chose à laquelle les plugins ont besoin d'accéder. Vous devez également autoriser l'accès non protégé par mot de passe à async-upload.php et media-upload.php
Ceux-ci sont utilisés par les plugins pour permettre le téléchargement de fichiers sur le front-end (comme le téléchargement d'un fichier lors d'un paiement).
-Chris
bikramjit singh
Bonjour… Je suis nouveau sur WordPress et un visiteur régulier ici. Je rencontre un problème. Lorsque j'essaie de me connecter à mon panneau WordPress, le panneau pour entrer le nom d'utilisateur et le mot de passe n'apparaît pas. Le site s'ouvre tout seul. Mon domaine est http://www.tradethetechnicals.com.How puis-je résoudre ce problème ?
Support WPBeginner
Vous pouvez visiter votre page de connexion ici : http://tradethetechnicals.com/wp-admin
Admin
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Salut, je suis confus !
Si je verrouille le répertoire wp-admin, les auteurs enregistrés peuvent-ils accéder à « http://site.com/wp-admin » dans le navigateur ? Ou ont-ils également besoin d'un nom d'utilisateur et d'un mot de passe ?
Regardez sur mon blog, n'importe qui peut se connecter directement avec Facebook, donc dans un tel cas, si le mot de passe et le nom d'utilisateur sont obligatoires pour tous les utilisateurs. Ce sera un peu complexe à gérer...
Un commentaire ?
Support WPBeginner
vos auteurs enregistrés auront besoin d'un mot de passe pour accéder à la zone d'administration de WP.
Admin
Phil Alcock
Merci pour la correction ajax. J'ai ajouté ces quelques lignes et cela a résolu mon problème avec un plugin. Beaucoup plus facile que la suggestion dans le Codex de WordPress.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
bonjour,
j'utilise cette méthode de mot de passe,
s'il vous plaît aidez-moi, car ces fenêtres contextuelles ne s'ouvrent pas dans UCBrowser !!
alors dites-moi, puis-je créer une page, une page html ou n'importe quel type de page pour la connexion ?? je ne veux pas montrer de popup, je veux montrer une connexion sur une page, et les autres fonctions de la même manière
Support WPBeginner
Vous pouvez créer une page de connexion personnalisée pour WordPress.
Admin
Chathu
Si je suis la méthode cpanel, y a-t-il un moyen de supprimer le mot de passe ?
Merci !
Masood
Merci pour le partage, très utile
Arthur
Wow ! enfin ! Le « ErrorDocument 401 default » a fait l'affaire. Je perdais patience avec le problème de redirection....
Merci beaucoup pour le partage.
James
Cela semble fonctionner parfaitement, sauf que cela demande une authentification sur notre page d'accueil et pas seulement lors de l'accès à wp-admin. Est-ce peut-être un autre plugin qui appelle un fichier autre que admin-ajax.php ?
Personnel éditorial
Oui, il est tout à fait possible qu'un autre plugin appelle admin-ajax.php. Vous devriez utiliser la correction mentionnée ci-dessus.
Admin
Jeffro
Je voulais juste vous faire savoir que lorsque je suis allé gérer mes abonnements ici sur le site via un lien par e-mail, j'ai reçu l'invite nom d'utilisateur mot de passe. Cliquer sur Annuler m'a permis de gérer mes abonnements. Après avoir sélectionné une option et cliqué sur enregistrer, j'ai de nouveau reçu l'invite, cliquer sur annuler a également permis à l'action d'être effectuée. Je vous informe juste au cas où vous ne voudriez pas que cela arrive à d'autres personnes.
Muhammad Ahsan
dois-je copier la ligne « ErrorDocument 401 default » dans le fichier .htaccess dans le fichier /wp-admin/.htaccess ? ou tout autre fichier .htaccess ?
Personnel éditorial
Vous devriez coller ceci dans le fichier .htaccess principal.
Admin
pankaj
Salut,
Comme vous me l'avez dit, je l'ai fait, mais lorsque j'ouvre le répertoire wp-admin, j'obtiens une erreur comme "La page ne redirige pas correctement".
Firefox a détecté que le serveur redirige la requête pour cette adresse d'une manière qui ne se terminera jamais.
Ce problème peut parfois être causé par la désactivation ou le refus d'accepter
les cookies".
Même sur Google Chrome, il n'y a pas de popup. Pouvez-vous me dire comment résoudre ce problème.
Merci d'avance.
Personnel éditorial
Vous devez lire la section de l'article qui dit : Erreur de trop de redirections
Admin
Ed Emery
Bonjour,
Ce problème dure depuis le premier jour la semaine dernière lorsque j'ai installé WP pour la première fois. J'ai suivi le guide étape par étape Comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin) mais le même problème ! Voici une capture d'écran de ce qui se passe / qui / hacker.
D'abord ceci :
Le serveur sacramentofan.com à WPBeginner Admins Only requiert un nom d'utilisateur et un mot de passe.
Avertissement : Ce serveur demande que votre nom d'utilisateur et votre mot de passe soient envoyés de manière non sécurisée (authentification basique sans connexion sécurisée).
Puis ceci après avoir essayé de se connecter :
Le serveur sacramentofan.com à WordPress protection contre les attaques CAPTCHA. Entrez le nom d'utilisateur : e7en4d Mot de passe : Le résultat du calcul 16+4 nécessite un nom d'utilisateur et un mot de passe.
Avertissement : Ce serveur demande que votre nom d'utilisateur et votre mot de passe soient envoyés de manière non sécurisée (authentification basique sans connexion sécurisée).
Alors, comment puis-je arrêter cela car j'ai tout essayé depuis jeudi dernier 07-18-2013
Merci,
Ed
Personnel éditorial
Problème trop complexe pour être expliqué simplement en l'entendant. Il faudrait vraiment voir ce qui se passe. Il semble qu'un plugin cause ce problème.
Admin
David McMahon
Merci beaucoup pour cette astuce utile – je me demandais pourquoi je recevais constamment le message redouté « la requête ne s'achèvera jamais » de Firefox, mais maintenant ce n'est plus le cas !
Akash Deep Satpathi
Salut ! J'ai suivi votre tutoriel avec cPanel mais après, je n'ai pas pu voir mon tableau de bord. Il disait « Cette page web a une boucle de redirection » sur Google Chrome. Alors, qu'est-ce qui me manque ?
Personnel éditorial
Lisez la section qui explique l'erreur 404 ou le problème de trop nombreuses redirections.
Admin
Meher
Bonjour,
Merci beaucoup pour votre article.
J'essayais d'ajouter une couche de connexion supplémentaire au dossier wp-admin et j'étais redirigé vers - Trop de redirections -.
J'ai beaucoup cherché sur Google et je suis tombé sur votre article. Cela m'a vraiment aidé à résoudre ce problème.
Merci encore.
Dan
Même problème ici.
arman
ça marche bien
mais il y a un problème.
quand les utilisateurs normaux se connectent et veulent aller au tableau de bord et changer des informations comme leur photo de profil, ils doivent aussi répondre à ce mot de passe utilisateur !!
y a-t-il une chance de configurer ce dossier protégé uniquement pour l'administrateur ou de l'ignorer pour le tableau de bord des utilisateurs normaux ?
Personnel éditorial
Non. Vous devriez le faire pour tous les utilisateurs.
Admin
ARMAN
Donc, si je l'utilise pour tous les utilisateurs, cela signifie que tous les utilisateurs doivent avoir mon nom d'utilisateur et mon mot de passe pour le dossier protégé !!
donc n'importe qui peut s'inscrire et n'importe qui doit avoir cet utilisateur, mot de passe, puis n'importe quel pirate peut s'inscrire en tant qu'utilisateur sur mon site et obtenir cet utilisateur & mot de passe !!
Donc, protéger Wp-admin est utile uniquement pour les sites avec un seul administrateur ou avec quelques utilisateurs spéciaux pour partager ce mot de passe utilisateur…
Personnel éditorial
Vous pouvez créer plusieurs utilisateurs dans .htpswd. Vous devriez utiliser ce qu'on appelle un groupe.
fox
ooohhh hommes merci pour votre aide :
ErrorDocument 401 default
ça marche parfaitement !!!!!
Nishant
Merci pour les conseils. J'ai implémenté la protection par mot de passe du répertoire Wp-Admin et j'ai également ajouté une double authentification à l'aide de Google Authenticator. Cela semble fonctionner correctement.
J'ai récemment migré vers un nouvel hébergeur (Bluehost) et configuré mon site Wordpress.
J'ai installé le plugin de sécurité Wordfence. La configuration du plugin est telle que chaque fois que quelqu'un se connecte (y compris moi-même), je reçois une alerte par e-mail. Et aussi, si quelqu'un tente une connexion avec un nom d'utilisateur invalide, il bloque cette adresse IP pendant 10 minutes et m'envoie un e-mail m'informant qu'une tentative de connexion a échoué.
Étant donné que j'ai protégé mon répertoire Wp-admin par mot de passe, à moins que quelqu'un ne connaisse l'utilisateur et le mot de passe, il ne peut pas accéder à wp-admin ou wp-login pour tenter une connexion à mon wordpress.
Mais hier soir, j'ai reçu quelques e-mails de Wordfence indiquant que plusieurs adresses IP ont été bloquées pour avoir effectué des tentatives de connexion infructueuses à Wordpress en utilisant des noms d'utilisateur invalides (comme admin, Admin ou nishant). Est-il possible de contourner la protection par mot de passe côté serveur du répertoire wp-admin et de tenter de se connecter à Wordpress ?
Nishant
Nishant
Aussi, je viens de remarquer que...
Lorsque j'utilise directement l'URL vers wp-login, la fenêtre de mot de passe côté serveur pour le répertoire wp-admin s'affiche. Mais lorsque je clique sur annuler dans cette fenêtre de mot de passe (2 à 3 fois), la page wp-login s'affiche !
Mais lorsque l'URL est wp-admin, alors en cliquant sur annuler, il affiche « 401 Autorisation requise
Identifiants de connexion invalides ! »
Et les journaux ont montré que les tentatives de connexion invalides essayaient d'accéder directement à wp-login.php.
Personnel éditorial
Oui, wp-login.php est toujours accessible. Mais même s'ils obtiennent le bon mot de passe, ils ne pourront pas le voir. Vous pouvez également utiliser la même technique et protéger par mot de passe votre fichier wp-login.php individuellement.
Admin
Jeffro
Quel serait exactement ce code ? Je n'ai pas trouvé de moyen facile de protéger par mot de passe des fichiers spécifiques dans Cpanel.
Bart
Cher auteur,
Je suis convaincu d'avoir suivi toutes vos directives, et pourtant je reçois toujours la notification "boucle infinie" de Firefox. Voici ce que j'ai fait jusqu'à présent : – J'ai créé un fichier .htpasswds dans /.htpasswds/public_html/wp-admin/passwd (CHMOD 664) – J'ai créé un fichier .htaccess avec un hachage généré / nom d'utilisateur et je l'ai placé dans /public_html/wp-admin – J'ai inséré la ligne ErrorDocument 401 default avant tout le code dans mon fichier .htaccess principal dans /public_html
Pourriez-vous s'il vous plaît me guider pour résoudre ce problème. Mes principales questions sont :
– vous dites "créez un fichier nommé '.htpasswds'". Est-ce bien le nom de fichier correct ? Je veux dire, avec le s à la fin inclus ? – quel chemin exact dois-je spécifier dans mon fichier .htaccess dans mon dossier /public_html/wp-admin ? Actuellement, il est indiqué "AuthUserFile /.htpasswds/public_html/wp-admin/passwd". Je ne suis pas sûr de faire cette partie correctement...
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Merci beaucoup d'avance… si vous avez besoin de plus d'informations, je serai plus qu'heureux de vous les fournir. Cordialement,
Bart
Personnel éditorial
Quel type d'hébergement avez-vous ? Avez-vous un hébergeur cPanel ? Pouvez-vous essayer d'utiliser la méthode cPanel pour générer le fichier htpswd ?
Il est vraiment difficile de dire ce qui ne va pas car nous avons écrit exactement la même chose que nous avons faite sur notre site.
Admin
zimbrul
J'aimerais vous poser une question : vous est-il déjà arrivé d'avoir le dossier admin protégé par mot de passe et d'être invité à vous authentifier pour CHAQUE article que vous lisez sur votre blog ? Cela m'arrive avec l'un de mes blogs. Je me demandais s'il ne serait pas préférable de protéger la connexion admin avec Google Authenticator ou quelque chose de similaire à la place…
Personnel éditorial
Si l'on vous demande de vous authentifier à chaque fois, alors l'une des deux choses se produit :
1. Vous avez collé les informations .htaccess dans votre fichier .htaccess principal et non dans le fichier .htaccess du dossier /wp-admin/.
2. Le fichier admin-ajax.php est chargé sur le front-end. Vous devez ajouter la règle pour l'empêcher d'être protégé par mot de passe. Nous avons mentionné la solution pour cela.
Enfin, oui, nous avons 3 niveaux de protection pour notre administrateur. Correspondance IP (si cela ne correspond pas, alors le mot de passe .htaccess), puis il y a l'authentificateur Google. Nous avons également activé la limitation des tentatives de connexion.
Sucuri fait également un très bon travail pour bloquer d'autres attaques.
Admin
Anish K.S
J'ai essayé cette méthode, mais j'obtiens une erreur « Erreur 310 (net::ERR_TOO_MANY_REDIRECTS) : Il y a eu trop de redirections. »
Comment résoudre ce problème ???
Personnel éditorial
L'article a une section à ce sujet. Cela n'a pas résolu le problème ?
Admin
Anish K.S
Oui, je l'ai résolu. Merci pour le tutoriel.
Mathieu Slaedts
Bonjour.
J'essaie d'implémenter cette protection. J'ai essayé les deux solutions (manuelle et via le panneau d'administration de mon hébergeur). Dans les deux cas, le .htacess est dans le dossier wp-admin, mais la fenêtre pop-up apparaît sur chaque page.
Une idée d'où cela vient ?
Merci
Personnel éditorial
C'est un comportement improbable. Sans examiner la situation spécifique, nous ne pouvons pas vous dire pourquoi cela se produit. Nous savons qu'en suivant ce tutoriel tel qu'il est écrit, vous devriez pouvoir le faire fonctionner. Nous l'utilisons sur WPBeginner.
Admin
Ollie
J'ai eu le même problème avec la fenêtre pop-up apparaissant sur presque toutes les pages de mon site WordPress.
Il s'avère que sur les pages où elle s'affichait, une ressource wp-admin, dans ce cas quelque chose d'un plugin, était appelée et cela semble avoir déclenché la fenêtre pop-up. J'ai depuis désactivé le plugin et la fenêtre pop-up de mot de passe n'apparaît plus sur ces pages.
Donc, j'ouvrirais la source et chercherais wp-admin pour voir ce qui cause l'apparition de la fenêtre pop-up.
Personnel éditorial
Le fichier le plus couramment chargé est admin-ajax.php, et nous en avons déjà parlé. Si un plugin charge un autre fichier, alors oui, vous devez en tenir compte.
aditya
J'ai fait le suivi comme vous l'avez dit.
J'ai protégé mon répertoire wp-admin et cela fonctionne pour la connexion, mais la même fenêtre contextuelle apparaît toujours lors de la navigation sur le site ????
Personnel éditorial
Cela signifie que vous avez le code dans le mauvais fichier .htaccess. Vous devez créer un tout nouveau fichier .htaccess dans votre dossier /wp-admin/. Il semble que vous ayez collé le code dans votre fichier .htaccess principal.
Admin
20Music
Bonjour,
J'ai suivi la suggestion trouvée sur votre site. J'ai créé un mot de passe depuis cPanel sur le dossier wp-admin et cela a bien fonctionné pour la page de connexion administrateur, mais sur chaque lien sur lequel je clique sur le site web, une fenêtre contextuelle apparaît demandant une identification. Tout est normal lorsque je clique sur annuler.
Savez-vous quel est le problème ?
J'ai également utilisé ErrorDocument 401 default sur le .htaccees principal.
Merci
Personnel éditorial
Pouvez-vous s'il vous plaît vérifier que la protection par mot de passe se trouve dans un fichier .htaccess séparé dans votre dossier wp-admin ?
Admin
Brad LeBlanc
Je l'ai essayé et je n'ai eu aucune fenêtre, juste une erreur 404 (trop de redirections http).
Et j'ai été bloqué de tout jusqu'à ce que je désactive le mot de passe. Qu'est-ce qui se passe ?
Personnel éditorial
Avez-vous fait l'astuce .htaccess que nous avons mentionnée dans l'article qui corrige l'erreur 404 ?
Andrew
Merci pour l'excellente aide sur wpbeginner !
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Personnel éditorial
Allez dans vos Paramètres > Permaliens. Cliquez simplement sur enregistrer et cela résoudra probablement le problème.
Admin
vic
le rafraîchissement des permaliens a fonctionné ! merci, vous m'avez épargné bien des maux de tête.. !
Tomy
Infos très utiles merci, j'ai apparemment eu une intrusion, 3 fichiers ont été ajoutés à mon installation Wordpress. 1 dans wp-admin, 1 dans wp-admin/images et 1 dans wp-includes.
Tous étaient des fichiers php. L'un d'eux contenait du contenu encodé en base64.
Je vais configurer le htaccess dans wp-admin, et le plugin de limitation des tentatives de connexion semble fournir de bonnes informations.
Oh, j'ai pu remarquer les fichiers qui ont été ajoutés à mon installation car le plugin de surveillance de fichiers Wordpress m'a alerté.
Mao Shan
Bonjour,
J'ai suivi la suggestion trouvée sur internet sur la façon de sécuriser le dossier wp-admin. J'ai créé un .htacess pour protéger le dossier par mot de passe. Cependant, après l'avoir implémenté, sur chaque lien sur lequel je clique sur le site, une fenêtre pop-up apparaît demandant une identification. Tout va bien quand je clique sur annuler. Savez-vous quel est le problème ? Je veux sécuriser mon dossier wp-admin mais je ne veux pas de la fenêtre pop-up sur toutes les pages/liens. J'utilise actuellement uniquement le thème Mayashop et le plugin woocommerce.
Merci
Ci-dessous mon exemple de .htacess
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
AuthType Basic
AuthName “Admin Only”
AuthUserFile “(myurl)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
Personnel éditorial
Si votre fichier .htaccess se trouve dans votre /wp-admin/ alors cela ne devrait pas arriver. À moins que vous ne chargiez des ressources d'administration WordPress sur votre front-end.
Admin
Mao Shan
Le fichier .htaccess se trouve dans le dossier wp-admin. J'ai rétabli le thème à twentyeleven et tout fonctionne bien. Seulement sur l'autre thème, l'autorisation requise apparaît sur toutes les pages/liens.
J'ai ajouté la ligne ci-dessous et tout semble correct, mais lorsque je vais à url/wp-admin, il affiche l'erreur 310 (net::ERR_TOO_MANY_REDIRECTS) : Trop de redirections. Quelle en est la raison ?
Fichiers ~ "\\\.(php)$"
Order allow,deny
Allow from all
Satisfy any
Files
Personnel éditorial
Avez-vous lu la partie de l'article qui parle spécifiquement de cette erreur ?
Mao Shan
Bonjour, j'ai réussi à résoudre le problème après une installation propre de WordPress. Le problème est que je suis maintenant incapable de créer un formulaire de contact car il me redirige vers une erreur 404 et lorsque j'active le plugin Xcloner, il me redirige également vers une erreur 404.
Une aide ?
Sudeep Acharya
J'ai protégé mon wp-admin par mot de passe. Mais malgré cela, quelqu'un parvient à faire du bruteforce sur mon blog. Quelle pourrait en être la raison ?
Personnel éditorial
Comment savez-vous qu'ils ont fait du bruteforce et se sont connectés à votre wp-admin ? Cela semble vraiment suspect. Souvent, lorsque cela se produit, l'utilisateur a une porte dérobée en place.
Admin
Sudeep Acharya
J'avais trop de boucles de redirection et j'ai juste ajouté ce code
ErrorDocument 401 default
dans .httaccess a résolu le problème.
Ahsan
Dites-moi où mettre cette ligne... s'il vous plaît
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
J'utilise Cpanel et j'ai suivi la procédure de configuration et je l'ai fait, ainsi que l'utilisateur et le mot de passe.
Cependant, ce que j'ai découvert après des heures de frustration, c'est que le fichier .htaccess principal doit avoir ceci ajouté : ErrorDocument 401 default
Si vous ajoutez cela uniquement au fichier .htaccess principal, tout fonctionne. En haut, avant le début de WordPress, votre monde sera beaucoup plus détendu. C'est après avoir configuré la protection du répertoire dans cpanel.
Merci, j'ai utilisé votre page avec quelques ajustements et cela fonctionne très bien.
damian
Je suis tellement découragé. Mon site a été piraté après seulement 2 jours en ligne ! Le nombre d'étapes nécessaires pour protéger le site est écrasant, et pourtant ils parviennent toujours à y entrer...
Et chaque "autorité" semble avoir une opinion, une approche ou des plugins préférés différents... ma tête tourne... pouvez-vous me donner une liste numérotée des étapes de base à suivre pour éviter de me faire pirater... y compris cpanel, le backend wp, et tout autre chose que vous jugeriez utile... et j'espère des étapes qui ne nécessitent pas une certification A+.... merci mec !
Personnel éditorial
Nous nous excusons sincèrement pour l'expérience que vous avez vécue jusqu'à présent. À partir de maintenant, il n'y a pas de problèmes de sécurité connus dans le cœur de WordPress. Donc, si vous utilisez la version la plus récente de WordPress, c'est une bonne chose. Souvent, les problèmes de sécurité proviennent de plugins et de thèmes mal codés. Avant de pouvoir sécuriser votre site, vous devez le nettoyer. Parfois, changer vos mots de passe et ajouter toutes ces mesures ne suffisent pas. Parce que les pirates peuvent laisser des fichiers d'accès cachés qui leur donnent un accès shell à votre serveur. Nous vous recommandons vivement de commencer à utiliser Sucuri et d'effectuer des sauvegardes régulières.
https://www.wpbeginner.com/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Assurez-vous de garder vos plugins et les fichiers du cœur à jour en permanence. N'utilisez pas de plugins/thèmes provenant de sources non fiables. WordPress est devenu le Windows de notre époque. Parce que tant de sites l'utilisent, les pirates ont la motivation de trouver les failles dans les plugins, les thèmes, etc.
Nous allons travailler à la création d'un tutoriel complet sur la sécurité.
Admin
bob
J'ai protégé par mot de passe mon wp-admin sur mes sites mais je recevais toujours des notifications de verrouillage du plugin lilmit login. Comment cela était-il possible ?
J'ai alors remarqué que si je tapais /wp-login.php? à la place, puis que j'annulais, je pouvais accéder à la page de connexion. Uggggh. Je me demande quelles autres solutions de contournement il existe et que j'ignore.
Personnel éditorial
Vous devriez envisager d'ajouter cette astuce également.
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Admin
Peter
LA SOLUTION DE HOSTGATOR
Il semble qu'un plugin de sécurité ait ajouté une réécriture au fichier .htaccess dans wp-admin/ pour votre compte. Cela provoquait la redirection du site vers lui-même, causant une boucle de redirection.
J'ai corrigé le problème avec le fichier .htaccess et votre page de connexion wp-admin se charge correctement pour le moment.
Si vous avez d'autres questions ou préoccupations, n'hésitez pas à nous le faire savoir.
Sincèrement,
Preston M.
Administrateur Système Linux
HostGator.com LLC
Peter
Un technicien HostGator a travaillé une demi-heure sur le problème d'erreur 404. Il n'a pas pu le résoudre.
Il a même supprimé toutes les règles de réécriture dans le .htaccess de public_html
Peter
J'ai toujours l'erreur « Trop de redirections »
La page ne redirige pas correctement
Firefox a détecté que le serveur redirige la requête pour cette adresse d'une manière qui ne se terminera jamais.
Ce problème peut parfois être causé par la désactivation ou le refus d'accepter
les cookies.
MAIS j'ai ajouté :
« Redirect 301 /tag/tax/ http://snbchf.com/tag/taxes/
Redirect 301 /tag/interest-rate/ http://snbchf.com/tag/academical/
Redirect 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirect 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
à mon .htaccess dans le répertoire public_html.
(j'ai aussi essayé de mettre « ErrorDocument 401 default » au début)
Ankur
C'est un excellent moyen de protéger le répertoire wp-admin. Je l'utilisais depuis longtemps, mais lorsque j'ai installé commentluv, j'ai dû le désinstaller car il ne fonctionnait pas correctement.
Connaissez-vous une solution de contournement ?
Personnel éditorial
Just updated the article. Try that
Admin
Ankur
Thanks, commentluv now works fine
mindctrl
Pour information, j'ai vu que cela cassait des plugins qui utilisaient ajax sur le front-end en appelant wp-admin/admin-ajax.php.
Personnel éditorial
Oui, c'est vrai. Nous n'utilisions aucun plugin qui faisait cet appel. Cependant, vous pouvez ajouter une exception pour ce fichier dans le .htaccess.
Admin
Martin
Je ne suis pas sûr de ce que fait cpanel, mais l'ajout d'un simple htpasswd vous donnera le même résultat.
Personnel éditorial
Eh bien, vous pouvez ajouter un htpasswd. Mais vous devrez également créer une règle .htaccess dans le répertoire wp-admin pour spécifier que vous verrouillez le répertoire. Ensuite, spécifiez l'utilisateur ou le groupe d'utilisateurs autorisé, etc. Cela nous aide essentiellement à simplifier le processus.
Admin
zimbrul
Le tutoriel ci-dessus ajoute en fait de la sécurité avec .htpassword et .htaccess via une interface conviviale dans cPanel. Une fois que vous avez terminé ce qui précède, vous remarquerez qu'un fichier .httpassword a été généré en dehors de la racine de votre serveur (pour des raisons de sécurité) et dans le fichier, vous trouverez les informations que vous avez saisies conformément à ce tutoriel.
Howard
Sur chaque site WP que j'ai, lors de ma toute première connexion après l'installation, je crée un autre compte administrateur avec un nom que je construis selon une formule — et un mot de passe très fort, généré par ordinateur. Je me déconnecte ensuite, puis je me connecte au compte administrateur alternatif, et je réduis le nom d'utilisateur administrateur standard à « aucun rôle pour ce site » et je définis un mot de passe généré par ordinateur d'au moins 35 caractères. Je ne prends pas la peine de sauvegarder ce mot de passe nulle part. Ce n'est plus qu'un pot de miel.
Ensuite, j'installe le plugin « limit login attempts ». Chaque fois qu'il est déclenché, j'ajoute l'adresse IP incriminée à ma liste de blocage dans .htaccess pour m'assurer que cette IP ne peut pas accéder à mon site.
Je bloque 3 ou 4 tentatives d'intrusion dans l'administration chaque semaine.
Personnel éditorial
Oui, nous avons eu ça aussi. Il arrive un moment où les attaques utilisent des adresses IP rebondissantes. Bannir une large gamme d'adresses IP n'est pas une option suffisante. Nous avions également restreint les connexions par IP, mais cela ne semblait pas non plus faire l'affaire.
Admin
Howard
Le plugin « limit login attempts » est plutôt bon. Je l'ai configuré pour qu'il se bloque pendant 100 heures après 4 tentatives échouées, avec le 4ème blocage défini pour 4000 heures. Ainsi, même si le coupable peut changer dynamiquement d'IP, il doit le faire toutes les quatre tentatives. Et avec un mot de passe aléatoire vraiment long, cela devrait prendre quelques siècles, et plus d'adresses IP qu'il ne pourra probablement en accéder.
Dans le cas très improbable où ils parviendraient à pirater mon compte « admin », cela ne leur servirait à rien de toute façon. Chaque fois que je remarque que le salaud a découvert mon vrai nom d'administrateur (ce qui n'est arrivé qu'une seule fois jusqu'à présent), j'en crée immédiatement un nouveau et je règle l'ancien sur « aucun rôle pour ce site » avec un mot de passe aléatoire très long. Il y a quelques autres détails (par exemple, d'abord, je dois changer l'adresse e-mail avant qu'il ne me permette de créer le nouveau compte administrateur avec mon e-mail), mais cela a suffi pour régler le problème.
Je ne sais vraiment pas si c'est infaillible, mais j'espère que les salauds décideront que c'est trop de travail et iront s'en prendre à un site plus faible.
zimbrul
” Chaque fois que je remarque que le salaud a découvert mon vrai nom d'administrateur…” puis-je vous demander comment vous l'avez découvert ?
Howard
@zimbrul Bien sûr.
Le plugin « Limit login attempts » me dit quel nom d'utilisateur est ciblé. Habituellement, c'est « admin », mais il y a eu une occasion où j'ai vu le nom de mon vrai compte administrateur. J'ai donc créé un nouveau compte administrateur, laissé l'ancien, mais vidé de tout accès et avec un mot de passe ridiculement long.
Je ne suis pas sûr de la façon dont le coupable a trouvé le compte administrateur car je lui ai attribué un « surnom » sans rapport qui apparaît dans les publications. Je suppose qu'il existe un fichier sur le serveur qui peut être au moins partiellement lu par un pirate, et je devrais probablement faire des recherches à ce sujet.
Personnel éditorial
Il est assez facile de trouver le nom d'utilisateur. Il suffit à la personne de regarder votre URL d'auteur pour connaître votre nom d'utilisateur. Par exemple, ceci :
https://www.wpbeginner.com/author/wpbeginner/
Le nom d'utilisateur serait « wpbeginner ». Pour la plupart des sites, c'est le cas, sauf s'ils ont bien sûr changé le nom d'utilisateur comme montré dans cette technique :
https://www.wpbeginner.com/wp-tutorials/how-to-change-your-wordpress-username/
Si vous le faites comme ça, votre nom d'utilisateur changera, mais votre URL d'auteur ne changera pas.
zimbrul
Howard, c'est un point intéressant ; j'essaierai de l'implémenter.
J'ai aussi eu des problèmes avec des erreurs 404 ou trop de redirections et je ne connaissais pas la solution, merci pour ça !
Pour une raison quelconque, bannir l'adresse IP dans .htaccess dans le dossier wp-admin ne fonctionne pas pour mon site zimbrul.co.uk ! J'ai essayé d'accéder à mon site depuis mon téléphone portable en 3G et j'ai pu y accéder même si la seule IP autorisée était l'IP de la maison.
Personnel éditorial
Oui, c'est pourquoi il est utile d'avoir une double authentification comme celle-ci.
Admin