Les propriétaires de sites Web doivent donner la priorité à la sécurité WordPress pour protéger leurs données sensibles et maintenir la confiance de leurs utilisateurs. Une méthode très efficace que nous utilisons chez WPBeginner est de protéger par mot de passe notre répertoire d'administration WordPress.
Le répertoire wp-admin est le centre de contrôle de votre site WordPress. C'est là que vous gérez tout, du contenu aux paramètres, ce qui en fait une cible de choix pour les pirates informatiques. Protéger par mot de passe vos fichiers d'administration les gardera à l'abri des attaques.
Cet article fournit un guide simple pour protéger facilement par mot de passe votre répertoire wp-admin et renforcer la sécurité de votre site Web.
Pourquoi protéger par mot de passe votre répertoire d'administration WordPress ?
En protégeant par mot de passe votre répertoire d'administration WordPress, vous ajoutez une couche de sécurité supplémentaire au point d'entrée le plus important de votre site Web WordPress.
Votre tableau de bord d'administration WordPress est le centre névralgique de votre site. C'est là que vous publierez des articles et pages, personnaliserez votre thème, installerez des plugins WordPress, et plus encore.
Souvent, lorsque les pirates tentent d'accéder à votre site web, ils le font via l'écran wp-admin en utilisant une attaque par force brute.
Vous pouvez aider à protéger votre site web contre les attaques potentielles en utilisant des mesures de sécurité telles qu'un mot de passe fort et en limitant les tentatives de connexion.
Pour être encore plus sécurisé, vous pouvez également protéger par mot de passe le répertoire wp-admin. Ensuite, lorsque quelqu'un tente d'accéder à votre zone d'administration, il devra saisir un nom d'utilisateur et un mot de passe avant d'atteindre la page de connexion WordPress.
Cela dit, examinons comment vous pouvez protéger par mot de passe votre répertoire d'administration WordPress étape par étape.
La première méthode est recommandée pour la plupart des utilisateurs, et vous pouvez utiliser les liens rapides ci-dessous pour accéder directement à la méthode que vous souhaitez utiliser :
- Protéger wp-admin par mot de passe à l'aide de la confidentialité du répertoire (Recommandé)
- Protéger wp-admin par mot de passe à l'aide de code
- Dépannage de la protection par mot de passe de wp-admin
- Bonus : Meilleurs guides WordPress pour la sécurité de wp-admin
Tutoriel vidéo
Si vous préférez des instructions écrites, continuez à lire.
Méthode 1 : Protéger wp-admin par mot de passe à l'aide de la confidentialité du répertoire (Recommandé)
Le moyen le plus simple de protéger par mot de passe votre répertoire d'administration WordPress est d'utiliser l'application Directory Privacy de votre fournisseur d'hébergement WordPress.
Tout d'abord, vous devez vous connecter au tableau de bord de votre compte d'hébergement et cliquer sur l'option « Confidentialité du répertoire » dans la section Fichiers du tableau de bord cPanel de votre site Web.
Remarque : La plupart des hébergeurs Web utilisant cPanel, comme Bluehost, auront des étapes similaires. Cependant, votre tableau de bord peut être légèrement différent de nos captures d'écran, en fonction de votre fournisseur d'hébergement.
Cela vous amène à un écran qui répertorie tous les différents répertoires de votre serveur. Vous devez trouver le dossier qui contient les fichiers de votre site Web.
Pour la plupart des propriétaires de sites Web, cela peut être trouvé en cliquant sur le dossier « public_html ».
Cela affiche tous les fichiers de site Web que vous avez installés sur votre serveur.
Ensuite, vous devrez cliquer sur le dossier portant le nom de domaine de votre site Web.
Dans ce dossier, vous verrez un dossier wp-admin.
Au lieu de cliquer sur le nom du dossier, vous devrez cliquer sur le bouton « Modifier » à côté de ce dossier.
Cela vous amène à un écran où vous pouvez activer la protection par mot de passe.
Cochez simplement la case qui dit « Protéger ce répertoire par mot de passe ». Si vous le souhaitez, vous pouvez également donner un nom à votre répertoire comme « Zone d'administration » pour vous aider à vous en souvenir.
Une fois que vous avez fait cela, vous devrez cliquer sur le bouton « Enregistrer ».
Cela vous mènera à une page où le message de confirmation apparaîtra.
Maintenant, vous devrez cliquer sur le bouton « Retour », et vous serez redirigé vers un écran où vous pourrez créer un utilisateur qui pourra accéder à ce répertoire.
Il vous sera demandé d’entrer un nom d’utilisateur et un mot de passe, puis de confirmer le mot de passe. Assurez-vous de noter votre nom d’utilisateur et votre mot de passe dans un endroit sûr, tel qu’une application de gestion de mots de passe.
Assurez-vous de cliquer sur le bouton « Enregistrer » une fois que vous avez terminé.
Désormais, lorsque quelqu’un essaiera d’accéder à votre répertoire wp-admin, il sera invité à entrer le nom d’utilisateur et le mot de passe que vous avez créés ci-dessus.
Méthode 2 : Protéger par mot de passe wp-admin à l’aide de code
Vous pouvez également protéger par mot de passe votre répertoire d’administration WordPress manuellement. Pour ce faire, vous devrez créer deux fichiers appelés .htpasswd et .htaccess.
Remarque : L’ajout de code à votre site WordPress peut être dangereux. Une petite erreur peut causer des problèmes majeurs sur votre site Web. Nous recommandons cette méthode uniquement aux utilisateurs avancés.
Création du fichier .htaccess
Tout d’abord, ouvrez votre éditeur de texte préféré et nommez le nouveau fichier .htaccess.
Après cela, vous devez copier l’extrait de code suivant et l’ajouter au fichier :
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Assurez-vous de modifier le chemin « AuthUserFile » pour qu’il corresponde à l’emplacement où vous téléchargerez le fichier .htpasswd et remplacez « yourusername » par le nom d’utilisateur que vous souhaitez utiliser pour vous connecter.
N’oubliez pas d’enregistrer le fichier une fois que vous avez terminé.
Création du fichier .htpasswd
Une fois que vous avez fait cela, vous devez créer un fichier .htpasswd.
Pour ce faire, ouvrez un éditeur de texte et créez un fichier nommé .htpasswd. Ce fichier listera votre nom d'utilisateur ainsi que votre mot de passe sous forme cryptée.
Le moyen le plus simple de générer le mot de passe crypté est d'utiliser un générateur htpasswd.
Entrez simplement votre nom d'utilisateur et votre mot de passe, sélectionnez le format de cryptage, et cliquez sur le bouton « Créer le fichier .htpasswd ».
Le générateur htpasswd affichera une ligne de texte que vous devrez coller dans votre fichier .htpasswd. Assurez-vous de sauvegarder le fichier une fois que vous avez terminé.
Téléchargement des fichiers .htaccess et .htpasswd dans le répertoire wp-admin
La dernière étape consiste à télécharger les deux fichiers que vous avez créés dans le dossier wp-admin de votre site web.
Vous devrez vous connecter à votre compte d'hébergement WordPress en utilisant un client FTP ou l'outil de gestion de fichiers en ligne fourni par votre hébergeur. Pour plus de détails, consultez notre guide pour débutants sur comment utiliser FTP pour télécharger des fichiers sur WordPress.
Pour ce tutoriel, nous utiliserons FileZilla car il est gratuit et fonctionne sur Mac et Windows.
Une fois que vous vous êtes connecté à votre site web, vous verrez les fichiers sur votre ordinateur dans la fenêtre de gauche et les fichiers sur votre site web dans la fenêtre de droite. Sur la gauche, vous devrez naviguer jusqu'à l'emplacement où vous avez enregistré les fichiers .htaccess et .htpasswd.
Ensuite, sur la droite, vous devez accéder au répertoire wp-admin du site Web que vous souhaitez protéger. La plupart des utilisateurs devront double-cliquer sur le dossier public_html, puis sur le dossier portant le nom de leur domaine, puis sur le dossier wp-admin.
Vous pouvez maintenant sélectionner les deux fichiers à gauche et cliquer sur « Télécharger » dans le menu contextuel ou simplement faire glisser les fichiers dans la fenêtre de gauche.
Désormais, votre répertoire « wp-admin » sera protégé par mot de passe.
Dépannage de la protection par mot de passe de wp-admin
Selon la configuration de votre serveur et de votre site Web, il est possible que vous rencontriez des erreurs WordPress. Ces erreurs peuvent être corrigées en ajoutant soigneusement du code à votre fichier .htaccess.
Note : Il s'agit du fichier .htaccess situé dans le dossier principal de votre site Web, et non de celui que vous avez téléchargé dans le dossier « wp-admin ». Si vous avez du mal à le trouver, consultez notre guide sur pourquoi vous ne trouvez pas .htaccess et comment le localiser.
Correction de l'erreur Ajax non fonctionnel
L'une des erreurs les plus courantes est que la fonctionnalité Ajax peut cesser de fonctionner sur le front-end de votre site. Si vous avez des plugins WordPress qui nécessitent Ajax, tels que la recherche Ajax en direct ou les formulaires de contact Ajax, vous remarquerez que ces plugins ne fonctionneront plus.
Pour résoudre ce problème, ajoutez simplement le code suivant au fichier .htaccess situé dans votre dossier wp-admin :
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Correction de l'erreur 404 et de l'erreur trop de redirections
Deux autres erreurs que vous pourriez rencontrer sont l'erreur 404 et l'erreur de trop nombreuses redirections.
La façon la plus simple de les corriger est d'ouvrir votre fichier .htaccess principal situé dans le répertoire de votre site Web et d'ajouter la ligne de code suivante avant les règles WordPress :
ErrorDocument 401 default
Bonus : Meilleurs guides WordPress pour la sécurité de wp-admin
Nous espérons que cet article vous a aidé à apprendre comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin). Vous voudrez peut-être consulter d'autres guides sur la sécurisation de votre zone d'administration :
- Comment restreindre l'accès administrateur WordPress par adresse IP
- Conseils vitaux pour protéger votre zone d'administration WordPress (mis à jour)
- Comment ajouter une URL de connexion personnalisée dans WordPress (étape par étape)
- Comment et pourquoi limiter les tentatives de connexion dans WordPress
- Comment ajouter l'authentification à deux facteurs dans WordPress (méthode gratuite)
- Comment ajouter des questions de sécurité à l'écran de connexion WordPress
- Comment forcer les utilisateurs à changer de mot de passe dans WordPress – expiration du mot de passe
- Comment réinitialiser les mots de passe de tous les utilisateurs dans WordPress
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
tom
C'est peut-être une question stupide, mais je me demande maintenant – j'ai configuré ci-dessus sur mon site web et cela fonctionne bien, mais supposons qu'un bot tente de forcer l'accès à cette zone de connexion supplémentaire et j'ai essayé manuellement pendant un certain temps et mon serveur n'a pas bloqué mon IP ou quoi que ce soit. Donc, techniquement, cette attaque par force brute sur cette zone pourrait durer « éternellement » et cela pourrait ralentir mon site web d'une manière ou d'une autre, ou pas ? Si c'est le cas, c'est dommage car il m'a fallu quelques heures pour le configurer et j'étais ravi de cette couche de protection supplémentaire…
Support WPBeginner
Bien que possible, il faut beaucoup moins de ressources pour charger la connexion de votre espace wp-admin que votre page de connexion WordPress, ce qui signifie qu'il faudrait beaucoup plus à une attaque par force brute pour affecter la vitesse de votre site.
Admin
Dayo Olobayo
Je ne suis pas très technique, mais je suis content que vous ayez inclus l'option d'utiliser l'application Directory Privacy. Cela semble beaucoup plus facile que de créer ces fichiers .htaccess. Merci.
Mrteesurez
Merci. Je l'ai trouvé utile.
Je voudrais demander si toutes les méthodes offrent le même niveau de sécurité, je préférerais et recommanderais de m'en tenir à la première méthode car elle semble facile et directe.
Ou y en a-t-il une qui est meilleure que l'autre ??
Support WPBeginner
Ce sont différentes méthodes pour atteindre le même résultat, donc cela dépendrait de votre préférence pour celle que vous utiliseriez.
Admin
Mark
Y a-t-il un moyen pour les pirates d'accéder à ce mot de passe et même de le changer, comme dans phpMyAdmin ?
Support WPBeginner
Ils auraient besoin d'un accès à votre fournisseur d'hébergement ou à vos fichiers de site pour ce guide.
Admin
Salman
J'ai changé mon URL de connexion en utilisant le plugin « WPS Hide Login ». Disons que l'URL précédente se terminait par wp-admin/ et la nouvelle URL se termine par hidden/ comment puis-je protéger par mot de passe cette nouvelle URL ?
Support WPBeginner
It would depend on what method you are using and how you changed the URL, as long as there is a file/folder in the new location you should be able to select that folder or change the path on line 2 of the htaccess method
Admin
Jiří Vaněk
WPShide ne crée pas de nouveau dossier, je l'utilise aussi. Le dossier wp-admin est toujours sur le serveur et fonctionnel. Donc, si vous utilisez WPSHide, sécurisez le dossier wp-admin exactement de la même manière.
Jiří Vaněk
Une bonne pratique consiste également à renommer l'URL d'administration de WordPress et à choisir un nom d'utilisateur administrateur différent de « admin ». La modification de l'URL rend plus difficile pour les attaquants de localiser l'administration, et ne pas utiliser « admin » comme nom d'administrateur réduit le risque d'une attaque par force brute réussie.
Support WPBeginner
Avoir un nom d'utilisateur autre que admin est fortement recommandé, mais pour changer l'URL de wp-admin, ce n'est pas toujours recommandé car cela peut causer des problèmes avec certains plugins et rendre le dépannage plus difficile.
Admin
Jose
La correction Ajax a bien fonctionné. Merci beaucoup pour cela.
Support WPBeginner
Glad our article could help
Admin
Umer Yaseen
Que se passe-t-il si quelqu'un accède à notre répertoire d'administration WordPress en tapant mywebsite.com/wp-login.php au lieu de mywebsite.com/wp-admin. Cette méthode ne protège que wp-admin et non wp-login.php. Alors, comment est-ce utile ?
Support WPBeginner
Cela afficherait la même invite pour les utilisateurs essayant de se connecter en utilisant wp-login.php
Admin
nadia
tu es le meilleur. merci mille fois comme toujours.
Support WPBeginner
Glad you’ve found our content helpful
Admin
Lordemmaculate
Je veux faire ça mais mon serveur est Nginx pas Apache donc je ne peux pas utiliser .htaccess
Support WPBeginner
We’ll see if we can add a method for that type of server when we update this article
Admin
Rajah
La première méthode via cPanel a fonctionné à merveille. Cependant, lorsque je me déconnecte à nouveau de WP et que je me reconnecte, il ne me demande plus le mot de passe du répertoire. Est-il censé demander une seule fois ?
Support WPBeginner
Vos cookies/cache mémoriseront les informations de connexion. Normalement, la prochaine fois que vous démarrerez votre ordinateur, il vous sera demandé de vous reconnecter.
Admin
Webo
Très bien, merci...
Support WPBeginner
You’re welcome
Admin
Izzy
La fonction « Protéger les répertoires par mot de passe » n'est pas sur mon cPanel sous « sécurité », j'ai donc essayé la méthode manuelle, mais elle ne semble pas fonctionner car elle ne demande pas de connexion lorsque j'ouvre wp-admin...
Support WPBeginner
Si vous contactez votre fournisseur d'hébergement, il devrait être en mesure de vous aider et de vérifier s'il y a une raison pour laquelle cela ne fonctionnerait pas.
Admin
Ahsan Ali
Merci pour vos efforts !
J'ai utilisé la méthode cpanel, cela fonctionne bien, mais le problème est que l'invite de mot de passe apparaît sur chaque page de mon site web !
Que dois-je faire pour qu'il n'apparaisse que sur la page wp-admin ?
Support WPBeginner
Il semble que vous ayez protégé par mot de passe votre dossier public_html au lieu du dossier wp-admin. Vous voudriez supprimer la protection actuelle et essayer de la configurer à nouveau.
Admin