Sécuriser l'accès Web par mot de passe

Ce guide explique comment protéger une partie d'un site sur un Hébergement Web en rendant obligatoire la saisie d'un mot de passe avant de consulter un répertoire (sous-répertoires inclus) depuis un navigateur.

 

Méthode simple

Protéger par mot de passe (authentification Digest) un répertoire en utilisant l'outil "Protection de dossiers":

1. Cliquez ici afin d'accéder à la gestion de votre produit sur le Manager Infomaniak (besoin d'aide ?).
2. Cliquez directement sur le nom attribué au produit concerné.
3. Cliquez sur Sécurité dans le menu latéral gauche.
4. Cliquez sur Protection de dossiers dans le menu latéral gauche.
5. Cliquez sur le répertoire à protéger.
6. Activez la protection par le bouton à bascule (toggle switch) puis créez un ou plusieurs utilisateurs*:
   
   • * Les utilisateurs sont définis par répertoire ; l'outil ne permet pas de gérer des groupes d'utilisateurs:
     
7. Cliquez sur le bouton Ajouter.
8. Cliquez sur le bouton pour Ajouter un accès d'un utilisateur supplémentaire si nécessaire.
9. Cliquez sur le menu d'action ⋮ situé à droite de l'utilisateur concerné pour le modifier ou le retirer.
10. Cliquez à nouveau sur le bouton à bascule (toggle switch) afin de désactiver complètement la protection du répertoire:
    

Méthode manuelle via .htaccess

Afin de protéger un dossier par un mot de passe en utilisant le fichier .htaccess de votre site:

1. Connectez-vous à votre hébergement via un logiciel/client FTP ou le FTP Manager.

2. Dans le dossier à protéger, créez un fichier appelé password.php et adaptez le contenu suivant à l'intérieur en remplaçant 12345 par le mot de passe désiré:

   <?php
   $pass = "12345";
   echo password_hash($pass, PASSWORD_DEFAULT);  // Affiche le mot de passe chiffré
   ?>

3. Ouvrez un navigateur Web et affichez le fichier password.php (exemple: domain.xyz/dossier-à-protéger/password.php).
4. Le navigateur Web affiche votre mot de passe chiffré ; copiez le mot de passe chiffré, il y en aura besoin par la suite…

Dans le dossier à protéger, créez un fichier appelé .htaccess et adaptez le contenu suivant à l'intérieur:

AuthName "Page d'administration protégée"
AuthType Basic
AuthUserFile "/exemple/.htpasswd"
Require valid-user

Remplacez /exemple/ par le chemin absolu du dossier à protéger. Exemple:

AuthUserFile "/home/clients/0f83c7afb710e5ae2645a1b704d8772f/web/dossier_a_proteger/.htpasswd"

Dans le dossier à protéger, créez un fichier appelé htpasswd.txt et adaptez le contenu suivant à l'intérieur:

login:password_chiffré

• Remplacez login par le login souhaité.
• Remplacez password_chiffré par le mot de passe chiffré copié à l'étape 1 de ce guide.

Une fois le fichier htpasswd.txt sauvegardé, renommez-le comme suit: .htpasswd.

Ouvrez un navigateur Web et essayez d'afficher l'une des pages contenues dans le dossier protégé. Si le guide a bien été suivi, le login et le mot de passe (non chiffré) choisis permettent d'accéder au dossier protégé.

D'autres restrictions peuvent également être apportées par .htaccess.