Confidentialité des répertoires : Sécuriser des dossiers par mot de passe (.htaccess/.htpasswd)

Grâce à la fonction Confidentialité des répertoires de cPanel, vous pouvez ajouter une protection par mot de passe supplémentaire à certains dossiers de votre site web. Les visiteurs qui accèdent à cette zone depuis leur navigateur devront d'abord saisir un nom d'utilisateur et un mot de passe avant de pouvoir en visualiser le contenu.

Cette fonctionnalité est particulièrement utile si certaines parties de votre site web ne doivent pas être accessibles au public. Les exemples typiques incluent les installations de test, les zones de téléchargement interne, les espaces clients simples, les versions de staging, les environnements de développement ou les dossiers d'administration auxiliaires.

Sur le plan technique, cette fonction repose généralement sur une combinaison de fichiers .htaccess et .htpasswd. Le fichier .htaccess contrôle l'accès au répertoire, tandis que le fichier .htpasswd contient les utilisateurs autorisés et leurs mots de passe stockés sous forme chiffrée. cPanel gère automatiquement la configuration de ces fichiers via une interface graphique.

Remarque importante :
La protection des répertoires s'applique à l'accès via le navigateur web, c'est-à-dire via HTTP ou HTTPS. L'accès via FTP, SFTP, SSH ou le Gestionnaire de fichiers cPanel n'est pas bloqué par cette restriction. Les utilisateurs disposant d'un accès aux fichiers ou à l'hébergement peuvent toujours voir les fichiers, à condition que leurs droits d'accès respectifs le permettent.

Dans quels cas utiliser la protection des répertoires ?

La protection des répertoires de cPanel est un moyen simple et efficace de protéger des zones spécifiques d'un site web contre l'accès public. Elle est particulièrement adaptée aux espaces statiques ou semi-publics qui ne disposent pas de leur propre système de connexion.

Les domaines d'application appropriés sont par exemple :

  • Les versions de test d'un site web avant sa publication,
  • Les environnements de staging ou de développement,
  • Les dossiers de téléchargement interne,
  • Les partages temporaires pour les clients,
  • Les espaces de projet simples,
  • Les zones de documentation non publiques,
  • Les installations de démonstration protégées,
  • Une protection supplémentaire pour les dossiers administratifs auxiliaires.

La protection des répertoires est particulièrement pratique lorsque vous souhaitez sécuriser une zone rapidement et sans programmation. Cependant, elle ne remplace pas un système complet de gestion des utilisateurs, des rôles ou des droits au sein d'une application web.

Ce que la protection des répertoires ne peut pas faire

La protection par mot de passe au niveau du répertoire est utile, mais elle a des limites claires. Elle protège contre l'accès direct via le navigateur, mais ne constitue pas une solution de sécurité complète pour les applications complexes.

  • Elle ne remplace pas une connexion sécurisée à un CMS ou à une boutique en ligne.
  • Elle ne protège pas contre les accès via FTP, SFTP, SSH ou le Gestionnaire de fichiers.
  • Elle ne remplace pas les mises à jour régulières des logiciels de votre site web.
  • Elle ne corrige pas les failles de sécurité dans les plugins, les thèmes ou les scripts.
  • Elle ne protège pas le contenu de la base de données indépendamment de l'application.
  • Elle n'est pas conçue comme l'unique mesure de sécurité pour les données hautement sensibles.

Pour les contenus particulièrement confidentiels, vous devriez également vérifier s'ils doivent impérativement se trouver dans le répertoire web accessible au public. Dans la mesure du possible, les fichiers très sensibles ne devraient pas être stockés dans un dossier directement accessible via le site web.

Comment fonctionne techniquement la protection ?

Lorsqu'un visiteur ouvre un dossier protégé dans son navigateur, le serveur web demande d'abord des identifiants de connexion. Le contenu n'est affiché que si le nom d'utilisateur et le mot de passe sont corrects. La demande apparaît généralement sous la forme d'une fenêtre de connexion du navigateur.

En arrière-plan, deux composants sont normalement utilisés à cet effet :

  • .htaccess : Contient les instructions indiquant que le répertoire est protégé et quel type d'authentification est utilisé.
  • .htpasswd : Contient les utilisateurs autorisés et les empreintes de mots de passe (hashes) correspondantes.

Vous n'avez pas besoin de créer ces fichiers manuellement. cPanel s'en charge via la fonction Confidentialité des répertoires. Cela réduit les erreurs et constitue la méthode la plus sûre pour la majorité des clients.

Important :
Ne modifiez les entrées .htaccess ou .htpasswd générées automatiquement que si vous savez exactement ce que vous faites. Des entrées incorrectes peuvent rendre la zone protégée inaccessible ou provoquer une erreur de serveur sur le site web.

Étape 1 : Ouvrir la confidentialité des répertoires dans cPanel

Pour protéger un dossier par un mot de passe, ouvrez d'abord la fonction correspondante dans cPanel.

  1. Connectez-vous à votre compte cPanel.
  2. Accédez à la section Fichiers.
  3. Cliquez sur Confidentialité des répertoires (ou Directory Privacy).
  4. Vous voyez maintenant l'arborescence des dossiers de votre compte d'hébergement.

Selon la langue et le thème de cPanel, l'appellation peut varier légèrement. La fonction se trouve généralement dans la zone des outils de fichiers.

Étape 2 : Sélectionner le bon dossier

Le choix du bon dossier est crucial. Si vous protégez accidentellement le mauvais dossier, une autre partie de votre site web pourrait soudainement demander un mot de passe.

  • Cliquez sur l'icône du dossier pour ouvrir les sous-dossiers.
  • Cliquez sur le nom du dossier que vous souhaitez protéger.
  • Un symbole de cadenas indique souvent qu'un répertoire est déjà protégé.

Si vous protégez par exemple le dossier public_html/test, la protection concernera ce dossier de test et, normalement, les sous-dossiers qu'il contient. En revanche, si vous protégez public_html lui-même, l'ensemble de votre site principal pourrait n'être accessible qu'après la saisie d'identifiants.

Conseil pratique :
Ne protégez toujours que le dossier qui doit réellement rester privé. Pour une installation de test, un sous-dossier comme public_html/test ou public_html/staging est généralement plus judicieux que l'intégralité du dossier public_html.

Étape 3 : Activer la protection par mot de passe

Après avoir sélectionné le dossier souhaité, activez la protection proprement dite.

  1. Cliquez sur Modifier à côté du dossier souhaité ou sélectionnez le nom du dossier.
  2. Cochez la case Protéger ce répertoire par un mot de passe.
  3. Saisissez un nom explicite dans le champ Nom du répertoire protégé.
  4. Cliquez sur Enregistrer.

Ce nom sera affiché aux visiteurs dans la fenêtre de connexion ou la boîte de dialogue d'authentification. Utilisez donc un nom neutre et clair tel que Zone interne, Espace client ou Environnement de test.

Évitez les appellations qui révèlent des informations techniques inutiles, comme les noms exacts des projets, des notes système internes ou des indices sur des contenus particulièrement sensibles.

Étape 4 : Créer des utilisateurs pour le dossier protégé

Une fois la protection activée, vous devez créer au moins un utilisateur autorisé. Sans utilisateur, personne ne pourra accéder à la zone protégée.

Créer un utilisateur :
Dans la section Créer un utilisateur, saisissez un nom d'utilisateur et un mot de passe fort. Utilisez le générateur de mots de passe si possible. Enregistrez ensuite l'utilisateur.

Faites attention aux points suivants pour les noms d'utilisateur et les mots de passe :

  • N'utilisez pas de noms d'utilisateur faciles à deviner comme admin ou test.
  • Utilisez des mots de passe longs et aléatoires.
  • Utilisez des identifiants uniques pour chaque utilisateur.
  • Ne partagez pas de mots de passe de manière non chiffrée par e-mail.
  • Supprimez les utilisateurs lorsque l'accès n'est plus nécessaire.

Si plusieurs personnes ont besoin d'un accès, il est préférable de créer un utilisateur distinct pour chacune d'elles. Vous pourrez ainsi supprimer des accès spécifiques ultérieurement sans avoir à changer le mot de passe de tout le monde.

Héritage : Les sous-dossiers sont automatiquement protégés

Héritage de la protection :
Lorsque vous protégez un répertoire, les sous-dossiers qu'il contient sont normalement protégés eux aussi. Si vous protégez par exemple /admin, la protection s'applique également aux sous-dossiers comme /admin/images ou /admin/downloads.

Cet héritage est souhaitable dans de nombreux cas. Cependant, cela peut aussi réserver des surprises si un dossier protégé contient des fichiers qui devaient initialement être intégrés publiquement. Vérifiez donc si des images, des fichiers CSS, des fichiers JavaScript ou des téléchargements sont nécessaires au sein de la zone protégée.

Si un site web public apparaît soudainement sans images ou sans mise en forme, cela peut être dû au fait que les fichiers CSS, JS ou d'images se trouvent dans un répertoire protégé et que le navigateur ne peut pas les charger sans connexion.

Exemples d'application typiques

1. Protéger un site de test des moteurs de recherche et des visiteurs

Si vous préparez un nouveau site web dans un sous-dossier tel que public_html/test, vous pouvez protéger ce dossier par un mot de passe. Ainsi, les clients, les développeurs ou les collaborateurs internes peuvent vérifier le site web, tandis qu'il reste inaccessible aux visiteurs ordinaires.

2. Sécuriser un dossier de téléchargement

Un dossier contenant des documents privés, des PDF ou des fichiers de projet peut faire l'objet d'une protection supplémentaire. Attention toutefois : pour les documents particulièrement confidentiels, une simple protection de répertoire n'est pas toujours suffisante. Dans ce cas, il convient d'évaluer si un portail client professionnel ou un autre moyen de transmission sécurisé est plus adapté.

3. Protection supplémentaire pour les zones administratives auxiliaires

La protection des répertoires peut servir d'obstacle supplémentaire pour certaines zones administratives. Elle ne remplace cependant pas le système de connexion de votre application et ne doit pas être utilisée comme seule protection pour des logiciels obsolètes ou non sécurisés.

Gérer les utilisateurs, modifier les mots de passe ou supprimer des utilisateurs

Dans la fonction Confidentialité des répertoires, vous pouvez voir les utilisateurs autorisés pour le dossier sélectionné. Vous pouvez y supprimer des utilisateurs ou mettre à jour des mots de passe.

Les tâches de gestion courantes sont :

  • Créer un nouvel utilisateur pour une autre personne,
  • Modifier le mot de passe d'un utilisateur existant,
  • Supprimer un utilisateur qui n'a plus besoin d'accès,
  • Désactiver l'accès une fois le projet terminé,
  • Supprimer un utilisateur après un changement de personnel.

Si un mot de passe a été compromis ou est connu de trop de personnes, vous devez le modifier immédiatement. Il est encore préférable d'utiliser des comptes d'utilisateurs distincts afin de pouvoir désactiver des accès individuels de manière ciblée.

Supprimer complètement la protection par mot de passe

Si la zone protégée doit redevenir accessible au public, vous pouvez désactiver la confidentialité des répertoires.

  1. Dans cPanel, ouvrez la Confidentialité des répertoires.
  2. Sélectionnez le dossier protégé.
  3. Décochez la case Protéger ce répertoire par un mot de passe.
  4. Enregistrez la modification.
  5. Testez l'accès dans le navigateur.

Selon le navigateur, il peut être utile d'effectuer le test dans une fenêtre de navigation privée ou un autre navigateur, car le navigateur peut mettre en cache les identifiants enregistrés.

Dépannage : Problèmes fréquents et solutions

Problème Cause possible Solution
La fenêtre de connexion n'apparaît pas La protection n'a pas été enregistrée ou le mauvais dossier a été choisi. Vérifier la sélection du dossier et l'activation dans la confidentialité des répertoires.
L'utilisateur ne peut pas se connecter Nom d'utilisateur ou mot de passe incorrect, le navigateur conserve d'anciennes données. Réinitialiser le mot de passe et tester l'accès dans une fenêtre de navigation privée.
Le site web affiche une erreur 500 Règles .htaccess incorrectes ou conflictuelles. Vérifier les dernières règles modifiées ou restaurer une sauvegarde.
Les images ou le CSS ne se chargent pas Les ressources se trouvent dans un dossier protégé. Placer les ressources publiques en dehors de la zone protégée ou vérifier la structure.
Impossible de créer un utilisateur Problème de droits ou cPanel ne peut pas écrire les fichiers de protection. Vérifier les permissions des fichiers ou contacter le support.

Impossible de créer un utilisateur : Vérifier les permissions

Si l'enregistrement d'un utilisateur échoue, cela peut être dû à des problèmes de droits ou à des fichiers de protection existants. cPanel doit pouvoir créer ou modifier les fichiers nécessaires à la protection des répertoires.

Vérifiez dans le Gestionnaire de fichiers si le dossier concerné dispose de permissions appropriées. Souvent, des permissions telles que 0755 sont standard pour les répertoires. Dans certains cas, des permissions plus restrictives peuvent être requises. Évitez toutefois de définir les permissions sur 0777 de manière générale, car cela peut représenter un risque pour la sécurité.

Note de sécurité :
N'utilisez pas 0777 comme solution rapide à des problèmes de permissions. Des droits d'écriture trop ouverts peuvent compromettre la sécurité de votre site web. En cas de doute, faites vérifier les permissions.

Protection des répertoires et WordPress

Pour les sites WordPress, la protection des répertoires peut être utile, mais elle doit être utilisée avec discernement. WordPress utilise ses propres règles de réécriture et son propre fichier .htaccess. Des règles de protection supplémentaires peuvent avoir des répercussions sur le site selon la structure des dossiers.

Exemples appropriés :

  • Protection par mot de passe pour une installation de staging dans un sous-dossier,
  • Protection d'un dossier de téléchargement distinct,
  • Protection temporaire d'un nouveau site web avant sa publication.

Il est moins recommandé de protéger des dossiers centraux de WordPress tels que wp-admin, wp-content ou wp-includes de manière irréfléchie. Cela peut perturber des fonctionnalités, des ressources ou des requêtes AJAX. Si une protection supplémentaire pour les connexions WordPress est souhaitée, la configuration spécifique doit être examinée avec soin.

Bonnes pratiques pour une protection efficace des répertoires

  • Ne protégez que les dossiers qui doivent réellement rester privés.
  • Utilisez des mots de passe forts et uniques.
  • Créez des utilisateurs distincts pour les différentes personnes.
  • Supprimez les utilisateurs lorsque l'accès n'est plus nécessaire.
  • Ne stockez pas de données hautement sensibles de manière permanente dans la zone web publique.
  • Testez les zones protégées dans une fenêtre de navigation privée.
  • Après l'activation, vérifiez que les images, le CSS et le JavaScript se chargent correctement.
  • Ne modifiez pas manuellement les fichiers .htaccess et .htpasswd sans sauvegarde.
  • Utilisez le protocole HTTPS pour éviter que les identifiants ne soient transmis en clair.

FAQ sur la protection des répertoires cPanel

La protection des répertoires protège-t-elle également contre l'accès FTP ?

Non. La protection des répertoires ne s'applique qu'à l'accès via le navigateur web par HTTP ou HTTPS. Le FTP, le SFTP, le SSH et le Gestionnaire de fichiers cPanel ne sont pas concernés.

Les sous-dossiers sont-ils automatiquement protégés ?

Oui, en règle générale, la protection s'étend également aux sous-dossiers du répertoire protégé. Cela peut être souhaité, mais doit être pris en compte pour les images, les fichiers CSS ou JavaScript.

Puis-je créer plusieurs utilisateurs pour un dossier protégé ?

Oui. Vous pouvez créer plusieurs utilisateurs autorisés. C'est utile si différentes personnes ont besoin d'accéder au dossier et que vous souhaitez pouvoir supprimer certains accès individuellement par la suite.

Pourquoi le navigateur demande-t-il sans cesse le mot de passe ?

Les causes possibles incluent des identifiants incorrects, d'anciens mots de passe mis en cache, une configuration erronée ou des ressources chargées depuis d'autres zones protégées. Testez l'accès dans une fenêtre de navigation privée.

Puis-je l'utiliser pour protéger my site WordPress ?

Oui, par exemple pour une installation de test ou un dossier de staging. Cependant, les dossiers centraux de WordPress ne doivent pas être protégés sans réflexion, car cela peut nuire aux fonctions du site.

La protection des répertoires est-elle assez sûre pour des documents confidentiels ?

Elle est utile pour les espaces protégés simples. Pour les données particulièrement confidentielles ou personnelles, il convient toutefois d'examiner attentivement si un portail client professionnel, un mode de transmission sécurisé ou une autre solution ne serait pas plus approprié.

En résumé :
La fonction de protection des répertoires de cPanel vous permet de protéger rapidement et efficacement des dossiers spécifiques de votre site web à l'aide d'un nom d'utilisateur et d'un mot de passe. Elle est idéale pour les espaces de test, les téléchargements internes et les partages clients temporaires. La protection s'applique aux accès par navigateur, mais pas au FTP, au SFTP ni au Gestionnaire de fichiers. Utilisez des mots de passe forts, des comptes d'utilisateurs distincts et vérifiez après l'activation que votre site web continue de fonctionner correctement.
Besoin d'aide pour sécuriser une zone de votre site web ?

Si vous n'êtes pas sûr du dossier à protéger ou si des problèmes surviennent après l'activation, le support CURIAWEB se tient volontiers à votre disposition.

Créer une demande d'assistance
Cette réponse était-elle pertinente? 1 Utilisateurs l'ont trouvée utile (1 Votes)

Les plus consultés

Guide .htaccess : Paramètres cachés, redirections et sécurité

Guide .htaccess : Paramètres cachés, redirections et sécurité Le fichier .htaccess est un...
Modifier des images directement dans cPanel : Miniatures, redimensionnement et conversion

Modifier des images directement dans cPanel : miniatures, redimensionnement et conversion Les...
Guide du Gestionnaire de fichiers : Gérez les fichiers de votre site directement dans le navigateur

Guide du Gestionnaire de fichiers : Gérer les fichiers du site web directement dans le...
Restaurer des fichiers et dossiers : Comment utiliser la sauvegarde

Restaurer des fichiers et des dossiers : comment utiliser la sauvegarde de cPanel Cela peut...
Guide FTP & SFTP : Transférer des fichiers en toute sécurité et gérer les comptes

Guide FTP & SFTP : Transférer des fichiers en toute sécurité et gérer les comptes Si vous...