Tutoriel : protéger rapidement l’accès à un site avec l’outil « Confidentialité du répertoire » de votre cPanel

Sites en refonte, envi­ron­ne­ments de pré­pro­duc­tion, dos­siers de test ou espaces de télé­char­ge­ment pro­vi­soires : sur le Web, il est très cou­rant de lais­ser acces­sibles des conte­nus qui n’ont pour­tant pas voca­tion à être publics. Une simple recherche du type site:staging.* site:.fr dans Google suf­fit à révé­ler des cen­taines de sites encore en cours de déve­lop­pe­ment, par­fois avec des conte­nus sen­sibles ou inachevés.

Beau­coup pensent qu’il suf­fit d’ajouter un fichier robots.txt ou une direc­tive noindex pour se pro­té­ger. En réa­li­té, ces méca­nismes ne font que deman­der aux moteurs de recherche de ne pas indexer un conte­nu, sans jamais en empê­cher l’accès. Toute per­sonne dis­po­sant de l’URL peut tou­jours consul­ter le site, et cer­tains robots ignorent tout sim­ple­ment ces consignes.

Pour blo­quer réel­le­ment l’accès à un site ou à un réper­toire, une seule solu­tion fait foi : l’authentification par mot de passe au niveau du ser­veur. C’est pré­ci­sé­ment ce que per­met l’outil « Confi­den­tia­li­té du réper­toire » dis­po­nible dans le cPa­nel de votre héber­ge­ment o2switch.

Simple à acti­ver, immé­diat et tota­le­ment réver­sible, il empêche aus­si bien les visi­teurs que les moteurs de recherche d’accéder au contenu.

Dans ce tuto­riel, nous allons voir com­ment mettre en place cette pro­tec­tion en quelques minutes, sans exten­sion, sans code, et quel que soit le type de site concerné.

➔ Vous pou­vez aus­si pas­ser la par­tie théo­rique et aller direc­te­ment au tuto­riel pas à pas.

Comment fonctionne la « Confidentialité du répertoire » ?

La Confi­den­tia­li­té du réper­toire repose sur un prin­cipe simple : exi­ger une authen­ti­fi­ca­tion avant d’autoriser l’accès à un dos­sier. Lorsqu’un visi­teur tente d’ouvrir une URL située dans le réper­toire pro­té­gé, le ser­veur inter­rompt la requête et affiche une fenêtre d’identification direc­te­ment dans le navigateur.

Cette pro­tec­tion est mise en place au niveau du ser­veur, avant même que le site ou le CMS ne soit char­gé. Tant que des iden­ti­fiants valides ne sont pas four­nis, aucun conte­nu n’est accessible.

Une protection standard, simplement automatisée

Tech­ni­que­ment, ce méca­nisme s’appuie sur deux fichiers stan­dards du Web :

• un fichier .htaccess qui indique au ser­veur qu’une authen­ti­fi­ca­tion est requise ;
• un fichier .htpasswd qui contient la liste des uti­li­sa­teurs autorisés.

L’outil « Confi­den­tia­li­té du réper­toire » dis­po­nible dans cPa­nel se charge de créer et de confi­gu­rer auto­ma­ti­que­ment ces fichiers. Il per­met ain­si d’activer cette pro­tec­tion sans inter­ven­tion manuelle, tout en uti­li­sant un méca­nisme éprouvé.

➔ Si vous pré­fé­rez mettre en place cette pro­tec­tion de manière manuelle, ou mieux com­prendre son fonc­tion­ne­ment clas­sique, un article dédié détaille cette approche pas à pas : htpasswd : pro­té­ger l’accès à son site Word­Press par une authen­ti­fi­ca­tion.

Dans quels cas utiliser la Confidentialité du répertoire ?

Cette pro­tec­tion est par­ti­cu­liè­re­ment adap­tée pour :

• un site en cours de déve­lop­pe­ment ou de refonte ;
• un envi­ron­ne­ment de pré­pro­duc­tion ou de test ;
• un dos­sier conte­nant des fichiers sen­sibles ou réser­vés à des tiers ;
• un espace de tra­vail tem­po­raire par­ta­gé avec un client ou des partenaires.

Ce que cette protection fait… et ne fait pas

• ✅ Elle empêche l’accès au conte­nu, pour les visi­teurs comme pour les moteurs de recherche.
• ✅ Elle évite toute indexa­tion acci­den­telle de conte­nus non finalisés.
• ❌ Elle ne rem­place pas le HTTPS ni une stra­té­gie de sécu­ri­té globale.
• ❌ Elle n’a pas voca­tion à gérer des droits uti­li­sa­teurs avancés.

Uti­li­sée au bon moment, la Confi­den­tia­li­té du réper­toire (pro­tec­tion htac­cess) consti­tue une solu­tion simple, rapide et effi­cace pour pro­té­ger tem­po­rai­re­ment l’accès à un site ou à un dossier.

Tutoriel : protéger un répertoire avec l’outil « Confidentialité du répertoire »

Étape 1 : accéder à l’outil « Confidentialité du répertoire »

Com­men­cez par vous connec­ter à votre inter­face cPa­nel depuis votre héber­ge­ment o2switch.

Une fois dans cPa­nel, repé­rez la sec­tion Fichiers, puis cli­quez sur Confi­den­tia­li­té du réper­toire.
Cet outil per­met de gérer la pro­tec­tion par mot de passe de n’importe quel dos­sier pré­sent sur votre hébergement.

Vous arri­vez alors sur une vue lis­tant l’arborescence de vos dos­siers. C’est depuis cet écran que vous allez choi­sir pré­ci­sé­ment quel réper­toire pro­té­ger.

Étape 2 : sélectionner le répertoire à protéger

Depuis l’outil Confi­den­tia­li­té du réper­toire dans cPa­nel, vous voyez s’afficher l’arborescence des dos­siers de votre héber­ge­ment o2switch.

Navi­guez jusqu’au dos­sier que vous sou­hai­tez pro­té­ger. Il peut s’agir par exemple :

• d’un dos­sier de pré­pro­duc­tion (/staging, /dev) ;
• d’un réper­toire de test ;
• d’un dos­sier ou d’un sous-dos­sier conte­nant des fichiers à accès res­treint (/public_html/documents-client/).

Cli­quez ensuite sur le bou­ton ÉDITER en vis-à-vis pour accé­der à l’écran de confi­gu­ra­tion de la Confi­den­tia­li­té du répertoire.

Étape 3 : activer la protection par mot de passe

Com­men­cez par cocher l’option per­met­tant de pro­té­ger ce réper­toire par mot de passe.
Cette action active immé­dia­te­ment le méca­nisme d’authentification pour le dos­sier concerné.

À pro­pos du nom du réper­toire pro­té­gé : il est bien enre­gis­tré côté ser­veur, mais son affi­chage dans la fenêtre d’authentification dépend du navi­ga­teur et peut ne pas appa­raître. Cela n’indique pas un dys­fonc­tion­ne­ment. Vous pou­vez lais­ser ce champ tel quel.

Cli­quez sur le bou­ton Enre­gis­trer puis sur le bou­ton Retour.

À ce stade, la pro­tec­tion est active, mais aucun uti­li­sa­teur n’est encore auto­ri­sé à accé­der au dos­sier.
Il reste donc une étape indis­pen­sable : créer un pre­mier compte.

Étape 4 : créer un utilisateur autorisé

Après l’activation de la pro­tec­tion, l’interface vous pro­pose de gérer les uti­li­sa­teurs auto­ri­sés pour ce répertoire.

Dans la sec­tion dédiée, com­men­cez par créer un nou­vel uti­li­sa­teur en renseignant :

• un nom d’utilisateur (évi­tez les termes trop géné­riques comme admin ou test) ;
• un mot de passe robuste.

L’outil inté­gré de cPa­nel per­met de géné­rer auto­ma­ti­que­ment un mot de passe sécu­ri­sé. C’est la solu­tion la plus simple et la plus fiable.

Une fois les champs com­plé­tés, vali­dez la créa­tion de l’utilisateur en cli­quant sur le bou­ton Enre­gis­trer. Les iden­ti­fiants sont immé­dia­te­ment actifs pour le dos­sier protégé.

➔ Bonne pra­tique : pri­vi­lé­giez un uti­li­sa­teur par per­sonne. Cela faci­lite la ges­tion des accès et per­met de sup­pri­mer un compte sans impac­ter les autres.

À ce stade, la pro­tec­tion est plei­ne­ment fonctionnelle :

• le réper­toire est protégé ;
• au moins un uti­li­sa­teur est autorisé.

Étape 5 : tester la protection

Une fois l’utilisateur créé, il est impor­tant de véri­fier immé­dia­te­ment que la pro­tec­tion fonc­tionne cor­rec­te­ment. Ouvrez un nou­vel onglet de navi­ga­teur (ou une fenêtre de navi­ga­tion pri­vée), puis accé­dez à l’URL cor­res­pon­dant au réper­toire protégé. 

Si tout est cor­rec­te­ment configuré :

• une fenêtre d’authentification s’affiche automatiquement ;
• l’accès au conte­nu est impos­sible sans iden­ti­fiants valides.

Sai­sis­sez le nom d’utilisateur et le mot de passe que vous venez de créer, puis vali­dez.
Le conte­nu du dos­sier doit alors s’afficher normalement.

➔ Astuce : si la fenêtre ne s’affiche pas, pen­sez à vider le cache du navi­ga­teur ou à tes­ter en navi­ga­tion pri­vée pour évi­ter toute mise en cache intempestive.

Si l’accès est bien blo­qué sans iden­ti­fiants et auto­ri­sé après authen­ti­fi­ca­tion, la pro­tec­tion est en place et opérationnelle.

Étape 6 : gérer les utilisateurs

L’outil Confi­den­tia­li­té du réper­toire per­met de gérer faci­le­ment plu­sieurs uti­li­sa­teurs pour un même dos­sier pro­té­gé. Depuis l’écran de ges­tion, vous pouvez :

• Ajou­ter un uti­li­sa­teur : créez un nou­vel uti­li­sa­teur comme à l’étape 4.
• Chan­ger le mot de passe : sai­sis­sez le même nom d’utilisateur qu’un compte exis­tant, indi­quez un nou­veau mot de passe, puis enre­gis­trez. Le mot de passe est remplacé.
• Sup­pri­mer un uti­li­sa­teur : sélec­tion­nez l’utilisateur dans Uti­li­sa­teurs auto­ri­sés, puis cli­quez sur Sup­pri­mer l’utilisateur.

➔ Bonnes pra­tiques

• créez un uti­li­sa­teur par per­sonne ;
• sup­pri­mez les comptes deve­nus inutiles dès que le pro­jet avance ou se termine ;
• évi­tez de par­ta­ger un même iden­ti­fiant entre plu­sieurs personnes.

Désactiver la protection par mot de passe

Si l’accès pro­té­gé au dos­sier est deve­nu inutile, vous pou­vez reti­rer la pro­tec­tion par mot de passe en 2 clics : recon­nec­tez-vous à votre inter­face cPa­nel sur votre héber­ge­ment o2switch, puis ouvrez à nou­veau l’outil Confi­den­tia­li­té du réper­toire.

Navi­guez jusqu’au dos­sier pré­cé­dem­ment pro­té­gé, puis cli­quez sur son nom pour accé­der à sa confi­gu­ra­tion. Il vous suf­fit ensuite de désac­ti­ver l’option de pro­tec­tion par mot de passe, puis d’enregistrer les modifications.

La pro­tec­tion est immé­dia­te­ment levée : le dos­sier rede­vient acces­sible sans authentification.

➔ À savoir : les fichiers de confi­gu­ra­tion liés à la pro­tec­tion (.htaccess et .htpasswd) sont conser­vés, mais ne sont plus actifs. Cela per­met de réac­ti­ver rapi­de­ment la pro­tec­tion ulté­rieu­re­ment si nécessaire.

Une fois la pro­tec­tion désac­ti­vée, pen­sez tout de même à tes­ter l’accès au dos­sier depuis un navi­ga­teur afin de véri­fier que l’authentification n’est plus demandée.

Conseils de sécurité

La Confi­den­tia­li­té du réper­toire consti­tue une pre­mière bar­rière effi­cace pour contrô­ler l’accès à un dos­sier. Pour qu’elle reste per­ti­nente, quelques bonnes pra­tiques sont tou­te­fois à respecter.

Choisir des identifiants robustes

Même pour un usage tem­po­raire, il est recom­man­dé de :

• uti­li­ser des mots de passe uniques et com­plexes ;
• évi­ter les com­bi­nai­sons évi­dentes (nom, pré­nom, nom du site) ;
• pri­vi­lé­gier le géné­ra­teur de mots de passe inté­gré à cPa­nel.

Un mot de passe d’au moins 12 carac­tères, com­bi­nant lettres, chiffres et carac­tères spé­ciaux, est un bon minimum.

Gérer les accès avec rigueur

• créez un uti­li­sa­teur par per­sonne ;
• sup­pri­mez les comptes qui ne sont plus nécessaires ;
• évi­tez de par­ta­ger un même iden­ti­fiant entre plu­sieurs intervenants.

Cette orga­ni­sa­tion faci­lite la ges­tion des accès et limite les risques en cas de dif­fu­sion invo­lon­taire d’un mot de passe.

Utiliser impérativement le HTTPS

L’authentification mise en place repose sur une demande d’identifiants au niveau du navi­ga­teur.
Pour que ces infor­ma­tions soient cor­rec­te­ment pro­té­gées lors de leur trans­mis­sion, le site ou le dos­sier concer­né doit impé­ra­ti­ve­ment être acces­sible en HTTPS.

Sur un héber­ge­ment o2switch, l’acti­va­tion d’un cer­ti­fi­cat SSL est simple et gra­tuite avec Let’s Encrypt. Elle doit être envi­sa­gée dès la créa­tion du site, même pour un envi­ron­ne­ment de préproduction.

Bien comprendre le rôle de cet outil

La Confi­den­tia­li­té du réper­toire n’est pas un outil de sécu­ri­té à pro­pre­ment par­ler. Comme son nom l’indique, elle per­met avant tout de contrô­ler l’accès à un dos­sier précis.

L’ou­til Confi­den­tia­li­té du réper­toire ne rem­place pas les autres mesures de pro­tec­tion d’un site ou d’un ser­veur et n’a pas voca­tion à gérer des droits com­plexes ou à blo­quer l’ensemble des menaces pos­sibles. Son rôle est volon­tai­re­ment simple : empê­cher l’accès non auto­ri­sé à un conte­nu don­né.

Uti­li­sée dans ce cadre, elle consti­tue une solu­tion simple, rapide et par­fai­te­ment adap­tée à de nom­breux usages courants.

Dépannage

Voi­ci les pro­blèmes les plus fré­quem­ment ren­con­trés lors de l’utilisation de la Confi­den­tia­li­té du réper­toire, ain­si que les solu­tions associées.

La fenêtre d’authentification ne s’affiche pas

Si l’accès au dos­sier ne déclenche pas la demande d’identifiants :

• véri­fiez que le bon réper­toire a bien été sélec­tion­né dans l’outil ;
• assu­rez-vous que la pro­tec­tion est acti­vée pour ce dossier ;
• videz le cache de votre navi­ga­teur ou tes­tez en navi­ga­tion privée.

Dans la majo­ri­té des cas, le pro­blème est lié à un cache navi­ga­teur ou à une confu­sion entre plu­sieurs dossiers.

Le nom du répertoire protégé ne s’affiche pas

Lors de l’activation de la pro­tec­tion, cPa­nel vous pro­pose de défi­nir un nom pour le réper­toire pro­té­gé. Selon le navi­ga­teur, ce nom peut ne pas être affi­ché dans la fenêtre d’authentification. Cela s’explique par des choix d’interface et de sécu­ri­té. La pro­tec­tion reste plei­ne­ment fonc­tion­nelle tant que l’accès est bien blo­qué sans identifiants.

Erreur 500 après l’activation de la protection

Une erreur 500 peut appa­raître si :

• le dos­sier contient déjà un fichier .htaccess avec des règles incompatibles ;
• des direc­tives ser­veur entrent en conflit.

Dans ce cas :

• véri­fiez le conte­nu du fichier .htaccess existant ;
• désac­ti­vez tem­po­rai­re­ment la pro­tec­tion pour iden­ti­fier l’origine du conflit.

Si le pro­blème per­siste, le sup­port de o2switch pour­ra vous aider à ana­ly­ser la configuration.

Les identifiants sont refusés

Si l’accès est refu­sé mal­gré des iden­ti­fiants corrects :

• véri­fiez les majus­cules et minus­cules (elles sont prises en compte) ;
• assu­rez-vous qu’aucun espace super­flu n’a été ajouté ;
• recréez l’utilisateur si nécessaire.

Il est sou­vent plus rapide de sup­pri­mer puis de recréer l’utilisateur que de cher­cher une erreur invisible.

La protection s’applique à des sous-dossiers non souhaités

Par défaut, la pro­tec­tion s’applique à l’ensemble des sous-réper­toires du dos­sier pro­té­gé.
C’est un com­por­te­ment normal.

Si vous sou­hai­tez pro­té­ger uni­que­ment un sous-dos­sier précis :

• appli­quez la pro­tec­tion direc­te­ment sur ce sous-dossier ;
• évi­tez de pro­té­ger un réper­toire parent trop large.

La fenêtre d’authentification réapparaît en boucle

Si le navi­ga­teur rede­mande sans cesse les identifiants :

• véri­fiez que le navi­ga­teur accepte les cookies ;
• tes­tez avec un autre navi­ga­teur ou en navi­ga­tion privée ;
• assu­rez-vous que le site est bien acces­sible en HTTPS.

Dans la majo­ri­té des cas, ce com­por­te­ment est lié à un pro­blème de cache ou de ses­sion côté navigateur.