Tutoriel : protéger rapidement l’accès à un site avec l’outil « Confidentialité du répertoire » de votre cPanel

Sites en refonte, environnements de préproduction, dossiers de test ou espaces de téléchargement provisoires : sur le Web, il est très courant de laisser accessibles des contenus qui n’ont pourtant pas vocation à être publics. Une simple recherche du type site:staging.* site:.fr dans Google suffit à révéler des centaines de sites encore en cours de développement, parfois avec des contenus sensibles ou inachevés.

Beaucoup pensent qu’il suffit d’ajouter un fichier robots.txt ou une directive noindex pour se protéger. En réalité, ces mécanismes ne font que demander aux moteurs de recherche de ne pas indexer un contenu, sans jamais en empêcher l’accès. Toute personne disposant de l’URL peut toujours consulter le site, et certains robots ignorent tout simplement ces consignes.

Pour bloquer réellement l’accès à un site ou à un répertoire, une seule solution fait foi : l’authentification par mot de passe au niveau du serveur. C’est précisément ce que permet l’outil « Confidentialité du répertoire » disponible dans le cPanel de votre hébergement o2switch.

Simple à activer, immédiat et totalement réversible, il empêche aussi bien les visiteurs que les moteurs de recherche d’accéder au contenu.

Dans ce tutoriel, nous allons voir comment mettre en place cette protection en quelques minutes, sans extension, sans code, et quel que soit le type de site concerné.

➔ Vous pouvez aussi passer la partie théorique et aller directement au tutoriel pas à pas.

Comment fonctionne la « Confidentialité du répertoire » ?

La Confidentialité du répertoire repose sur un principe simple : exiger une authentification avant d’autoriser l’accès à un dossier. Lorsqu’un visiteur tente d’ouvrir une URL située dans le répertoire protégé, le serveur interrompt la requête et affiche une fenêtre d’identification directement dans le navigateur.

Cette protection est mise en place au niveau du serveur, avant même que le site ou le CMS ne soit chargé. Tant que des identifiants valides ne sont pas fournis, aucun contenu n’est accessible.

Une protection standard, simplement automatisée

Techniquement, ce mécanisme s’appuie sur deux fichiers standards du Web :

• un fichier .htaccess qui indique au serveur qu’une authentification est requise ;
• un fichier .htpasswd qui contient la liste des utilisateurs autorisés.

L’outil « Confidentialité du répertoire » disponible dans cPanel se charge de créer et de configurer automatiquement ces fichiers. Il permet ainsi d’activer cette protection sans intervention manuelle, tout en utilisant un mécanisme éprouvé.

➔ Si vous préférez mettre en place cette protection de manière manuelle, ou mieux comprendre son fonctionnement classique, un article dédié détaille cette approche pas à pas : htpasswd : protéger l’accès à son site WordPress par une authentification.

Dans quels cas utiliser la Confidentialité du répertoire ?

Cette protection est particulièrement adaptée pour :

• un site en cours de développement ou de refonte ;
• un environnement de préproduction ou de test ;
• un dossier contenant des fichiers sensibles ou réservés à des tiers ;
• un espace de travail temporaire partagé avec un client ou des partenaires.

Ce que cette protection fait… et ne fait pas

• ✅ Elle empêche l’accès au contenu, pour les visiteurs comme pour les moteurs de recherche.
• ✅ Elle évite toute indexation accidentelle de contenus non finalisés.
• ❌ Elle ne remplace pas le HTTPS ni une stratégie de sécurité globale.
• ❌ Elle n’a pas vocation à gérer des droits utilisateurs avancés.

Utilisée au bon moment, la Confidentialité du répertoire (protection htaccess) constitue une solution simple, rapide et efficace pour protéger temporairement l’accès à un site ou à un dossier.

Tutoriel : protéger un répertoire avec l’outil « Confidentialité du répertoire »

Étape 1 : accéder à l’outil « Confidentialité du répertoire »

Commencez par vous connecter à votre interface cPanel depuis votre hébergement o2switch.

Une fois dans cPanel, repérez la section Fichiers, puis cliquez sur Confidentialité du répertoire.
Cet outil permet de gérer la protection par mot de passe de n’importe quel dossier présent sur votre hébergement.

Vous arrivez alors sur une vue listant l’arborescence de vos dossiers. C’est depuis cet écran que vous allez choisir précisément quel répertoire protéger.

Étape 2 : sélectionner le répertoire à protéger

Depuis l’outil Confidentialité du répertoire dans cPanel, vous voyez s’afficher l’arborescence des dossiers de votre hébergement o2switch.

Naviguez jusqu’au dossier que vous souhaitez protéger. Il peut s’agir par exemple :

• d’un dossier de préproduction (/staging, /dev) ;
• d’un répertoire de test ;
• d’un dossier ou d’un sous-dossier contenant des fichiers à accès restreint (/public_html/documents-client/).

Cliquez ensuite sur le bouton ÉDITER en vis-à-vis pour accéder à l’écran de configuration de la Confidentialité du répertoire.

Étape 3 : activer la protection par mot de passe

Commencez par cocher l’option permettant de protéger ce répertoire par mot de passe.
Cette action active immédiatement le mécanisme d’authentification pour le dossier concerné.

À propos du nom du répertoire protégé : il est bien enregistré côté serveur, mais son affichage dans la fenêtre d’authentification dépend du navigateur et peut ne pas apparaître. Cela n’indique pas un dysfonctionnement. Vous pouvez laisser ce champ tel quel.

Cliquez sur le bouton Enregistrer puis sur le bouton Retour.

À ce stade, la protection est active, mais aucun utilisateur n’est encore autorisé à accéder au dossier.
Il reste donc une étape indispensable : créer un premier compte.

Étape 4 : créer un utilisateur autorisé

Après l’activation de la protection, l’interface vous propose de gérer les utilisateurs autorisés pour ce répertoire.

Dans la section dédiée, commencez par créer un nouvel utilisateur en renseignant :

• un nom d’utilisateur (évitez les termes trop génériques comme admin ou test) ;
• un mot de passe robuste.

L’outil intégré de cPanel permet de générer automatiquement un mot de passe sécurisé. C’est la solution la plus simple et la plus fiable.

Une fois les champs complétés, validez la création de l’utilisateur en cliquant sur le bouton Enregistrer. Les identifiants sont immédiatement actifs pour le dossier protégé.

➔ Bonne pratique : privilégiez un utilisateur par personne. Cela facilite la gestion des accès et permet de supprimer un compte sans impacter les autres.

À ce stade, la protection est pleinement fonctionnelle :

• le répertoire est protégé ;
• au moins un utilisateur est autorisé.

Étape 5 : tester la protection

Une fois l’utilisateur créé, il est important de vérifier immédiatement que la protection fonctionne correctement. Ouvrez un nouvel onglet de navigateur (ou une fenêtre de navigation privée), puis accédez à l’URL correspondant au répertoire protégé.

Si tout est correctement configuré :

• une fenêtre d’authentification s’affiche automatiquement ;
• l’accès au contenu est impossible sans identifiants valides.

Saisissez le nom d’utilisateur et le mot de passe que vous venez de créer, puis validez.
Le contenu du dossier doit alors s’afficher normalement.

➔ Astuce : si la fenêtre ne s’affiche pas, pensez à vider le cache du navigateur ou à tester en navigation privée pour éviter toute mise en cache intempestive.

Si l’accès est bien bloqué sans identifiants et autorisé après authentification, la protection est en place et opérationnelle.

Étape 6 : gérer les utilisateurs

L’outil Confidentialité du répertoire permet de gérer facilement plusieurs utilisateurs pour un même dossier protégé. Depuis l’écran de gestion, vous pouvez :

• Ajouter un utilisateur : créez un nouvel utilisateur comme à l’étape 4.
• Changer le mot de passe : saisissez le même nom d’utilisateur qu’un compte existant, indiquez un nouveau mot de passe, puis enregistrez. Le mot de passe est remplacé.
• Supprimer un utilisateur : sélectionnez l’utilisateur dans Utilisateurs autorisés, puis cliquez sur Supprimer l’utilisateur.

➔ Bonnes pratiques

• créez un utilisateur par personne ;
• supprimez les comptes devenus inutiles dès que le projet avance ou se termine ;
• évitez de partager un même identifiant entre plusieurs personnes.

Désactiver la protection par mot de passe

Si l’accès protégé au dossier est devenu inutile, vous pouvez retirer la protection par mot de passe en 2 clics : reconnectez-vous à votre interface cPanel sur votre hébergement o2switch, puis ouvrez à nouveau l’outil Confidentialité du répertoire.

Naviguez jusqu’au dossier précédemment protégé, puis cliquez sur son nom pour accéder à sa configuration. Il vous suffit ensuite de désactiver l’option de protection par mot de passe, puis d’enregistrer les modifications.

La protection est immédiatement levée : le dossier redevient accessible sans authentification.

➔ À savoir : les fichiers de configuration liés à la protection (.htaccess et .htpasswd) sont conservés, mais ne sont plus actifs. Cela permet de réactiver rapidement la protection ultérieurement si nécessaire.

Une fois la protection désactivée, pensez tout de même à tester l’accès au dossier depuis un navigateur afin de vérifier que l’authentification n’est plus demandée.

Conseils de sécurité

La Confidentialité du répertoire constitue une première barrière efficace pour contrôler l’accès à un dossier. Pour qu’elle reste pertinente, quelques bonnes pratiques sont toutefois à respecter.

Choisir des identifiants robustes

Même pour un usage temporaire, il est recommandé de :

• utiliser des mots de passe uniques et complexes ;
• éviter les combinaisons évidentes (nom, prénom, nom du site) ;
• privilégier le générateur de mots de passe intégré à cPanel.

Un mot de passe d’au moins 12 caractères, combinant lettres, chiffres et caractères spéciaux, est un bon minimum.

Gérer les accès avec rigueur

• créez un utilisateur par personne ;
• supprimez les comptes qui ne sont plus nécessaires ;
• évitez de partager un même identifiant entre plusieurs intervenants.

Cette organisation facilite la gestion des accès et limite les risques en cas de diffusion involontaire d’un mot de passe.

Utiliser impérativement le HTTPS

L’authentification mise en place repose sur une demande d’identifiants au niveau du navigateur.
Pour que ces informations soient correctement protégées lors de leur transmission, le site ou le dossier concerné doit impérativement être accessible en HTTPS.

Sur un hébergement o2switch, l’activation d’un certificat SSL est simple et gratuite avec Let’s Encrypt. Elle doit être envisagée dès la création du site, même pour un environnement de préproduction.

Bien comprendre le rôle de cet outil

La Confidentialité du répertoire n’est pas un outil de sécurité à proprement parler. Comme son nom l’indique, elle permet avant tout de contrôler l’accès à un dossier précis.

L’outil Confidentialité du répertoire ne remplace pas les autres mesures de protection d’un site ou d’un serveur et n’a pas vocation à gérer des droits complexes ou à bloquer l’ensemble des menaces possibles. Son rôle est volontairement simple : empêcher l’accès non autorisé à un contenu donné.

Utilisée dans ce cadre, elle constitue une solution simple, rapide et parfaitement adaptée à de nombreux usages courants.

Dépannage

Voici les problèmes les plus fréquemment rencontrés lors de l’utilisation de la Confidentialité du répertoire, ainsi que les solutions associées.

La fenêtre d’authentification ne s’affiche pas

Si l’accès au dossier ne déclenche pas la demande d’identifiants :

• vérifiez que le bon répertoire a bien été sélectionné dans l’outil ;
• assurez-vous que la protection est activée pour ce dossier ;
• videz le cache de votre navigateur ou testez en navigation privée.

Dans la majorité des cas, le problème est lié à un cache navigateur ou à une confusion entre plusieurs dossiers.

Le nom du répertoire protégé ne s’affiche pas

Lors de l’activation de la protection, cPanel vous propose de définir un nom pour le répertoire protégé. Selon le navigateur, ce nom peut ne pas être affiché dans la fenêtre d’authentification. Cela s’explique par des choix d’interface et de sécurité. La protection reste pleinement fonctionnelle tant que l’accès est bien bloqué sans identifiants.

Erreur 500 après l’activation de la protection

Une erreur 500 peut apparaître si :

• le dossier contient déjà un fichier .htaccess avec des règles incompatibles ;
• des directives serveur entrent en conflit.

Dans ce cas :

• vérifiez le contenu du fichier .htaccess existant ;
• désactivez temporairement la protection pour identifier l’origine du conflit.

Si le problème persiste, le support de o2switch pourra vous aider à analyser la configuration.

Les identifiants sont refusés

Si l’accès est refusé malgré des identifiants corrects :

• vérifiez les majuscules et minuscules (elles sont prises en compte) ;
• assurez-vous qu’aucun espace superflu n’a été ajouté ;
• recréez l’utilisateur si nécessaire.

Il est souvent plus rapide de supprimer puis de recréer l’utilisateur que de chercher une erreur invisible.

La protection s’applique à des sous-dossiers non souhaités

Par défaut, la protection s’applique à l’ensemble des sous-répertoires du dossier protégé.
C’est un comportement normal.

Si vous souhaitez protéger uniquement un sous-dossier précis :

• appliquez la protection directement sur ce sous-dossier ;
• évitez de protéger un répertoire parent trop large.

La fenêtre d’authentification réapparaît en boucle

Si le navigateur redemande sans cesse les identifiants :

• vérifiez que le navigateur accepte les cookies ;
• testez avec un autre navigateur ou en navigation privée ;
• assurez-vous que le site est bien accessible en HTTPS.

Dans la majorité des cas, ce comportement est lié à un problème de cache ou de session côté navigateur.