asset 1
asset 2
asset 3
asset 1
04 44 44 60 40
asset 2
Commander
asset 20
04 44 44 60 40
asset 21
Commander

htpasswd : protéger l’accès à son site WordPress par une authentification

10 octobre 2025

5

htpasswd wordpress
SommaireVoirCacher
  1. Comment fonctionne la protection d'un site WordPress avec .htpasswd ?
  2. La particularité des fichiers commençant par un point
  3. Créer le fichier .htpasswd
  4. Configurer le fichier .htaccess
  5. Tester et ajuster la configuration
  6. Avantages et limites de la méthode

Lorsqu’un site Word­Press est en cours de déve­lop­pe­ment en ligne, il est pré­fé­rable de le gar­der à l’abri des regards et sur­tout des robots d’indexation, tant que le pro­jet n’est pas fina­li­sé. C’est la méthode pour laquelle j’ai opté quand je déve­loppe un site. C’est plus simple pour mon­trer au client les étapes de déve­lop­pe­ment pour qu’il puisse vali­der ce qu’on a fait.

Si vous uti­li­sez Local, l’ou­til pro­pose un par­tage de lien (Live Link), mais les peu de fois où je l’ai essayé, ce n’é­tait pas convain­cant.

L’une des méthodes les plus simples et les plus effi­caces pour contrô­ler l’accès consiste à mettre en place une pro­tec­tion via un fichier .htpasswd. Cette authen­ti­fi­ca­tion basique, direc­te­ment gérée par le ser­veur, ajoute une bar­rière sup­plé­men­taire avant même que Word­Press ne soit char­gé. Voi­ci, com­ment mettre en place cette authentification.

Comment fonctionne la protection d’un site WordPress avec .htpasswd ?

Le fichier .htpasswd fonc­tionne en asso­cia­tion avec le fichier .htac­cess. Ensemble, ils per­mettent de défi­nir une zone pro­té­gée par iden­ti­fiant et mot de passe. L’avantage est double : la mise en place est rapide et ne néces­site aucune exten­sion Word­Press, et la pro­tec­tion agit avant que PHP ne s’exécute. Autre­ment dit, la charge ser­veur est réduite puisque seules les per­sonnes auto­ri­sées peuvent fran­chir ce pre­mier niveau de sécu­ri­té.

C’est par­ti­cu­liè­re­ment utile pour un site en chan­tier, pour un envi­ron­ne­ment de test ou pour une pré­prod. Vous contrô­lez exac­te­ment qui peut consul­ter vos pages, ce qui évite une indexa­tion pré­ma­tu­rée dans les moteurs de recherche ou une dif­fu­sion publique involontaire.

La particularité des fichiers commençant par un point

Les fichiers comme .htac­cess ou .htpasswd ont une par­ti­cu­la­ri­té : leur nom com­mence par un point. Dans les sys­tèmes Unix et Linux, cela signi­fie que le fichier est consi­dé­ré comme caché. Par défaut, il n’apparaît pas dans l’explorateur de fichiers ou dans la sor­tie d’une com­mande simple. Il faut donc acti­ver l’affichage des fichiers cachés sur votre ordi­na­teur et sur votre client FTP, pour les voir.
Cette conven­tion est uti­li­sée pour de nom­breux fichiers de confi­gu­ra­tion sen­sibles, tel que .giti­gnore. Le fait de les cacher per­met de ne pas encom­brer l’arborescence visible, mais aus­si de rap­pe­ler qu’il s’agit de fichiers tech­niques qui ne doivent pas être modi­fiés à la légère.
Il est impor­tant de noter que ce carac­tère caché agit uni­que­ment au niveau du sys­tème de fichiers. Cela ne bloque pas l’accès depuis un navi­ga­teur si le ser­veur n’est pas confi­gu­ré cor­rec­te­ment. C’est pour­quoi les ser­veurs comme Apache inter­disent par défaut l’affichage direct de ces fichiers, et c’est aus­si la rai­son pour laquelle la sécu­ri­té appor­tée par .htac­cess et .htpasswd reste efficace.

Créer le fichier .htpasswd

Le fichier .htpasswd contient les iden­ti­fiants et les mots de passe qui seront auto­ri­sés à accé­der au site. Comme il ne faut jamais sto­cker de mot de passe en clair, chaque mot de passe est enre­gis­tré sous forme chif­frée. La géné­ra­tion de ce fichier peut se faire via un outil en ligne de confiance ou direc­te­ment en ligne de com­mande avec la com­mande htpasswd, dis­po­nible sur de nom­breux ser­veurs Apache.
Le for­mat du fichier est simple : chaque ligne cor­res­pond à un uti­li­sa­teur ou une uti­li­sa­trice, sui­vi du mot de passe chif­fré.

Par exemple :

janice:$apr1$XrR…$y8J6hkY…
valerie:$apr1$K4Q…$uE4L9kz…

Per­son­nel­le­ment, j’u­ti­lise l’ou­til en ligne Web2generators pour géné­rer un mot de passe chif­fré : il est très facile à utiliser.

Une fois l’u­ti­li­sa­teur ou l’u­ti­li­sa­trice et son mot de passe défi­nis, il faut créer un fichier avec votre édi­teur de texte pré­fé­ré et l’en­re­gis­trer sous le nom .htpasswd (avec un point devant).

Ce fichier doit être pla­cé à la racine de votre site WordPress. 

Configurer le fichier .htaccess

Une fois le fichier .htpasswd créé et sto­cké, il faut indi­quer au ser­veur qu’une pro­tec­tion doit être appli­quée. Cela se fait à l’aide du fichier .htac­cess situé, lui aus­si, à la racine du site Word­Press. Lorsque vous avez ins­tal­lé Word­Press, ce fichier a été créé avec les règles Word­Press. Il faut ajou­ter à ce fichier les direc­tives sui­vantes (avant ou après les règles) :

AuthType Basic
AuthName "Connexion protégée"
AuthUserFile /chemin/absolu/vers/.htpasswd
Require valid-user

Par mesure de sécu­ri­té, copiez le fichier .htac­cess sur votre ordi­na­teur. Ou bien, si besoin, régé­né­rez les per­ma­liens de votre site en allant dans Réglages > Per­ma­liens (cela crée­ra un nou­veau fichiers .htac­cess).

Le para­mètre Auth­Name défi­nit le mes­sage qui doit appa­raître dans la boîte de dia­logue du navi­ga­teur deman­dant l’identifiant et le mot de passe, cepen­dant les navi­ga­teurs ne l’af­fichent plus. Le che­min vers .htpasswd doit être abso­lu, c’est-à-dire com­plet depuis la racine du ser­veur, et non rela­tif au site web. Enfin, la direc­tive Require valid-user pré­cise que tout uti­li­sa­teur figu­rant dans le fichier peut se connec­ter. A la place de valid-user, vous met­trez (j’u­ti­lise l’exemple ci-des­sus comme utilisatrice) :

require user janice
require user valerie

Vous met­trez autant de ligne require user, qu’il y a d’u­ti­li­sa­teur ou uti­li­sa­trice auto­ri­sée à accé­der au site.

Si vous ne savez pas quel est le che­min abso­lu vers le fichier .htpass­word, vous pou­vez uti­li­ser la fonc­tion phpin­fo. Pour cela, créer un fichier php, que vous nom­me­rez par exemple phpinfo.php. Et dans lequel vous met­trez le code suivant :

<?php phpinfo(); ?>

Puis, ren­dez-vous dans votre navi­ga­teur et appe­ler l’url mon​site​.fr/​p​h​p​i​n​f​o​.​php. Sur la page qui s’af­fiche, allez à la ligne $_SERVER[« DOCUMENT_ROOT »], c’est ici que sera indi­qué le che­min abso­lu. Une fois, l’in­fo en main, vous pou­vez sup­pri­mer ce fichier. 

Tester et ajuster la configuration

Une fois la confi­gu­ra­tion en place, il suf­fit de rechar­ger le site pour véri­fier le fonc­tion­ne­ment. Le navi­ga­teur affi­che­ra une fenêtre deman­dant un nom d’utilisateur et un mot de passe. Si les iden­ti­fiants cor­res­pondent, la page se charge nor­ma­le­ment. Sinon, l’accès est refusé.

fenêtre demandant de se connecter avec le nom d'utilisateur et le mot de passe


En cas d’erreur, il est sou­vent lié au che­min du fichier .htpasswd. Il faut s’assurer que le che­min indi­qué cor­res­pond bien à l’emplacement réel du fichier sur le ser­veur. Une autre source de pro­blème peut être la pré­sence d’autres règles dans le .htac­cess, notam­ment celles géné­rées auto­ma­ti­que­ment par Word­Press. Dans ce cas, il est conseillé de pla­cer les direc­tives d’authentification au tout début du fichier.

Avantages et limites de la méthode

La pro­tec­tion par .htpasswd a l’avantage d’être rapide, légère et indé­pen­dante de Word­Press. Elle consti­tue une pre­mière bar­rière de sécu­ri­té, utile pour blo­quer l’accès à un site en déve­lop­pe­ment ou res­treindre une zone par­ti­cu­lière du site.
Cepen­dant, il s’agit d’une authen­ti­fi­ca­tion basique. Elle ne rem­place pas un véri­table sys­tème de ges­tion des uti­li­sa­teurs avec dif­fé­rents niveaux de droits. Elle ne chiffre pas les échanges, donc il est recom­man­dé d’utiliser un cer­ti­fi­cat SSL pour évi­ter que les iden­ti­fiants ne cir­culent en clair sur le réseau. Enfin, si plu­sieurs uti­li­sa­teurs doivent accé­der au site, il faut gérer manuel­le­ment leurs entrées dans le fichier .htpasswd.


Ain­si, pro­té­ger son site Word­Press en déve­lop­pe­ment avec .htpasswd est une solu­tion simple et robuste pour évi­ter les visites indé­si­rables. Cette bar­rière au niveau du ser­veur offre un contrôle immé­diat sur l’accès, sans dépendre d’ex­ten­sions ou de confi­gu­ra­tions com­plexes. En asso­ciant cette méthode à de bonnes pra­tiques de sécu­ri­té, comme l’utilisation du HTTPS, vous garan­tis­sez que seules les per­sonnes auto­ri­sées peuvent consul­ter vos pages, le temps que le pro­jet soit prêt à être dévoi­lé au grand public.

Image à la Une, créée par ChatGpt.

htpasswd : protéger l’accès à son site WordPress par une authentification

Valérie Galassi

J'ai découvert le web en 1999 via une start-up. Je porte beaucoup d'intérêt à la qualité web, à l'accessibilité et à l'ergonomie web. Je crée des sites vitrine et eCommerce pour mes clients et m'occupe de leur maintenance. Je participe à l’organisation d'évènements WordPress (WordCamps, journées de contribution, meetups).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour aux articles
Sommaire
  1. Comment fonctionne la protection d'un site WordPress avec .htpasswd ?
  2. La particularité des fichiers commençant par un point
  3. Créer le fichier .htpasswd
  4. Configurer le fichier .htaccess
  5. Tester et ajuster la configuration
  6. Avantages et limites de la méthode

Articles similaires

Rejoindre o2switch