Protéger l’admin WordPress grâce à un fichier .htpasswd

WordPress
15/10/2024

Besoin d’un site WordPress fiable et bien pensé ?

Création, refonte, optimisation, sécurité, performances : je conçois des sites WordPress professionnels, rapides et faciles à administrer.

Découvrir mes offres

La sécurité d’un site WordPress est primordiale, surtout lorsqu’il s’agit de protéger l’accès à la zone d’administration. Il existe diverses méthodes pour cela et qui peuvent être complémentaires (mettre en place un WAF, déporter les URLs de connexion, définir les entêtes de sécurité…). Mais il existe une autre méthode assez méconnue et pourtant redoutablement efficace pour renforcer cette sécurité, consistant à ajouter une couche d’authentification supplémentaire à l’aide d’un fichier .htpasswd. Cette méthode protège vos pages d’administration (wp-login.php et wp-admin) contre les attaques par force brute et autres tentatives d’accès non autorisé.

Dans cet article, je vous explique pas à pas comment configurer un fichier .htpasswd pour protéger l’accès à l’administration de votre site WordPress.

Note : La procédure décrite ici s’applique aux hébergements web basés sur un serveur Apache.

Etape 1 – Générer le fichier .htpasswd

Le fichier .htpasswd contient les identifiants (noms d’utilisateurs et mots de passe) qui serviront à restreindre l’accès à certaines parties de votre site.

Générer des mots de passe sécurisés

  1. Rendez-vous sur un générateur de mots de passe en ligne, comme celui-ci.
  2. Entrez le ou les noms d’utilisateurs et mots de passe, puis cliquez sur “Générer le contenu du fichier htpasswd”. Vous devriez obtenir un résultat semblable à ceci :
Générateur .htpasswd - PG Concept
Les données présentées ici sont évidemment fictives.
Le hachage par “SHA-1 salé” est recommandé.
  1. Copiez la ou les lignes obtenues, vous en aurez besoin plus tard.

Créer et uploader le fichier .htpasswd

  1. Ouvrez un éditeur de texte. Notepad fera parfaitement l’affaire, maisen ce qui me concerne j’ai un faible pour Notepad++ (gratuit).
  2. Collez la ou les lignes générées à l’étape précédente.
  3. Enregistrez le fichier sous le nom .htpasswd.
  4. Déposez le fichier sur votre serveur grâce à un client FTP tel que FileZilla ou encore via le gestionnaire de fichiers de votre compte d’hébergement web.

Attention ! Il est recommandé de déposer le fichier dans un dossier sécurisé, en dehors du répertoire public (public_html) pour éviter tout accès direct.

Par exemple :

/home/DOSSIER_SECURISE/.htpasswd

Etape 2 – Modifier le fichier .htaccess

Le fichier .htaccess permet de contrôler le comportement de votre serveur Apache et de restreindre l’accès à certaines parties de votre site. Dans ce cas, nous allons configurer l’authentification pour protéger wp-login.php et le répertoire wp-admin.

Accéder au fichier .htaccess

  1. Connectez-vous à votre serveur grâce à un client FTP ou via le gestionnaire de fichiers de votre hébergeur.
  2. Recherchez le fichier .htaccess dans le répertoire public_html ou dans le dossier racine de votre installation WordPress.
  3. Ouvrez ce fichier pour le modifier. Si le fichier n’existe pas, vous pouvez le créer à la racine de votre installation WordPress.

Ajouter les directives de protection

Ajoutez le code suivant dans le fichier .htaccess :

<Files wp-login.php>
    AuthType Basic
    AuthName "Connexion protégée"
    AuthUserFile /home/DOSSIER_SECURISE/.htpasswd
    Require valid-user
</Files>

<FilesMatch "^wp-admin/.*$">
    AuthType Basic
    AuthName "Connexion protégée"
    AuthUserFile /home/DOSSIER_SECURISE/.htpasswd
    Require valid-user
</FilesMatch>

# Exclure admin-ajax.php des restrictions
<Files admin-ajax.php>
    Require all granted
</Files>

Pensez à remplacer /home/DOSSIER_SECURISE/ par le nom de dossier que vous avez créé.

Note : L’exclusion de admin-ajax.php est nécessaire si l’un de vos plugins utilise les appels Ajax ou encore les API REST. Dans le doute, conservez cette exclusion.

Étape 3 – Tester la protection

Une fois les modifications effectuées :

  1. Testez l’accès à https://votre_site.fr/wp-login.php ou à https://votre_site.fr/wp-admin. Vous devriez voir une boîte de dialogue vous demandant de saisir un nom d’utilisateur et un mot de passe.
  2. Entrez les identifiants d’un utilisateur parmi ceux que vous avez configurés dans le fichier .htpasswd. Le mot de passe est évidemment celui NON crypté.
  3. Si tout fonctionne correctement, vous serez redirigé vers la page de connexion WordPress.

Bonus – Cas d’un serveur Nginx

Si vous utilisez un serveur Nginx, la configuration diffère légèrement de celle d’Apache. La création du fichier .htpasswd reste identique : générez-le et placez-le dans un répertoire sécurisé comme /etc/nginx/.htpasswd.

Au lieu de modifier un fichier .htaccess, les restrictions d’accès se configurent directement dans le fichier de configuration Nginx de votre site.

  1. Ouvrez le fichier de configuration Nginx, généralement situé dans /etc/nginx/sites-available/votre_site.
  2. Ajoutez les directives suivantes pour protéger wp-login.php et /wp-admin :
location = /wp-login.php {
    auth_basic "Accès restreint";
    auth_basic_user_file /etc/nginx/.htpasswd;
}

location /wp-admin/ {
    auth_basic "Accès restreint";
    auth_basic_user_file /etc/nginx/.htpasswd;
}
  1. Une fois ces modifications apportées, redémarrez Nginx pour appliquer les changements :
sudo systemctl restart nginx

Le reste de la procédure, notamment les tests, est identique à Apache.

Conclusion

L’utilisation d’un fichier .htpasswd pour protéger l’accès à wp-login.php et wp-admin est une méthode simple mais efficace pour renforcer la sécurité de votre site WordPress. En ajoutant cette couche supplémentaire d’authentification, vous réduisez les risques de tentatives de connexion non autorisées et vous protégez votre site contre les attaques par force brute.

Toutefois, cela ne vous dispense pas de mettre en place les mesures de sécurité habituelles. N’oubliez pas d’effectuer des sauvegardes régulières et de surveiller les journaux de sécurité pour détecter toute tentative suspecte. La sécurité de votre site est un processus continu, et cette méthode s’inscrit parfaitement dans une approche proactive de la protection des données.

Note : La méthode décrite ici peut s’appliquer à tout site de site web dont on veut restreindre l’accès à certaines pages, pas seulement aux sites développés sous WordPress.

Newsletter

Cet article vous a plu ? Restez informé : abonnez-vous à ma newsletter pour recevoir chaque dernier mardi du mois mes nouvelles publications !

Vous pourrez vous désinscrire à tout moment en suivant le lien de désabonnement dans la newsletter.

J'y vais !

Infos article

Niveau

Avancé

Tags

Sécurité, .htpasswd, .htaccess

A découvrir

Divi Pixel
Linkuma
Tactiq
Revolut
AI MagicX Spark

Liens affiliés

Certains liens présents sur cette page sont affiliés. Je peux percevoir une commission si vous effectuez un achat, sans surcoût pour vous. Je ne recommande que des services que j’utilise et apprécie.
En savoir plus

Réagissez à cet article : Protéger l’admin WordPress grâce à un fichier .htpasswd

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Poursuivez votre lecture !

Ecosystème PG Concept
Mai 05 2025
, , ,

L’écosystème PG Concept : Un environnement technique sur mesure

Découvrez l’écosystème que j’ai mis en place pour optimiser ma façon de travailler et répondre au mieux aux besoins de mes clients. Un environnement technique taillé sur mesure, efficace et évolutif !

Lire plus
Les nouveautés de WordPress 6.6 - PG Concept
Juil 16 2024

Sortie de WordPress 6.6 : les nouveautés importantes

WordPress 6.6 est arrivé avec des améliorations majeures : blocs dynamiques, patterns enrichis, rollback des plugins, performances optimisées, et sécurité renforcée. Explorez les nouvelles fonctionnalités pour transformer votre expérience de gestion de site avec cette version...
Lire plus
Optimiser une base de données WordPress - PG Concept
Déc 17 2024
,

Optimiser une base de données WordPress : Guide complet

Améliorez les performances de votre site WordPress grâce à un nettoyage et une optimisation efficaces de votre base de données. Ce guide complet couvre les méthodes manuelles, les plugins recommandés et des conseils pratiques pour maintenir un site rapide et performant.

Lire plus
WordPress 6.7 - PG Concept
Nov 13 2024

Les nouveautés de WordPress 6.7 : performances, sécurité et fonctionnalités

WordPress 6.7 est là, apportant des nouveautés majeures pour les développeurs et utilisateurs. De nouvelles fonctionnalités, une performance optimisée et une sécurité accrue en font une mise à jour incontournable. Découvrez tous les détails dans cet article complet !

Lire plus
Différences entre page et article WordPress - PG Concept
Déc 23 2025

WordPress : ne confondez pas pages et articles !

Pages et articles WordPress répondent à des usages bien distincts. Comprendre leurs différences est essentiel pour structurer correctement votre site, améliorer l’expérience utilisateur et optimiser votre référencement naturel.

Lire plus
WordPress vs Webflow - PG Concept
Juin 10 2025
,

WordPress vs Webflow : Mon avis d’expert sur le meilleur choix

WordPress vs Webflow : le match est lancé ! Cet article explique point par point pourquoi l’un reste le choix privilégié pour mes projets clients, et dans quels cas spécifiques l’autre peut être envisagé.

Lire plus
WordPress 7.0 : mettre à jour dès maintenant ? - PG Concept
Mai 19 2026
, ,

WordPress 7.0 : faut-il mettre à jour votre site dès sa sortie ?

WordPress 7.0 arrive le 20 mai 2026 avec une administration modernisée, des blocs améliorés et des bases pour l’IA. Avant de mettre votre site à jour, découvrez les nouveautés utiles, les risques à anticiper et la méthode à suivre pour éviter les mauvaises surprises.

Lire plus
Sécuriser votre site WordPress - PG Concept
Juin 27 2024

Comment sécuriser votre site WordPress efficacement ?

Découvrez comment sécuriser votre site WordPress avec des entêtes de sécurité et un pare-feu d’application Web (WAF). Protégez vos données contre les attaques efficacement.

Lire plus
Les extensions WordPress indispensables - PG Concept
Août 08 2024

Les extensions WordPress indispensables

Ma sélection d’extensions WordPress indispensables : sécurité, SEO, performances, RGPD… découvrez les plugins incontournables pour tout site WordPress !

Lire plus
Consent Mode v2 - PG Concept
Fév 25 2025
,

Consent Mode v2 : Le guide complet pour une conformité optimale

Le Consent Mode v2 est devenu incontournable pour la collecte de données conforme au RGPD. Découvrez son fonctionnement, comment l’implémenter avec ou sans plugin WordPress, son impact sur Google Analytics, Google Ads, et les meilleures pratiques pour un suivi efficace et respectueux de la vie...
Lire plus