[WordPress] Protéger son répertoire “wp-admin”
Par mesure de sécurité, il peut être intéressant de protéger le répertoire wp-admin
de son site WordPress. Malheureusement, certains fichiers peuvent être utilisés par les utilisateurs à cause de certains plugins.
Pour protéger son répertoire wp-admin
, une façon simple consiste à ajouter un fichier .htaccess
et définir que seul les utilisateurs qui ont le bon mot de passe peuvent y accéder :
AuthType Basic
AuthName "Accès restreint"
AuthUserFile /chemin/vers/votre/fichier/.htpasswd
Require valid-user
Cela aura pour conséquence de demander le mot de passe lorsqu’un internaute tentera d’accéder à n’importe quel fichier de ce répertoire.
Le problème c’est que certains plugins font appel à des scripts de ce répertoire. Par exemple, le plugin “WP ULike” a besoin que le navigateur accède à la page admin-ajax.php
pour prendre en compte l’appuie sur le bouton “like” de l’utilisateur. Avec notre .htaccess
, l’internaute aura la popup qui lui demande le mot de passe.
La page admin-post.php
est elle aussi susceptible d’être appelée par le navigateur.
Pour éviter ça, il faut mettre une exception dans le fichier .htaccess
:
<Files "admin-ajax.php">
Satisfy any
Allow from all
</Files>
<Files "admin-post.php">
Satisfy any
Allow from all
</Files>
<Files "*">
AuthType Basic
AuthName "Accès restreint"
AuthUserFile /chemin/vers/votre/fichier/.htpasswd
Require valid-user
</Files>