Par mesure de sécurité, il peut être intéressant de protéger le répertoire wp-admin de son site WordPress. Malheureusement, certains fichiers peuvent être utilisés par les utilisateurs à cause de certains plugins.

Pour protéger son répertoire wp-admin, une façon simple consiste à ajouter un fichier .htaccess et définir que seul les utilisateurs qui ont le bon mot de passe peuvent y accéder :

    AuthType Basic
    AuthName "Accès restreint"
    AuthUserFile /chemin/vers/votre/fichier/.htpasswd
    Require valid-user

Cela aura pour conséquence de demander le mot de passe lorsqu’un internaute tentera d’accéder à n’importe quel fichier de ce répertoire.

Le problème c’est que certains plugins font appel à des scripts de ce répertoire. Par exemple, le plugin « WP ULike » a besoin que le navigateur accède à la page admin-ajax.php pour prendre en compte l’appuie sur le bouton « like » de l’utilisateur. Avec notre .htaccess, l’internaute aura la popup qui lui demande le mot de passe.
La page admin-post.php est elle aussi susceptible d’être appelée par le navigateur.

Pour éviter ça, il faut mettre une exception dans le fichier .htaccess :

<Files "admin-ajax.php">
    Satisfy any
    Allow from all
</Files>
<Files "admin-post.php">
    Satisfy any
    Allow from all
</Files>
<Files "*">
    AuthType Basic
    AuthName "Accès restreint"
    AuthUserFile /chemin/vers/votre/fichier/.htpasswd
    Require valid-user
</Files>