Suite à sa dernière mise à jour, le plugin WP-DBManager affichait dans l'interface d'administration de mon blog le message suivant :
"Your backup folder MIGHT be visible to the public.
To correct this issue, move the .htaccess file from wp-content/plugins/wp-dbmanager to /.../.../wp-content/backup-db".
Panique à bord. Je ne m'étais jamais souciée de protéger spécifiquement un répertoire sous WordPress. Je me suis renseignée, et j'ai entrepris de créer et d'installer les fichiers .htaccess et .htpasswd nécessaires à la protection de mon blog. Celui-ci est hébergé chez OVH. J'ai donc suivi et appliqué la méthode proposée dans le Guide.OVH.com à la page Comment protéger l'accès à un répertoire par une authentification ? La méthode est simple, mais pas suffisamment explicite sur certains points. J'ajoute ici quelques précisions.
1. Pour m'assurer d'une parfaite conformité avec la méthode préconisée par OVH, je supprime d'abord le fichier ".htaccess" non renseigné, automatiquement créé dans wp-content/plugins/wp-dbmanager lors de l'installation de WP-DBManager.
2. Je copie le script .htaccess proposé par OVH, je le colle dans un éditeur de code - chez moi Smultron (gratuit) - et je le renseigne, toujours d'après les indications fournies par OVH.
Le modèle du script est le suivant :
AuthUserFile /home/votre_login_ftp/www/'chemin d'accès au fichier .htpasswd'/.htpasswd AuthGroupFile /dev/null AuthName "Accès Restreint" AuthType Basic <Limit GET POST> require valid-user </Limit>
Remarques :
Le /home/ et le /'chemin d'accès au fichier .htpasswd'/, i. e. le chemin absolu, doivent être précisés.
Remplacez le /home/votre_login_ftp/www/'chemin d'accès au fichier .htpasswd' du script ci-dessus par le chemin indiqué à la ligne "Checking Backup Folder".
Rien d'autre à faire. Le fichier ".htaccess" est maintenant renseigné.
Si vous souhaitez protéger un répertoire dont vous ne connaissez pas le chemin absolu, créez un fichier "chemin.php" contenant le script suivant :
<?php echo realpath('chemin.php'); ?>
Installez ce fichier "chemin.php" dans le répertoire que vous souhaitez protéger.
Ouvrez votre navigateur, saisissez dans la barre d'adresse :
http://url_de_votre_blog/wp-content/nom_du_repertoire_a_proteger/chemin.php
Validez. Le chemin recherché s'affiche dans la barre d'adresse. Il ne vous reste plus qu'à le recopier.
3. Enregistrez le fichier ".htaccess" maintenant renseigné. Comme les noms commençant par un point sont réservés aux fichiers système, nommez provisoirement votre fichier ".htaccess" par exemple comme ceci : "test.htaccess".
4. Créez maintenant le fichier ".htpasswd", toujours d'après le modèle fourni par OVH :
utilisateur:mot_de_passe_crypté
OVH n'admet que les mots de passe cryptés par l'outil OVH. Pour crypter le mot de passe de votre choix, allez à la page Outils OVH/Crypter un mot de passe, entrez le mot à crypter, puis la clé, et cliquez sur "Cryptez le mot de passe".
Le mot de passe s'affiche. Copiez-le et sauvegardez-le précieusement.
Renseignez maintenant le script "utilisateur:mot_de_passe_crypté".
Enregistrez le fichier ".htpasswd" ainsi renseigné, en le nommant provisoirement par exemple comme ceci : "test.passwd".
5. Transférez les fichiers "test.htaccess" et "test.htpasswd" en ftp sur votre serveur. Installez le fichier "test.htpasswd" dans le répertoire à protéger, et le fichier "test.htaccess" dans le même répertoire si vous n'avez rien d'autre à protéger, ou bien classiquement à la racine de votre site si vous envisagez de protéger divers répertoires. Modifiez, directement sur votre serveur, le nom de "test.htpasswd" en ".htpasswd", et celui de "test.htaccess" en ".htaccess". Pour ce faire, servez-vous de Smultron ou de l'éditeur intégré à votre logiciel de ftp. N'oubliez pas d'enregistrer ces modifications.
6. Testez la validité de votre système de protection. Saisissez dans la barre d'adresse de votre navigateur le chemin relatif du répertoire désormais protégé, par exemple comme suit :
http://url_de_votre_blog/wp-content/backup-db/
Vous devez obtenir la fenêtre suivante :
Saisissez le nom de l'utilisateur et le mot de passe en clair.
Si le nom de l'utilisateur et le mot de passe sont correctement renseignés, le serveur autorise l'accès au répertoire "backup-db". Si ce n'est pas le cas, l'accès demeure refusé : "Vous n'êtes pas autorisé à accéder..."
Ecco !
Ecrit par Christine - Site