Protéger vos répertoires et vos fichiers avec des .htaccess

Tout d’abord quelques principes de base,

• le fichier .htaccess doit être placé dans le répertoire sur lequel vous voulez agir.
• Pour créer un fichier .htaccess sous Windows, le bloc note est suffisant.
• Windows ne gère pas le nommage du fichier avec un point en premier caractère. Plusieurs méthodes permettent de contourner ce problème :

• • 1) dans bloc note au moment d’enregistrer le fichier mettez le entre guillemets : ‘’.htaccess’’

• • 2) nommer le fichier doc.htaccess et supprimer les trois premiers caractères ensuite

Le premier usage d’un tel fichier est de restreindre l’accès à un répertoire de votre site afin d’empêcher les personnes non autorisées d’accéder à son contenu.
La méthode comprend deux étapes :

• 1) Créer le fichier .htaccess contenant les permissions de groupes et d’utilisateurs
• 2) Créer le fichier contenant les identifiants et les mots de passe

Créons d’abord le premier. Il comprend plusieurs lignes

• AuthUserFile définit le chemin d’accès absolu vers votre fichier contenant identifiants et mots de passe (par exemple .htpasswd)
  • AuthUserFile /repertoire/sous_repertoire/.htpasswd
  • La question est de déterminer quel est le chemin absolu vers le répertoire que vous voulez protéger. Pour déterminer ce chemin, vous pouvez utiliser un moyen simple.

Ouvrez un nouveau fichier bloc note et copiez y le contenu suivant :

<?php
echo realpath("path.php" );
?>

Sauvegardez sous le nom ‘’path.php’’ et mettez ce fichier dans la racine de votre site via votre client FTP.

• AuthGroupFile définit ce chemin mais vers le fichier des groupes (celui-ci est facultatif)
  • Si vous n’avez pas de groupes : AuthGroupFile /dev/null
• AuthName correspond au message qui s’affichera dans le navigateur quand l’invite vous demandant identifiant et mot de passe s’affichera
  • Exemple : AuthName "Accès Restreint"

• AuthType Basic : le réglage sur « basic » indique qu’il faudra utiliser AuthUserFile pour l’authentification.
   Une balise comprend les conditions d’accès
  • Elle contient comme attribut : GET, GET POST ou POST qui sont des commandes HTML. Nous utilisons pour nos fichiers
  • Entre les balises ouvrantes et fermantes les conditions d’accès
    • Require valid-user
    • Require user username

Vous pouvez ajouter des instructions pour personnaliser votre fichier :
 Pour personnaliser un message d’erreur ErrorDocument erreur (le plus souvent l’erreur 403 correspondant au refus d’accès, 404, etc)

• Par exemple : ErrorDocument 403 http://www.eclairement.com/nocredencial.php

Ainsi par exemple

ErrorDocument 403 http://www.eclairement.com/nocredencial.php
AuthUserFile /home/www/repertoire_protege/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès restreint"
AuthType Basic
<LIMIT GET POST>
Require valid-user
</LIMIT>

Vous pouvez également restreindre l’accès à un ou plusieurs fichiers. Pour cela ajouter une balise « FILES » pour chaque fichier.
Cela donne par exemple : <FILES eclairement.doc>

Maintenant au tour du second fichier, le fichier comprenant les identifiants et les mots de passe, dans notre cas le fichier .htpasswd
La méthode est simple, ouvrez un nouveau bloc note et entrez y simplement l’identifiant suivi du mot de passe associé séparé de deux points «  : »

Cela donne par exemple :

daedalis :Dop09DSkdD

Si vous avez plusieurs identifiants et mots de passe à paramétrer, il suffit de les entrer de la même façon, un par ligne.

Utilisateur1 :motdepasse1
Utilisateur2 :motdepasse2
Utilisateur3 :motdepasse3

Les précautions d’usage de sécurité sont recommandées :

• Un mot de passe relativement long (une douzaine de caractères minimum)
• Mélangez majuscule, minuscules, symboles, chiffres dans votre mot de passe
• Dans la mesure du possible, crypter le mot de passe

Poursuivez votre lecture

 Comment sécuriser vos chats et autres messageries instantanées

 Sécurisez vos échanges sur Android

 Sécurisez vos recherches sur internet

 Chiffrez vos données à caractère personnel