CONTENU PERIME
Protéger un répertoire
La protection d'un répertoire est utile pour réserver une zone d'administration du site ou pour offrir un espace membre aux visiteurs.
Aucune programmation n'est nécessaire : le serveur d'hébergement est capable de gérer lui même la sécurisation de l'accès et la demande d'authentification.
Attention, votre hébergeur doit utiliser des serveurs Linux ou Unix. Sous Windows, cette méthode ne fonctionne pas.
Objectif du tutorial
Imaginons un site ayant cette arborescence :
racine du site
+ images
+ textes
+ admin
+ secret
Il s'agira donc pour nous de protéger le répertoire d'administration pour les seuls webmasters du site.
Le répertoire "secret" est un répertoire destiné à contenir la listes des utilisateurs autorisés. Nous allons voir comment rendre ce répertoire complètement innaccessible.
Le fichier .htaccess
Pour protéger le répertoire Admin, il faut y placer un fichier nommé
.htaccess contenant le texte suivant :
Windows n'autorise pas toujours la création d'un fichier avec ce type de nom. Vous pouvez donc le créer avec un nom quelconque et le transférer sur votre site via un logiciel de FTP (CuteTP, LeetchFTP, etc...).
Une fois sur le site, renommez le grâce au même logiciel.
Comment interpréter le fichier .htaccess ?
La ligne
PerlSetVar AuthFile /secret/passadmin.txt définit l'emplacement du fichier contenant la liste des utilisateurs.
Ici
/secret indique que le fichier est dans le répertoire "
secret" directement à la racine et que le fichier s'appelle
passadmin.txt.
Le bloc
<limit GET POST>
require valid-user
</limit>
indique le type du fichier
passadmin.txt qui contient une liste d'utilisateurs valides.
Le fichier des utilisateurs autorisés
Vous devez donc créer le fichier passadmin.txt sous le format :
user:password
Par exemple, passadmin.txt peut contenir :
Un visiteur qui voudra se connecter sur le répertoire
admin de votre site verra apparaître cette fenêtre d'identification :
L'accès au répertoire ne sera possible que si la saisie de l'utilisateur et du mot de passe correspond à une ligne du fichier
passadmin.txt.
Protéger le répertoire secret
La liste des utilisateurs/mots de passe est précieuse et il faut absolument la protéger contre toute lecture. L'idée est de la placer dans un répertoire (ici
secret) dont l'accès est complètement interdit.
Pour cela, il suffit de placer dans le répertoire à protéger le fichier
.htaccess contenant :
Ce code exclut tous les accès à ce répertoire...
En suivant cette procédure, votre accès sera parfaitement sécurisé.
N'oubliez pas d'éviter les mots de passe évidents, comme les dates de naissance, les prénoms, les suites de chiffres...
L'idéal est de créer un mot de passe de plus de 6 caractères combinant des chiffres et des lettres en majuscules et minuscules.
Troisième édition Tout JavaScript chez Dunod
En savoir plusSortie le 4 janvier 2023
Version papier 29€90
Format électronique 22€99.
Commandez en ligne