Discussion :

[Nicourpasanraison]

Bonjour,

Après une série d'attaque bruteforce sur des sites qu'il héberge, mon hébergeur me demande de mettre en place une double authentification à l'espace d'admin de mon Wordpress.

Toutefois impossible de mettre en fonction cette double authentification par .htaccess / .htpasswd
Je tourne en boucle sur la fenêtre d'identification, chaque fois que je rentre mon mot de passe je reviens sur la fenêtre d'identification comme si les identifiants étaient faux.

.htpasswd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
login:mot_de_pass_crypté

=> crypté via le site http://www.htaccesstools.com/htpasswd-generator/

.htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
Options -Indexes
 
#BEGIN Double authentification
ErrorDocument 401 default
<FilesMatch "^(wp-login)\.php$">
AuthName "Double Authentification"
AuthType Basic
AuthUserFile "/home/mon_compte/public_html/.htpasswd"
Require valid-user
</FilesMatch>
#END Double authentification
 
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Ici mon .htaccess et .htpasswd sont dans le même sous-dossier.
J'ai essayé d'autres répertoires sur mon serveur, d'autres encodages de caractères [ANSI, UTF8] (j'utilise notepad++), essayé d'entrer le mot de passe en crypté... et d'autres trucs inutiles au cas où, mais rien n'y fait !

J'ai lu sur des forums que la plupart des problèmes du .htaccess étaient liés à l'éditeur utilisé (notepad++ dans mon cas) mais ça ne m'avance pas beaucoup.

Merci par avance à qui me lira et pourra me répondre.


PS :
à toutes fins utiles :

-> j'utilise l’extension SX User Name Security qui permet de ne pas faire apparaître en clair le nom de l'admin sur mes articles

-> mon wp-config est situé en dehors de l'espace public, dans le répertoire principal

(Mais je ne vois pas ce que ces 2 précisions peuvent apporter la résolution du problème...)

[_Mac_]

Essaie d'abord en mettant ta configuration en dehors d'un bloc <FilesMatch> : il se peut que le problème vienne de là. La première chose à faire c'est t'assurer que ton fichier .htpasswd est correct. Tant que tu n'en as pas la garantie, pas la peine d'aller plus loin alors teste avec une configuration Apache minimaliste (que tu as presque, modulo le bloc <FilesMatch>.

.htpasswd

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
login:mot_de_pass_crypté

=> crypté via le site http://www.htaccesstools.com/htpasswd-generator/

Demande également à ton hébergeur si c'est la bonne méthode de chiffrement.