Apache / htaccess : ignorer l’authentification pour certaines IPs

Quand on développe un site web, il faut impérativement mettre en place une protection pour deux raisons :

  1. Empêcher des personnes mal intentionnés de fouiller dans votre projet en cours, qui peut présenter des failles de sécurités vu qu’il est encore en mode de développement
  2. Empêcher les moteurs de recherche de l’indexer. Sachez que je ne sais pas par quelle manière, mais Google peut trouver l’url d’un site en cours de développement même si on ne lui a jamais demandé de l’indexer, Google est un grand fouineur …

Il y a plusieurs méthodes, et ça dépend de la solution utilisée pour développer le site : WordPress, Prestashop, Magento … une solution générique est le fait d’utiliser le couple .htaccess/.htpasswd sous Apache, il suffit donc juste d’indiquer ceci dans .htaccess :

AuthType Basic
AuthName "Veuillez saisir un login/mot de passe"
AuthUserFile /var/www/.htpasswd
Require valid-user

A chaque accès le navigateur nous demande de saisir le login et le mot de passe, et ainsi les moteurs de recherche passeront leurs chemins…mais on se heurte à gros problème quand il s’agit de tester, par exemple, le paiement Paypal : ce dernier effectue un appel entre serveurs quand le paiement est validé, ce qui ne fonctionnera pas puisque notre serveur demande une authentification ! Le plus simple c’est de trouver l’IP du serveur appelant (par exemple, l’appel à l’IPN de Paypal se fait depuis l’@ IP 173.0.82.126) et de modifier la directive ci-dessous par ceci :

AuthType Basic
AuthName "Password Protected Area"
AuthUserFile /var/www/v2/.htpasswd
Require valid-user
Order allow,deny
Allow from 173.0.82.126
satisfy any

La dernière ligne demande à apache qu’au moins une des deux conditions soit satisfaite pour permettre l’accès au serveur. On peut donc aussi ajouter une autre instruction « Allow from » avec ma propre @IP, comme ça je n’ai pas à saisir les codes lors de mes tests (idem pour l’ip de votre client), mais bon il faut savoir qu’en Tunisie, les IP sont généralement statique donc faudra jongler avec les IPs …

Publicités
par Sami CHANGUEL Posté dans Blog

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s