Le problème du partage de brouillons sous WordPress
Si vous créez des sites pour des clients, vous avez déjà vécu ce moment : le site n'est pas encore en ligne, mais le client a besoin de le voir. WordPress propose quelques options intégrées, et toutes ont leur friction.
Vous pourriez donner au client un compte WordPress — vous voilà à gérer des connexions, réinitialiser des mots de passe oubliés, et vous inquiéter de ce qu'il pourrait cliquer accidentellement dans la zone d'administration. Vous pourriez utiliser le réglage de visibilité « Protégé par mot de passe » intégré — simple, mais avec de vraies limites une fois qu'on regarde de plus près. Ou vous pourriez simplement envoyer l'URL de prévisualisation brute en espérant que personne ne la trouve avant que ce soit prêt — pas une vraie option pour quoi que ce soit de sensible.
Voici une comparaison honnête des deux approches les plus courantes, et où un outil dédié change la donne.
Option 1 : la protection par mot de passe native de WordPress
WordPress dispose depuis ses premières versions d'une option de visibilité « Protégé par mot de passe » pour les articles et pages. Elle est intégrée, ne nécessite aucune extension, et s'active en un clic.
Ce qu'elle fait réellement : quiconque possède l'URL de la page voit une invite de mot de passe. Saisir le mot de passe, voir le contenu. C'est toute la fonctionnalité.
Où elle montre ses limites pour le travail client :
- Un seul mot de passe pour tout le monde. Si vous gérez plusieurs projets clients, vous réutilisez soit le même mot de passe (mauvaise pratique), soit vous tenez un tableau de correspondance entre mots de passe et pages.
- Aucune expiration. Le mot de passe reste valide indéfiniment, sauf si vous pensez à revenir retirer la protection. Longtemps après la livraison d'un projet, la page protégée par mot de passe — et son mot de passe — fonctionne souvent encore.
- Aucun suivi des visites. Vous n'avez aucun moyen de savoir si votre client a réellement ouvert la page, quand, ni combien de fois. S'il dit « je n'ai jamais eu l'occasion de regarder », vous n'avez rien pour vérifier cela.
- Invite générique, sans marque. L'écran de mot de passe est le formulaire au thème par défaut de WordPress. Cela fonctionne, mais ça ne ressemble pas à quelque chose dans lequel un client payant devrait saisir des identifiants.
- Aucune révocation granulaire. Si le mot de passe fuite ou qu'une relation client se termine, vous devez le changer manuellement — ce qui casse l'accès de toute autre personne ayant encore l'ancien mot de passe, même si vous vouliez qu'elle le garde.
Pour une vérification interne rapide et peu risquée, c'est suffisant. Pour un travail orienté client où le professionnalisme et le contrôle d'accès comptent, cela montre vite ses limites.
Option 2 : un lien de prévisualisation sécurisé dédié
Un système de lien de prévisualisation conçu pour cet usage — comme Erdo Draft Links — aborde le problème différemment. Au lieu d'un seul mot de passe partagé protégeant une page, chaque action de partage génère une URL unique et signée, liée à un brouillon spécifique et à une fenêtre de temps spécifique.
Ce que cela vous apporte que la protection par mot de passe native n'apporte pas :
- Aucune connexion ni compte requis. Le client clique sur le lien, voit le brouillon. Aucun compte WordPress, aucun mot de passe à mémoriser ou à mal saisir.
- Expiration par lien. Configurez un lien pour qu'il expire en 48 heures, 7 jours, ou toute fenêtre adaptée au cycle de relecture. Après cela, le lien cesse simplement de fonctionner — aucun nettoyage manuel requis.
- Révocation indépendante. Chaque lien est sa propre autorisation d'accès. Révoquer le lien d'un client n'a aucun effet sur les liens de prévisualisation actifs des autres clients.
- Présentation propre et professionnelle. Le client arrive directement sur un aperçu du brouillon — sans formulaire de mot de passe générique entre lui et le contenu que vous voulez qu'il examine.
- Tranquillité d'esprit après la fin du projet. Les anciens liens expirent d'eux-mêmes, donc vous ne laissez pas une porte dérobée permanente, protégée par mot de passe, vers un contenu que vous avez fini de relire il y a des mois.
Quand la protection par mot de passe native reste adaptée
En toute honnêteté, il existe des cas où la fonctionnalité intégrée est le bon outil :
- Un seul membre d'équipe interne a besoin d'un accès occasionnel, et vous contrôlez les deux bouts de l'échange du mot de passe.
- Le contenu n'est pas sensible et la page va de toute façon devenir publique bientôt.
- Vous n'avez vraiment pas besoin d'expiration, de suivi, ou de contrôle d'accès par destinataire.
Si rien de tout cela ne s'applique — ce qui est le cas de la plupart du travail client en agence ou en freelance — un système de lien de prévisualisation dédié comble les lacunes que laisse la protection par mot de passe native.
Mettre en place des liens de prévisualisation sécurisés
Avec Erdo Draft Links installé, partager un brouillon fonctionne ainsi :
- Ouvrez l'article ou la page en brouillon dans l'éditeur WordPress.
- Cliquez sur Générer un lien de prévisualisation dans le panneau Draft Links.
- Définissez une fenêtre d'expiration (ou utilisez celle par défaut).
- Copiez le lien généré et envoyez-le à votre client — par e-mail, Slack, ou tout canal que vous utilisez déjà.
Le client ouvre le lien et voit le brouillon rendu exactement comme il apparaîtra en ligne, sans aucune connexion WordPress nécessaire de son côté.
En résumé
La protection par mot de passe native de WordPress n'est pas une faille de sécurité, mais c'est le mauvais outil pour le vrai problème de la plupart des agences et freelances : partager un brouillon spécifique avec un client spécifique, pour une fenêtre de temps spécifique, sans charge de compte d'un côté ni de l'autre. Si vous copiez encore le même mot de passe dans chaque dossier de projet, un lien de prévisualisation dédié vous évite ce nettoyage et paraît plus professionnel en le faisant.