Je sors ma carte bullshit là dessus. Même GROS bullshit.

HTTP Authentication c'est un truc qui est plutôt bien implémenté par les navigateurs et ils sont suffisament intelligents pour envoyer le HEADER « Authorization » qui va bien à chaque XHR et surtout, pour le demander si il est nécessaire, même dans le cas d'une XHR.

WordPress n'est pas le seul à utiliser l'XHR, encore moins derrière un htpassword (le moindre phpmyadmin installé en entreprise est dans ce cas et ça ne pose aucun problème)

Maintenant pourquoi quelqu'un raconterai du bullshit pareil ? Peut-être par ignorance ou… peut-être pour vous vendre son plugin WordPress ?

Notre plugin de sécurité SecuPress le fera facilement sans que vous n’ayez à taper la moindre ligne de code.

Je crois que la réponse n'est pas si difficile à trouver.
— Permalink