Un mot de passe faible suffit pour qu'un pirate informatique prenne le contrôle de votre site Web. Sans sécurité supplémentaire, tout ce que vous avez construit est en danger.
Une solution simple ? Les questions de sécurité. Et leur configuration est plus facile que vous ne le pensez.
J'ai testé diverses méthodes d'authentification sur des sites Web WordPress et j'ai constaté que l'ajout de questions de sécurité est un moyen simple d'aider à prévenir les accès non autorisés. 🔑
En exigeant des réponses uniques que vous seul connaissez, vous ajoutez une couche de sécurité à votre site Web. Il est beaucoup plus difficile pour les pirates informatiques d'y accéder, même s'ils volent votre mot de passe.
Dans ce guide, je vais vous montrer comment ajouter des questions de sécurité à votre écran de connexion WordPress. Vous n'avez pas besoin d'être un expert en technologie, suivez simplement les instructions et vous aurez une couche de sécurité supplémentaire en quelques minutes.
💡 Réponse rapide : Comment ajouter des questions de sécurité
Pressé ? Voici les 2 méthodes simples pour ajouter des questions de sécurité à votre site web :
- Méthode 1 : Ajouter une question unique et globale au site avec WPCode. Vous pouvez utiliser un simple extrait de code pour ajouter une question de sécurité universelle à votre écran de connexion. Je le recommande pour les blogs d'un seul auteur ou les sites web auxquels vous seul avez accès.
- Méthode 2 : Laisser chaque utilisateur définir ses propres questions avec MelaPress. Il utilise un plugin pour permettre à chaque personne de définir ses propres questions de sécurité uniques. Cela le rend idéal pour les sites d'adhésion, les boutiques en ligne ou les blogs multi-auteurs.
Pourquoi ajouter des questions de sécurité dans WordPress ?
Votre page de connexion WordPress est comme la porte d'entrée de votre site Web. Un mot de passe est une bonne serrure, mais ajouter des questions de sécurité, c'est comme ajouter un verrou supplémentaire – cela rend beaucoup plus difficile pour quelqu'un de s'introduire.
Les questions de sécurité ajoutent une couche de protection supplémentaire à votre zone d'administration WordPress, rendant plus difficile pour les attaquants de s'infiltrer. Lorsque cette fonctionnalité est activée, les utilisateurs doivent répondre à une ou plusieurs questions personnelles avant de pouvoir se connecter.
Voici comment les questions de sécurité peuvent aider :
- Un obstacle supplémentaire pour les pirates : Même si quelqu'un devine votre mot de passe, les questions de sécurité rendent plus difficile son accès.
- Empêche les attaques automatisées : Les pirates utilisent souvent des robots pour deviner les mots de passe. Mais les questions de sécurité nécessitent des réponses personnelles que les robots ne peuvent pas facilement trouver, ce qui rend les attaques automatisées moins efficaces.
- Aide à récupérer les comptes plus en toute sécurité : Mot de passe oublié ? Au lieu d'attendre un e-mail de réinitialisation (qui peut être intercepté), les questions de sécurité offrent un moyen rapide et sûr de retrouver l'accès.
- Configuration rapide et facile : Les questions de sécurité sont plus faciles à configurer que l'authentification à deux facteurs (2FA), qui nécessite une application ou un appareil séparé. Bien que pratique, les questions de sécurité offrent un niveau de protection plus léger que la 2FA, que je recommande généralement pour une sécurité maximale.
Bien qu'utiles, les questions de sécurité ne sont pas infaillibles. Des pirates astucieux pourraient essayer de deviner vos réponses, voire de vous piéger pour les révéler (c'est ce qu'on appelle l'« ingénierie sociale »).
Il est donc important de choisir des questions dont les réponses ne sont pas facilement devinables ou disponibles publiquement en ligne.
💡Rappel important :
Gardez à l'esprit que si les questions de sécurité peuvent ajouter une couche de protection supplémentaire, elles ne devraient pas être votre seule défense.
Pour de meilleurs résultats, utilisez-les dans le cadre d'une stratégie de sécurité plus large qui comprend l'authentification à deux facteurs, des politiques de mots de passe forts et des tentatives de connexion limitées. Pour commencer, consultez notre guide ultime de la sécurité WordPress.
Cela dit, voyons comment vous pouvez ajouter des questions de sécurité à votre écran de connexion WordPress. Dans ce tutoriel, je vais vous montrer deux méthodes, chacune conçue pour un type de site Web différent.
Vous pouvez utiliser les liens ci-dessous pour accéder à la méthode de votre choix :
- Méthode 1 : Ajouter une seule question de sécurité pour tout le site avec du code
- Méthode 2 : Permettre à chaque utilisateur de définir ses propres questions de sécurité
- Questions fréquemment posées sur les questions de sécurité de connexion
- Guides bonus pour la sécurité de l'écran de connexion
Méthode 1 : Ajouter une seule question de sécurité pour tout le site avec du code
Cette méthode est idéale si vous êtes le seul utilisateur de votre site Web et que vous souhaitez ajouter une seule question de sécurité codée en dur à votre écran de connexion.
C'est un moyen rapide d'ajouter une couche de protection supplémentaire pour un blog à auteur unique ou un site personnel.
J'ai vu de nombreux autres sites Web utiliser cette tactique en plus de l'authentification à deux facteurs et d'autres protections de connexion, et cela a très bien fonctionné pour eux comme un autre obstacle pour les intrus potentiels.
Pour ce faire, vous devrez ajouter du code personnalisé à votre fichier functions.php. Cela peut être un peu décourageant car la moindre erreur peut casser votre site Web. C'est pourquoi je recommande WPCode, qui est le meilleur plugin d'extraits de code WordPress sur le marché.
Après des tests approfondis, mes coéquipiers et moi avons conclu que c'est le moyen le plus simple et le plus sûr d'ajouter du code personnalisé à votre site Web. Pour en savoir plus, consultez notre avis complet sur WPCode.
Important : Ce code ajoute une question de sécurité pour un seul utilisateur. Il convient mieux aux blogs à auteur unique. Si vous avez plusieurs utilisateurs sur votre site Web (comme un site d'adhésion ou une boutique en ligne), nous vous recommandons vivement d'utiliser la méthode 2.
Tout d'abord, vous devez installer et activer le plugin WPCode. Pour des instructions étape par étape, vous pouvez consulter notre guide sur comment installer un plugin WordPress.
🚨 Remarque : Le plugin dispose également d'une version gratuite que vous pouvez utiliser. Cependant, la mise à niveau vers le plan pro vous donnera accès à des fonctionnalités telles qu'une bibliothèque cloud de snippets de code, une logique conditionnelle intelligente, des snippets de bloc, et plus encore.
Une fois le plugin activé, visitez la page Snippets de code » + Ajouter un snippet depuis le tableau de bord WordPress.
Ici, cliquez sur le bouton « Utiliser le snippet » sous l'option « Ajouter votre code personnalisé (Nouveau snippet) ».
Cela vous mènera à un nouvel écran, où vous pourrez ajouter un nom pour votre snippet de code.
Gardez à l'esprit que ce nom ne sera affiché à aucun utilisateur. Il sert simplement à vous aider à identifier facilement le snippet de code que vous créez.
Ensuite, choisissez « Snippet PHP » comme « Type de code » dans la fenêtre contextuelle.
Maintenant, ajoutez le code personnalisé suivant dans la boîte « Aperçu du code » :
add_action( 'login_form', function () {
?>
<p><label for="security_question">What is your favorite color?<br/>
<input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label>
</p>
<?php
} );
add_filter( 'wp_authenticate_user', function( $user, $password ) {
$answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : '';
if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer
return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' );
}
return $user;
}, 10, 2 );
Par défaut, le code personnalisé définit « Quelle est votre couleur préférée ? » comme question de sécurité.
Cependant, je vous recommande vivement de la changer pour quelque chose qui ne soit pas facilement devinable. Il est préférable de choisir quelque chose de personnel pour vous que peu de gens connaissent.
Par exemple, certaines questions de sécurité courantes sont :
- 🐶 « Quel était le nom de votre premier animal de compagnie d'enfance ? »
- 🏡 « Quel était le nom de la première rue où vous avez habité ? »
- 👩 « Quel est le nom de jeune fille de votre mère ? »
Lors du choix d'une question, sélectionnez-en une dont la réponse n'est pas publiquement disponible. Évitez les réponses qui pourraient être trouvées sur vos profils de médias sociaux ou dans des registres publics.
Les meilleures questions de sécurité sont personnelles et mémorables pour vous, mais pas faciles à deviner pour les autres. Localisez simplement cette ligne dans le code et remplacez-la par la question souhaitée.
<p><label for="security_question">What was the name of your first childhood pet?<br/>
Une fois que vous avez fait cela, faites défiler jusqu'à cette ligne dans le code :
if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer
Vous pouvez maintenant changer la réponse à la question de sécurité à partir d'ici.
Une fois que vous avez vérifié que votre question et votre réponse sont comme vous le souhaitez, basculez simplement le commutateur « Inactif » sur « Actif ».
Enfin, cliquez sur le bouton « Enregistrer le extrait » pour sauvegarder vos paramètres.
Vous pouvez maintenant visiter votre écran de connexion WordPress pour voir la question de sécurité.
Méthode 2 : Permettre à chaque utilisateur de définir ses propres questions de sécurité
Cette méthode est la solution la plus sûre et la plus recommandée pour tout site Web comportant plus d'un utilisateur. Cela inclut les sites d'adhésion, les blogs multi-auteurs, les boutiques de commerce électronique avec des comptes clients, ou tout site où différentes personnes doivent se connecter.
Contrairement à la première méthode, qui utilise une question pour un seul utilisateur, cette approche permet à chaque individu sur votre site de définir ses propres questions de sécurité privées. Elle offre une couche de protection beaucoup plus solide pour chaque compte.
J'ai vu cela fonctionner très bien sur plusieurs sites Web proposant des abonnements payants, des cours en ligne et des communautés privées.
MelaPress Login Security vous permet d'exiger des utilisateurs qu'ils répondent à des questions de sécurité avant d'effectuer des actions sensibles, comme réinitialiser un mot de passe ou réactiver un compte désactivé.
Cela garantit que seul le propriétaire légitime du compte peut effectuer ces actions.
Tout d'abord, vous devez installer et activer le plugin MelaPress Login Security. Pour plus de détails, consultez le tutoriel de mon équipe sur comment installer un plugin WordPress.
🚨 Important : MelaPress dispose d'une version gratuite. Cependant, vous aurez besoin du plan Pro pour accéder à la fonctionnalité des questions de sécurité.
Une fois que vous avez activé le plugin, rendez-vous sur la page Sécurité de connexion » Politiques de sécurité de connexion depuis le tableau de bord d'administration WordPress et cochez l'option « Activer les politiques de sécurité de connexion ».
Une fois que vous avez fait cela, de nouveaux paramètres apparaîtront à l'écran. Faites défiler jusqu'à la section « Questions de sécurité » et cochez la case « Activer les questions de sécurité ».
Ensuite, choisissez si vous souhaitez exiger des questions de sécurité pour initier une réinitialisation de mot de passe ou pour activer un compte désactivé. Vous pouvez également sélectionner les deux options.
Maintenant, sélectionnez le nombre de questions de sécurité pré-enregistrées auxquelles chaque utilisateur doit répondre.
Après cela, cliquez sur le lien « Activer » à côté des questions de sécurité auxquelles vous souhaitez que vos utilisateurs répondent.
Si aucune des questions par défaut ne vous convient, vous pouvez simplement cliquer sur le bouton « Ajouter une question » et ajouter votre question préférée dans le champ.
Vous pouvez également configurer le reste des paramètres de sécurité selon vos préférences.
Une fois que vous avez terminé, cliquez simplement sur le bouton « Enregistrer les modifications » pour sauvegarder vos choix.
Maintenant que la politique de questions de sécurité a été activée, les utilisateurs de votre site web recevront une notification sur leur tableau de bord leur demandant de répondre à certaines questions de sécurité.
Une fois que les utilisateurs cliquent sur le bouton « Visiter votre page de profil », ils seront redirigés vers leur page de profil WordPress.
Ici, ils peuvent répondre aux questions que vous avez sélectionnées et cliquer sur le bouton « Enregistrer les modifications ».
Désormais, lorsqu'un utilisateur de votre site web tentera de réinitialiser son mot de passe ou d'activer un compte désactivé, il devra d'abord répondre à une question de sécurité.
Voici un aperçu de ce à quoi cela ressemblera sur votre écran de connexion.
Questions fréquemment posées sur les questions de sécurité de connexion
Voici quelques questions que nos lecteurs posent fréquemment avant d'ajouter des questions de sécurité de connexion sur leurs sites web :
Que se passe-t-il si j'oublie la réponse à ma question de sécurité ?
Si vous oubliez votre réponse, vous devrez utiliser les outils d'accès d'urgence de votre hébergeur.
Vous pouvez vous connecter à votre compte d'hébergement WordPress et utiliser le gestionnaire de fichiers ou un client FTP pour naviguer vers le dossier wp-content/plugins. De là, vous pouvez désactiver le plugin de sécurité (comme MelaPress ou WPCode) en renommant son dossier.
Cela désactivera temporairement la fonctionnalité de question de sécurité, vous permettant de vous connecter avec votre mot de passe et de réinitialiser vos questions.
Les questions de sécurité remplacent-elles l'authentification à deux facteurs (2FA) ?
Non, elles ne remplacent pas. Les questions de sécurité sont une forme de sécurité basée sur la connaissance (quelque chose que vous savez). L'authentification à deux facteurs (2FA) est plus forte car elle nécessite un appareil distinct (quelque chose que vous possédez), comme votre téléphone.
Pour une sécurité maximale, je recommande d'utiliser la 2FA comme défense principale et d'ajouter des questions de sécurité comme une couche secondaire utile.
Puis-je obliger les utilisateurs à répondre à plus d'une question ?
Cela dépend de la méthode que vous utilisez. L'extrait de code personnalisé de la méthode 1 est conçu pour une seule question et réponse.
Cependant, un plugin complet comme MelaPress (méthode 2) inclut souvent des paramètres qui vous permettent d'obliger les utilisateurs à répondre à plusieurs questions avant de pouvoir se connecter ou réinitialiser leur mot de passe.
Que se passe-t-il si un utilisateur de mon site multi-auteurs ne configure pas ses questions de sécurité ?
Dans la plupart des cas, un plugin comme MelaPress affichera une notification persistante dans le tableau de bord WordPress de l'utilisateur, lui demandant de configurer ses questions de sécurité.
Il ne les bloquera généralement pas hors de leur compte, mais continuera à leur rappeler jusqu'à ce que la configuration de sécurité soit terminée.
Cela garantit que les utilisateurs existants peuvent toujours accéder à leurs comptes tout en les encourageant à améliorer leur sécurité.
Guides bonus pour la sécurité de l'écran de connexion
J'espère que ce tutoriel vous a aidé à apprendre comment ajouter des questions de sécurité à votre écran de connexion WordPress. Vous voudrez peut-être aussi consulter certains guides sur d'autres façons de protéger votre écran de connexion :
- Comment ajouter un CAPTCHA au formulaire de connexion et d'inscription WordPress
- Comment ajouter une connexion sans mot de passe dans WordPress avec des liens magiques
- Pourquoi et comment limiter les tentatives de connexion dans WordPress
- Comment désactiver les indices de connexion dans les messages d'erreur de connexion WordPress
- Comment ajouter la connexion sociale à WordPress (La méthode facile)
- Guide pour débutants : Ajouter une URL de connexion personnalisée dans WordPress (Pas à pas)
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Jiří Vaněk
En tant que deuxième couche de protection pour WordPress, là où l'authentification à deux facteurs ne peut pas être utilisée pour une raison quelconque, comme avec Google Authenticator, c'est certainement une alternative intéressante. Chaque couche de sécurité a du sens, et même si les questions et réponses ne sont pas aussi sécurisées que la 2FA via un appareil mobile et une application, c'est certainement mieux que de n'utiliser rien du tout. Donc, en tant qu'alternative, c'est certainement une solution intéressante à l'application.
Dayo Olobayo
Un angle intéressant à considérer est de savoir si les questions de sécurité deviennent moins efficaces avec le temps. Avec la généralisation des profils sur les réseaux sociaux et le partage d'informations personnelles en ligne, je pense que les réponses aux questions de sécurité peuvent être plus faciles à deviner. N'est-il pas possible que les questions de sécurité se mettent à jour automatiquement périodiquement ?
Support WPBeginner
Not at the moment but possibly in the future
Admin
Mrteesurez
C'est une autre façon de protéger un site WordPress en utilisant des questions de sécurité, en particulier pour un site d'adhésion.
Ma question est, est-ce que cela s'applique ou fonctionne uniquement pour une page de connexion WordPress par défaut ??
Qu'en est-il si je veux l'utiliser sur une page d'inscription et de connexion personnalisée ??
Support WPBeginner
Vous pouvez l'utiliser pour une page de connexion personnalisée ou la page de connexion par défaut.
Admin
Izzy
Y a-t-il un moyen de faire cela sans plugin ?
Support WPBeginner
Cela nécessiterait du codage, mais nous n'avons pas de méthode conviviale pour les débutants pour configurer cela sans plugin pour le moment.
Admin
Bette Greenfield
Les informations de cet article sont-elles à jour. Dernière mise à jour le 26 septembre 2016 par l'équipe éditoriale
Support WPBeginner
Le plugin devrait toujours fonctionner, mais le plugin a peut-être mis à jour son interface depuis la dernière mise à jour de cet article.
Admin
chris
J'ai juste essayé ce plugin, c'est complètement nul
il n'y a pas de zone de réponse, juste les zones de questions. ???
Support WPBeginner
Vous pouvez ajouter vos propres questions et réponses dans la page des paramètres du plugin.
Admin
chris
oui je sais ça, cependant le plugin ne m'a donné que les questions sans zone de réponse
c'est très étrange avec un bug comme ça.
chris
J'ai tout fait et toujours, même en mettant une réponse ou pas, ça ne fonctionne toujours pas, c'est un plugin bidon, inutile pour qui que ce soit.
Je ne le recommanderais pas à mes amis.
Quelle honte pour ce développeur de sortir ça et pour vous de le recommander.
mal mal mal
Dean Bartley
Je l'ai essayé et ça fonctionne très bien. Vos plugins ou votre thème doivent entrer en conflit avec le plugin. Et je ne vois vraiment pas pourquoi vous vous comportez comme ça. Ils essaient juste d'aider. Détendez-vous avec les commentaires négatifs et soyez reconnaissants qu'ils recommandent des choses. Si vous n'êtes pas d'accord, c'est votre opinion. Merci pour la recommandation wpbeginner. Continuez votre bon travail.