Tout comme les banques et les applications sensibles, votre site WordPress peut bénéficier d'une couche de sécurité supplémentaire en déconnectant automatiquement les utilisateurs inactifs.
D'après notre expérience, c'est un moyen simple mais efficace d'empêcher tout accès non autorisé, surtout si un utilisateur oublie de se déconnecter d'un appareil partagé.
Cet article fournit un guide étape par étape pour configurer la déconnexion automatique des utilisateurs inactifs. Cela garantira qu'ils seront invités à se reconnecter et à vérifier leur identité après une période d'inactivité.
Pourquoi déconnecter automatiquement les utilisateurs inactifs dans WordPress ?
Les utilisateurs inactifs représentent un risque de sécurité pour votre site WordPress. Si un membre de votre équipe laisse son ordinateur portable sans surveillance dans un café ou une bibliothèque, un inconnu pourrait accéder à des informations sensibles, modifier son mot de passe, voire publier ou supprimer des articles.
Les utilisateurs WordPress inactifs rendent également votre site plus vulnérable aux pirates. Ils pourraient être en mesure d'exécuter des scripts et de prendre le contrôle du compte de l'utilisateur.
C'est pourquoi c'est une bonne pratique de sécurité de déconnecter automatiquement les utilisateurs inactifs et de masquer le contenu de leur écran.
Cela étant dit, examinons comment déconnecter automatiquement les utilisateurs inactifs dans WordPress en utilisant deux méthodes différentes. Vous pouvez utiliser les liens rapides ci-dessous pour accéder directement à la méthode que vous préférez :
- Méthode 1 : Comment déconnecter automatiquement les utilisateurs inactifs dans WordPress en utilisant du code (recommandé)
- Méthode 2 : Comment déconnecter automatiquement les utilisateurs inactifs dans WordPress à l'aide d'un plugin
- Bonus: How to Add More Security with Two-Factor Authentication
Méthode 1 : Comment déconnecter automatiquement les utilisateurs inactifs dans WordPress en utilisant du code (recommandé)
La manière la plus rapide de déconnecter automatiquement les utilisateurs inactifs dans WordPress est d'utiliser le plugin WPCode.
WPCode vous permet d'ajouter facilement du code personnalisé dans WordPress sans modifier le fichier functions.php de votre thème, vous n'avez donc pas à vous soucier de casser votre site.
De plus, le plugin est livré avec une énorme bibliothèque d'extraits de code prêts à l'emploi, y compris un extrait pour la déconnexion automatique des utilisateurs inactifs, que vous pouvez ajouter en quelques clics.
Pour commencer, vous devez installer et activer le plugin gratuit WPCode. Si vous avez besoin d'aide, consultez notre guide sur comment installer un plugin WordPress.
Après l'activation, allez dans Extraits de code » + Ajouter un extrait depuis votre tableau de bord WordPress.
À partir de là, recherchez l'extrait « Déconnexion automatique des utilisateurs inactifs » dans la bibliothèque. Lorsque vous le trouvez, survolez-le et cliquez sur le bouton « Utiliser l'extrait ».
WPCode ajoutera alors automatiquement le code pour vous et sélectionnera la méthode d'insertion appropriée.
Après cela, tout ce que vous avez à faire est de faire passer le commutateur de « Inactif » à « Actif » et de cliquer sur le bouton « Mettre à jour ».
C'est tout. Désormais, les utilisateurs seront automatiquement déconnectés de votre site Web WordPress après 10 minutes d'inactivité.
Méthode 2 : Comment déconnecter automatiquement les utilisateurs inactifs dans WordPress à l'aide d'un plugin
Pour cette méthode, la première chose à faire est d'installer et d'activer le plugin Inactive Logout. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.
Après l'activation, allez simplement dans la page Paramètres » Inactive Logout pour configurer le plugin.
Tout d'abord, vous devez entrer le temps d'inactivité après lequel un utilisateur sera automatiquement déconnecté. Vous pouvez entrer le temps en minutes et vous assurer qu'il n'est ni trop court ni trop long.
Après cela, vous pouvez entrer un message que vous souhaitez afficher aux utilisateurs inactifs.
Sous le champ de message, vous trouverez d'autres options de plugin pour modifier la fonctionnalité de déconnexion automatique. Les paramètres par défaut fonctionneront pour la plupart des sites Web, mais vous pouvez les modifier si vous le souhaitez.
Vous pouvez activer l'option « Arrière-plan du popup » si vous souhaitez modifier la couleur d'arrière-plan de l'écran lorsqu'une session utilisateur expire. Cela couvrira l'écran du navigateur de l'utilisateur pour masquer le contenu des regards indiscrets.
L'option « Désactiver le compte à rebours » supprimera l'avertissement du compte à rebours et déconnectera directement les utilisateurs inactifs.
Si vous ne souhaitez pas utiliser la fonction de déconnexion automatique, vous pouvez cocher l'option « Afficher uniquement le message d'avertissement ». Le message d'avertissement s'affichera désormais, mais l'utilisateur ne sera pas déconnecté.
L'option « Désactiver les connexions simultanées » empêchera vos utilisateurs d'utiliser le même compte à partir de différents appareils ou navigateurs en même temps.
Par défaut, le plugin affiche un popup de connexion et ne redirige pas les utilisateurs. Vous pouvez activer l'option « Activer la redirection » pour rediriger les utilisateurs vers la page de votre choix.
Après avoir examiné et modifié vos paramètres, n'oubliez pas de cliquer sur le bouton « Enregistrer les modifications » pour les sauvegarder.
Configuration de différents paramètres de délai d'attente en fonction des rôles des utilisateurs
Si vous souhaitez définir des règles de délai d'attente d'inactivité basées sur les rôles et capacités des utilisateurs, vous pouvez le faire sous l'onglet « Gestion avancée » de la page des paramètres du plugin.
Tout d'abord, vous devez sélectionner les rôles d'utilisateurs pour lesquels vous souhaitez configurer des paramètres différents des paramètres globaux. Ensuite, vous pourrez sélectionner une période de délai d'attente différente et rediriger, voire désactiver les paramètres de délai d'attente pour ce rôle d'utilisateur.
Une fois que vous êtes satisfait des paramètres, assurez-vous de cliquer sur le bouton « Enregistrer les modifications ».
Pour voir le plugin en action, vous pouvez vous connecter à votre site WordPress et ne rien faire pendant la durée du délai d'attente définie dans les paramètres du plugin. Après cela, vous verrez apparaître une fenêtre contextuelle de compte à rebours.
Vous pouvez cliquer sur le bouton « Continuer » pour reprendre le travail sans que la session n'expire.
Les utilisateurs qui ne cliquent pas sur le bouton « Continuer » seront déconnectés et verront l'écran de connexion.
Bonus : Comment ajouter plus de sécurité avec l'authentification à deux facteurs
Maintenant, un problème avec cette approche est que de nombreux utilisateurs enregistrent leurs mots de passe à l'aide d'un gestionnaire de mots de passe ou de la fonction de stockage de mots de passe intégrée à leur navigateur.
Cela signifie que leur fenêtre contextuelle de connexion aura déjà leurs champs nom d'utilisateur et mot de passe remplis. N'importe qui peut simplement cliquer sur le bouton de connexion pour accéder à son compte pendant qu'il est absent.
Vous pouvez rendre l'accès non autorisé plus difficile en ajoutant une vérification en deux étapes à l'écran de connexion WordPress.
Cela oblige les utilisateurs à saisir un mot de passe unique à usage unique généré par une application sur leur téléphone. Pour des instructions détaillées, consultez notre guide sur comment ajouter l'authentification à deux facteurs dans WordPress.
Guides d'experts sur la protection de la connexion WordPress
Nous espérons que cet article vous a aidé à apprendre comment déconnecter automatiquement les utilisateurs inactifs dans WordPress. Vous voudrez peut-être aussi voir d'autres façons de protéger votre écran de connexion :
- Comment et pourquoi limiter les tentatives de connexion dans WordPress
- Comment ajouter un CAPTCHA au formulaire de connexion et d'inscription WordPress
- Comment ajouter des questions de sécurité à l'écran de connexion WordPress
- Comment ajouter une connexion sans mot de passe dans WordPress avec des liens magiques
- Comment désactiver les indices de connexion dans les messages d'erreur de connexion WordPress
- Comment ajouter la connexion sociale à WordPress (La méthode facile)
- Comment ajouter une URL de connexion personnalisée dans WordPress (étape par étape)
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Jiří Vaněk
J'ai utilisé l'extrait de code, et cela fonctionne parfaitement. J'ai un site web où plus de personnes se connectent maintenant grâce à MemberPress. J'étais un peu préoccupé par la sécurité et par le fait de m'assurer que les utilisateurs suivent certaines directives de sécurité. Cela m'a au moins aidé à mettre en place un système pour déconnecter les utilisateurs inactifs, ce qui, pour moi, est la première étape vers une plus grande sécurité. Parfait à mon avis.
voiture
Qu'en est-il de la configuration manuelle de la déconnexion automatique des utilisateurs inactifs ? Avez-vous une recette ?
Support WPBeginner
Pour le moment, nous n'avons pas de méthode recommandée sans utiliser de plugin
Admin
Gina Davis
Je regarde 'Inactive Logout'. Il a été mis à jour il y a une semaine.
J'ai un collègue qui retient un article en otage. Je vais donc l'utiliser pour le déconnecter de l'article et du site web. J'espère.
Jesse Brede
Oui, ce n'est plus une solution qui fonctionne.
David
Quelqu'un a-t-il trouvé un plugin qui fait la même chose, mais qui est activement mis à jour ? En lisant le forum pour WP Idle Logout, les gens signalent qu'il est bogué avec les versions actuelles de WP.
Merci.
esp
ce plugin n'a pas été mis à jour depuis un moment et n'est pas testé dans WP 4.1, dommage
Yoshitoka
Vraie histoire. J'ai eu moi-même quelques problèmes avec ce plugin. J'ai dû me connecter deux fois avant de pouvoir accéder à la partie wp-admin avec ce plugin activé.