Permettre aux utilisateurs d'avoir des mots de passe faibles, c'est comme laisser votre porte d'entrée grande ouverte. C'est une invitation pour les voleurs et les pirates informatiques à s'introduire.
Les utilisateurs choisissent souvent le même mot de passe court et peu sûr partout. À moins que vous n'imposiez des mots de passe forts sur votre site WordPress, vous exposez votre contenu et les données sensibles des utilisateurs à un risque.
Au lieu de laisser la force du mot de passe au hasard, cet article vous montre comment forcer vos utilisateurs à créer des mots de passe forts sur votre site Web WordPress, améliorant ainsi votre sécurité en ligne.
Pourquoi imposer des mots de passe forts à vos utilisateurs WordPress ?
Les mots de passe forts rendent plus difficile pour les pirates informatiques d'utiliser des attaques par force brute pour accéder à votre site. Si vous avez passé du temps à optimiser la sécurité de votre site WordPress, vous voudrez également protéger vos pages de connexion en utilisant un mot de passe fort.
Cependant, si vous avez une boutique en ligne, un site d'adhésion, ou un blog multi-auteurs, il y a un risque que vos clients ou d'autres utilisateurs du site rendent votre site Web vulnérable aux pirates en utilisant des mots de passe faibles qui sont facilement devinés par des attaques par force brute.
Avoir des utilisateurs avec des mots de passe faibles peut présenter un risque de sécurité, en particulier ceux qui ont des rôles utilisateur de haut niveau comme les administrateurs et les éditeurs.
WordPress dispose de paramètres intégrés qui montreront aux utilisateurs la force du mot de passe lors de la création d'un compte, mais il n'impose pas sa force.
Heureusement, vous pouvez utiliser un plugin WordPress pour forcer vos utilisateurs à créer un mot de passe fort lors de la création d'un compte sur votre site Web WordPress.
Cela dit, examinons comment forcer un mot de passe fort sur vos utilisateurs WordPress. Utilisez simplement les liens rapides ci-dessous pour accéder à la méthode que vous souhaitez utiliser :
- Forcer les mots de passe forts avec Solid Security
- Forcer les mots de passe forts avec Password Policy Manager
- Nos meilleurs guides pour protéger les mots de passe WordPress
Méthode 1. Forcer les mots de passe forts avec Solid Security
La manière la plus simple de forcer des mots de passe forts est d'utiliser un plugin de sécurité WordPress. Nous recommandons Solid Security (anciennement iThemes Security) car il vous permet de forcer des mots de passe forts en quelques clics.
Il existe une version premium qui offre un renforcement de la sécurité, des vérifications d'intégrité des fichiers, des détections de 404, et plus encore, mais nous utiliserons la version gratuite pour ce tutoriel car elle dispose de fonctionnalités de protection par mot de passe. Pour plus de détails, consultez notre avis complet sur Solid Security.
La première chose à faire est d'installer et d'activer le plugin. Pour plus de détails, consultez notre guide sur comment installer un plugin WordPress.
Lors de l'activation, allez dans Sécurité » Configuration pour choisir vos paramètres de sécurité. Il existe un assistant de configuration qui vous guidera dans la configuration du plugin de sécurité selon vos besoins.
Tout d'abord, cliquez sur l'option correspondant au type de site web que vous possédez. Nous sélectionnerons l'option « Blog ».
Vous verrez maintenant un interrupteur pour activer « Security Check Pro ». Cela configurera automatiquement vos paramètres de sécurité pour rediriger les requêtes HTTP vers HTTPS et vous protéger contre l'usurpation d'IP.
Vous devriez basculer ce paramètre sur la position « Activé ».
Après cela, vous devez choisir s'il s'agit d'un site personnel ou client.
Nous sélectionnons « Moi-même » pour ce tutoriel.
Ensuite, il y a un interrupteur pour activer une politique de mot de passe fort pour vos utilisateurs.
Vous devez cliquer sur l'interrupteur pour imposer un mot de passe fort à vos utilisateurs et cliquer sur « Suivant ».
Vous avez maintenant forcé avec succès les utilisateurs à avoir un mot de passe fort. Il existe une variété d'autres paramètres que vous pouvez activer pour rendre votre connexion encore plus sécurisée.
Si vous le souhaitez, vous pouvez ajouter une liste d'adresses IP à une liste blanche pour éviter qu'elles ne soient bloquées de votre site web. Vous devez lister l'adresse IP de chaque utilisateur. Vous pouvez rapidement ajouter votre propre adresse IP en cliquant sur le bouton « Autoriser mon adresse IP ».
Vous devriez laisser le paramètre de détection d'IP sur « Scan de vérification de sécurité (Recommandé) » puis cliquer sur le bouton « Suivant ».
Si vous souhaitez activer l'authentification à deux facteurs, cliquez sur l'interrupteur pour l'activer, puis cliquez sur le bouton « Suivant ».
Après cela, on vous demandera si vous souhaitez activer quelques paramètres de sécurité supplémentaires pour différents groupes d'utilisateurs. Vous pouvez simplement cliquer sur « Groupes d'utilisateurs par défaut ».
Cela vous amènera à un écran où vous pourrez forcer des mots de passe forts et modifier d'autres paramètres par rôle d'utilisateur.
Le premier écran concernera vos paramètres de sécurité pour les utilisateurs administrateurs.
Vous pouvez activer les mots de passe forts et refuser aux utilisateurs de s'inscrire avec un mot de passe compromis qui a déjà été utilisé sur d'autres sites.
Pour modifier les paramètres de sécurité des autres utilisateurs, cliquez simplement sur un rôle différent en haut de l'écran. Une fois que vous avez terminé, cliquez sur le bouton « Suivant » en haut ou en bas de l'écran.
Cela vous guidera à travers le reste de l'assistant de configuration pour activer des paramètres de sécurité supplémentaires pour votre site web.
Si vous souhaitez modifier vos paramètres de mot de passe à l'avenir, accédez à Sécurité » Paramètres, cliquez sur « Groupes d'utilisateurs », et sélectionnez le groupe que vous souhaitez modifier.
Une fois que vous avez terminé, assurez-vous de cliquer sur le bouton « Enregistrer » en bas de l'écran pour sauvegarder vos paramètres.
Méthode 2 : Forcer les mots de passe forts avec Password Policy Manager
Une autre façon de forcer des mots de passe forts sur votre blog WordPress est d'utiliser le plugin Password Policy Manager. Il vous permet de créer facilement des règles de mots de passe forts que vos utilisateurs doivent suivre, mais il ne dispose pas d'autres fonctionnalités de sécurité pour protéger votre site comme iThemes Security.
La première chose à faire est d'installer et d'activer le plugin. Pour plus de détails, consultez notre guide pour débutants sur comment installer un plugin WordPress.
Après l'activation, vous aurez une nouvelle option de menu appelée « miniOrange Password Policy » dans votre panneau d'administration WordPress. Vous devez cliquer dessus pour configurer vos règles de mot de passe.
Ensuite, cliquez sur le bouton bascule « Paramètres de la politique de mot de passe » pour activer vos paramètres de mot de passe fort.
Après cela, vous pouvez définir vos paramètres de mot de passe fort. Cochez simplement les cases correspondant aux exigences de mot de passe que vous souhaitez définir.
Ensuite, définissez la longueur de mot de passe requise.
Après cela, vous pouvez choisir de faire expirer les mots de passe après une période définie.
Si vous souhaitez activer cette option, cliquez sur le bouton bascule « Activer le délai d'expiration », puis entrez le délai d'expiration en semaines.
Une fois que vous avez terminé, assurez-vous de cliquer sur le bouton « Enregistrer les paramètres ».
Vous pouvez également réinitialiser les mots de passe de tous vos utilisateurs à tout moment. Cliquez simplement sur le bouton « Réinitialiser le mot de passe », et tous vos utilisateurs seront invités à créer de nouveaux mots de passe forts.
Nos meilleurs guides pour protéger les mots de passe WordPress
Nous espérons que cet article vous a aidé à apprendre comment imposer des mots de passe forts aux utilisateurs dans WordPress. Vous pourriez également vouloir consulter d'autres guides sur la protection des mots de passe WordPress :
- Comment changer votre mot de passe dans WordPress (Guide pour débutants)
- Comment gérer facilement et en toute sécurité les mots de passe (Guide pour débutants)
- Comment et pourquoi limiter les tentatives de connexion dans WordPress
- Comment ajouter un générateur de mot de passe simple pour les utilisateurs dans WordPress
- Comment permettre aux utilisateurs de masquer/afficher les mots de passe sur l'écran de connexion WordPress
- Comment réinitialiser les mots de passe de tous les utilisateurs dans WordPress
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Dayo Olobayo
Merci pour ce guide clair et informatif sur l'application de mots de passe forts. Une question que j'ai cependant est de savoir si ces plugins s'intègrent facilement à d'autres plugins de sécurité. Par exemple, des plugins pour l'analyse des logiciels malveillants ou la surveillance des tentatives de connexion.
Support WPBeginner
Vous devrez vérifier auprès du plugin de sécurité spécifique que vous utilisez, car différents plugins peuvent avoir des conflits différents ou fonctionner bien ensemble.
Admin
Dayo Olobayo
Merci pour la clarification. Je vérifierai la compatibilité avec mes plugins spécifiques.
Mrteesurez
Bon travail ici.
mais ma question est, pourquoi y a-t-il un risque lorsque les utilisateurs de mon site utilisent des mots de passe faibles alors qu'ils ne sont pas réellement les administrateurs ??
Merci aussi pour ce plugin Password Policy Manager, j'adore son fonctionnement.
Mes sites web deviennent plus professionnels en appliquant vos guides. J'apprécie.
Support WPBeginner
Les chances sont très faibles, mais s'il existe un plugin ou un thème avec une vulnérabilité qui ne nécessite qu'un utilisateur sur le site, alors les pirates pourraient cibler vos utilisateurs au lieu de vos administrateurs.
Admin
salvador aguilar
This plugin is now closed on WP repo
Support WPBeginner
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
ce plugin n'a pas été mis à jour depuis plus d'un an.
Support WPBeginner
Merci de nous en informer, d'après ce que nous avons vu, le plugin devrait toujours fonctionner, mais pour comprendre le manque de mises à jour, vous voudrez consulter notre article ici : https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Y a-t-il une fonction dans ce plugin pour changer le niveau du mot de passe ? Je cherchais ce problème depuis plus d'un mois.
L'équipe de WPBeginner
Ce plugin n'envoie pas d'e-mails de mot de passe. Il ne prétend pas non plus chiffrer les e-mails. Ce n'est pas le but de ce plugin.
CST
Il ne semble pas que le plugin « Forcer les mots de passe forts » soit aussi sûr qu'il est présenté s'il n'empêche pas l'envoi du mot de passe par e-mail sous forme non chiffrée.
dwf
Sans oublier que le plugin « Forcer les mots de passe forts » n'empêche en rien l'envoi par e-mail de mots de passe forts lors de la configuration de l'utilisateur...
Chris
Des idées sur la façon de mettre en œuvre cette même approche mais pour tous les utilisateurs ; même les « abonnés » ?
Personnel éditorial
Oui, vous devriez utiliser le filtre
slt_fsp_weak_roles. Je n’ai pas essayé le code ci-dessous, mais quelque chose comme ceci devrait fonctionner :add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Merci ! Je suis surpris que WordPress n’ait pas implémenté une simple option « case à cocher » pour augmenter les exigences de mot de passe de sécurité avec toutes les attaques par force brute récentes. Je vais essayer ça.
Sara
Excellent concept. En regardant la page « support » sur le site des plugins de WordPress, les développeurs n’ont pas répondu aux messages de support et ne semblent pas avoir de réputation dans le monde de la sécurité.
Je tiens à souligner que j’adore l’idée. Mais je ne suis pas impressionné par ce que je vois de la « société » ou des développeurs derrière le logiciel, et pour quelque chose comme la sécurité, cela me rend nerveux. Je vais passer pour l’instant.
Personnel éditorial
Souvent, les développeurs créent leurs plugins pendant leur temps libre. En ayant créé plusieurs nous-mêmes, nous savons à quel point il est difficile de les supporter, surtout lorsque vous ne recevez rien en retour. L’auteur de ce plugin a mis à jour sa page github pour le plugin. Cela semble être la version 1.1 qui contient de nombreuses mises à jour et corrections.
Admin
Damien
S’ils ont (simplement) converti le test de force de WordPress en PHP, alors ils n’ont pas besoin d’avoir une réputation dans le monde de la sécurité. Ce n’est pas vraiment du code « nouveau », juste du code porté.