Voulez-vous obliger les utilisateurs/utilisatrices à utiliser un mot de passe fort sur votre site WordPress ?
Un excellent moyen d’améliorer la sécurité de votre site WordPress est d’obliger vos utilisateurs/utilisatrices à créer un mot de passe fort lorsqu’ils s’inscrivent avec un nouveau compte.
Dans cet article, nous allons vous afficher comment forcer un mot de passe fort aux utilisateurs/utilisatrices dans WordPress et améliorer la sécurité du site.
Pourquoi imposer des mots de passe forts à vos utilisateurs/utilisatrices WordPress ?
Des mots de passe forts rendent plus difficile pour les pirates d’utiliser des attaques par force brute pour accéder à votre site. Si vous avez passé du temps à optimiser la sécurité de votre site WordPress, vous voudrez également protéger vos pages de connexion en utilisant un mot de passe fort.
Toutefois, si vous avez une boutique en ligne, un site d’adhésion ou un blog avec plusieurs auteurs, vos clients ou autres utilisateurs/utilisatrices risquent de rendre votre site vulnérable aux pirates informatiques en utilisant des mots de passe faibles qui sont facilement personnalisables par des attaques par force brute.
Les utilisateurs/utilisatrices dont les mots de passe sont faibles peuvent présenter un risque pour la sécurité, en particulier ceux qui ont des rôles d’utilisateurs de haut niveau tels que les administrateurs et les éditeurs/éditrices.
WordPress dispose de réglages intégrés qui affichent aux utilisateurs/utilisatrices la solidité du mot de passe lors de la création d’un compte, mais il ne définit pas cette solidité.
Heureusement, vous pouvez utiliser une extension WordPress pour obliger vos utilisateurs/utilisatrices à créer un mot de passe fort lors de la création d’un compte sur votre site WordPress.
Ceci étant dit, voyons comment imposer un mot de passe fort à vos utilisateurs/utilisatrices WordPress. Utilisez simplement les liens rapides ci-dessous pour passer à la méthode que vous souhaitez utiliser :
Méthode 1. Forcer des mots de passe forts avec iThemes Security
La manière la plus simple de forcer des mots de passe forts est d’utiliser un plugin de sécurité WordPress. Nous recommandons Solid Security (anciennement iThemes Security) car il vous permet de forcer des mots de passe forts en quelques clics.
Il existe une version premium qui offre un renforcement de la sécurité, des vérifications de l’intégrité des fichiers, des détections de 404, et plus encore, mais nous utiliserons la version gratuite pour ce tutoriel car elle offre des fonctions de protection des mots de passe. Pour plus de détails, consultez notre évaluation complète de Solid Security.
La première chose à faire est d’installer et d’activer l’extension. Pour plus de détails, consultez notre guide sur l’installation d’une extension WordPress.
Une fois activé, allez dans Sécurité » Réglage pour choisir vos Réglages de sécurité. Un assistant de configuration vous aidera à configurer l’extension de sécurité en fonction de vos besoins.
Tout d’abord, cliquez sur l’option correspondant au type de site que vous possédez. Nous allons sélectionner l’option « Blog ».
Vous verrez maintenant un permuter pour activer « Security Check Pro ». Celui-ci configurera automatiquement vos Réglages de sécurité pour rediriger les demandes HTTP vers HTTPS et vous protéger contre l’usurpation d’adresse IP.
Vous devez permuter ce réglage sur la position « On ».
Ensuite, vous devez choisir s’il s’agit d’un site personnel ou d’un site client.
Nous sélectionnons « Self » pour ce tutoriel.
Ensuite, un permuter permet d’activer une politique de mot de passe fort pour vos utilisateurs/utilisatrices.
Vous devez cliquer sur la case à cocher permettant d’imposer un mot de passe fort à vos utilisateurs/utilisatrices et cliquer sur « Suivant ».
Vous avez bien réussi à forcer les utilisateurs/utilisatrices à avoir un mot de passe fort. Il existe de nombreux autres réglages que vous pouvez activer pour rendre votre connexion encore plus sûre.
Si vous le souhaitez, vous pouvez ajouter une liste d’adresses IP à une liste blanche afin d’éviter qu’elles ne soient bloquées sur votre site. Vous devez indiquer l’adresse IP de chaque utilisateur/utilisatrice. Vous pouvez rapidement ajouter votre propre adresse IP en cliquant sur le bouton « Autoriser mon adresse IP ».
Vous devez laisser le paramètre Détection d’IP sur « Scan de contrôle de sécurité (recommandé) », puis cliquer sur le bouton « Suivant ».
Si vous souhaitez activer l’authentification à deux facteurs, cliquez sur le permutateur en position « On », puis sur le bouton « Next ».
Ensuite, il vous sera demandé si vous souhaitez activer quelques réglages de sécurité supplémentaires pour différents groupes d’utilisateurs/utilisatrices. Vous pouvez simplement cliquer sur « Groupes d’utilisateurs/utilisatrices par défaut ».
Vous accéderez à un écran dans lequel vous pourrez forcer des mots de passe forts et modifier d’autres réglages par rôle du compte de l’utilisateur.
Le premier écran définit les Réglages de sécurité pour les utilisateurs/utilisatrices.
Vous pouvez activer les mots de passe forts et refuser que les utilisateurs/utilisatrices s’inscrivent avec un mot de passe compromis qui a déjà été utilisé sur d’autres sites.
Pour modifier les Réglages de sécurité d’autres utilisateurs/utilisatrices, il suffit de cliquer sur un autre rôle en haut de l’écran. Une fois que vous avez terminé, cliquez sur le bouton « Suivant » en haut ou en bas de l’écran.
Vous pourrez ainsi suivre le reste de l’assistant de configuration afin d’activer des réglages de sécurité supplémentaires pour votre site.
Si vous souhaitez modifier les paramètres de votre mot de passe à l’avenir, allez dans Sécurité » Réglages, cliquez sur » Groupes d’utilisateurs » et sélectionnez le groupe que vous souhaitez modifier.
Une fois que vous avez terminé, n’oubliez pas de cliquer sur le bouton « Enregistrer » en bas de l’écran pour sauvegarder vos paramètres.
Méthode 2 : Forcer des mots de passe forts avec le gestionnaire de politique des mots de passe
Une autre façon d’imposer des mots de passe forts sur votre blog WordPress est d’utiliser l’extension Password Policy Manager. Il vous permet de créer facilement des règles de mots de passe forts que vos utilisateurs/utilisatrices doivent suivre, mais il n’a pas d’autres fonctionnalités de sécurité pour protéger votre site comme le fait iThemes Security.
La première chose à faire est d’installer et d’activer l’extension. Pour plus de détails, consultez notre guide du débutant sur l’installation d’une extension WordPress.
Après activation, vous aurez une nouvelle option de menu appelée « miniOrange Password Policy » dans votre panneau d’administration WordPress. Vous devez cliquer dessus pour configurer vos règles de passe.
Cliquez ensuite sur le bouton « Réglages de la politique des mots de passe » pour activer les paramètres de votre mot de passe fort.
Ensuite, vous pouvez définir les réglages de votre mot de passe fort. Il vous suffit de cocher les cases correspondant aux Prérequis du mot de passe que vous souhaitez définir.
Ensuite, définissez la longueur du mot de passe nécessaire.
Ensuite, vous pouvez choisir de faire expirer les mots de passe après une période définie.
Si vous souhaitez l’activer, vous devez cliquer sur la case à cocher « Activer le délai d’expiration » et saisir le délai d’expiration en semaines.
Une fois que vous avez terminé, n’oubliez pas de cliquer sur le bouton « Enregistrer les réglages ».
Vous pouvez également réinitialiser les mots de passe de tous vos utilisateurs/utilisatrices à tout moment. Il vous suffit de cliquer sur le bouton « Réinitialiser le mot de passe » pour que tous vos utilisateurs/utilisatrices soient invités à créer un nouveau mot de passe fort.
Nos meilleurs guides pour protéger les mots de passe WordPress
L’utilisation de mots de passe forts est un excellent moyen d’améliorer la sécurité de votre site WordPress. Consultez cette page pour en savoir plus sur la protection des mots de passe WordPress.
- Comment modifier votre mot de passe sur WordPress (Guide du débutant)
- Comment gérer facilement et en toute sécurité les mots de passe (Guide du débutant)
- Comment et pourquoi limiter les tentatives de connexion sur WordPress ?
- Comment ajouter un générateur de mot de passe simple pour les utilisateurs/utilisatrices dans WordPress
- Comment permettre aux utilisateurs de masquer/afficher leur mot de passe sur l’écran de connexion de WordPress ?
- Comment réinitialiser les mots de passe de tous les utilisateurs/utilisatrices dans WordPress
Nous espérons que cet article vous a aidé à apprendre comment forcer des mots de passe forts sur les utilisateurs/utilisatrices dans WordPress. Vous pouvez également consulter notre guide sur la façon de créer une adresse e-mail professionnelle gratuite et nos choix d’experts des meilleures applications de numéros de téléphone professionnels virtuels.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez says
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support says
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administrateur
salvador aguilar says
This plugin is now closed on WP repo
WPBeginner Support says
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrateur
lionel says
this plugin hasn’t been updated in over a year.
WPBeginner Support says
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrateur
Bobby says
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff says
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST says
It does not sound like the, « Force Strong Passwords » plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf says
Not to mention that the « Force Strong Passwords » plugin does nothing to prevent emailing of strong password during User setup…
Chris says
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff says
Yes you would have to use
slt_fsp_weak_rolesfilter. Haven’t tried the code below, but something like this should work:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Administrateur
Chris Miller says
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara says
Great concept. Looking at the « support » page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the « company » or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff says
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administrateur
Damien says
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really « new » code, just ported code.