Permettre aux utilisateurs/utilisatrices d’avoir des mots de passe faibles, c’est comme laisser votre porte d’entrée grande ouverte. C’est une invitation pour les voleurs et les pirates informatiques à entrer par effraction.
Les utilisateurs/utilisatrices choisissent souvent le même mot de passe court et peu sûr partout. À moins que vous n’imposiez des mots de passe forts sur votre site WordPress, vous laissez votre contenu et les données sensibles de vos utilisateurs/utilisatrices en danger.
Au lieu de laisser la force du mot de passe au hasard, cet article vous affiche comment forcer vos utilisateurs/utilisatrices à créer des mots de passe forts sur votre site WordPress, améliorant ainsi votre sécurité en ligne.
Pourquoi imposer des mots de passe forts à vos utilisateurs/utilisatrices WordPress ?
Des mots de passe forts rendent plus difficile pour les pirates d’utiliser des attaques par force brute pour accéder à votre site. Si vous avez passé du temps à optimiser la sécurité de votre site WordPress, vous voudrez également protéger vos pages de connexion en utilisant un mot de passe fort.
Toutefois, si vous avez une boutique en ligne, un site d’adhésion ou un blog avec plusieurs auteurs, vos clients ou autres utilisateurs/utilisatrices risquent de rendre votre site vulnérable aux pirates informatiques en utilisant des mots de passe faibles qui sont facilement personnalisables par des attaques par force brute.
Les utilisateurs/utilisatrices dont les mots de passe sont faibles peuvent présenter un risque pour la sécurité, en particulier ceux qui ont des rôles d’utilisateurs de haut niveau tels que les administrateurs et les éditeurs/éditrices.
WordPress dispose de réglages intégrés qui affichent aux utilisateurs/utilisatrices la solidité du mot de passe lors de la création d’un compte, mais il ne définit pas cette solidité.
Heureusement, vous pouvez utiliser une extension WordPress pour obliger vos utilisateurs/utilisatrices à créer un mot de passe fort lors de la création d’un compte sur votre site WordPress.
Ceci étant dit, voyons comment imposer un mot de passe fort à vos utilisateurs/utilisatrices WordPress. Utilisez simplement les liens rapides ci-dessous pour passer à la méthode que vous souhaitez utiliser :
Méthode 1. Forcer des mots de passe forts avec Solid Security
La manière la plus simple de forcer des mots de passe forts est d’utiliser un plugin de sécurité WordPress. Nous recommandons Solid Security (anciennement iThemes Security) car il vous permet de forcer des mots de passe forts en quelques clics.
Il existe une version premium qui offre un renforcement de la sécurité, des vérifications de l’intégrité des fichiers, des détections de 404 et bien plus encore, mais nous utiliserons la version gratuite pour ce tutoriel car elle possède des fonctionnalités de protection des mots de passe. Pour plus de détails, consultez notre avis complet sur Solid Security.
La première chose à faire est d’installer et d’activer l’extension. Pour plus de détails, consultez notre guide sur l’installation d’une extension WordPress.
Une fois activé, allez dans Sécurité » Réglage pour choisir vos Réglages de sécurité. Un assistant de configuration vous aidera à configurer l’extension de sécurité en fonction de vos besoins.
Tout d’abord, cliquez sur l’option correspondant au type de site que vous possédez. Nous allons sélectionner l’option « Blog ».
Vous verrez maintenant un permuter pour activer « Security Check Pro ». Celui-ci configurera automatiquement vos Réglages de sécurité pour rediriger les demandes HTTP vers HTTPS et vous protéger contre l’usurpation d’adresse IP.
Vous devez permuter ce réglage sur la position « On ».
Ensuite, vous devez choisir s’il s’agit d’un site personnel ou d’un site client.
Nous sélectionnons « Self » pour ce tutoriel.
Ensuite, un permuter permet d’activer une politique de mot de passe fort pour vos utilisateurs/utilisatrices.
Vous devez cliquer sur la case à cocher permettant d’imposer un mot de passe fort à vos utilisateurs/utilisatrices et cliquer sur « Suivant ».
Vous avez bien réussi à forcer les utilisateurs/utilisatrices à avoir un mot de passe fort. Il existe de nombreux autres réglages que vous pouvez activer pour rendre votre connexion encore plus sûre.
Si vous le souhaitez, vous pouvez ajouter une liste d’adresses IP à une liste blanche afin d’éviter qu’elles ne soient bloquées sur votre site. Vous devez indiquer l’adresse IP de chaque utilisateur/utilisatrice. Vous pouvez rapidement ajouter votre propre adresse IP en cliquant sur le bouton « Autoriser mon adresse IP ».
Vous devez laisser le paramètre Détection d’IP sur « Scan de contrôle de sécurité (recommandé) », puis cliquer sur le bouton « Suivant ».
Si vous souhaitez activer l’authentification à deux facteurs, cliquez sur le permutateur en position « On », puis sur le bouton « Next ».
Ensuite, il vous sera demandé si vous souhaitez activer quelques réglages de sécurité supplémentaires pour différents groupes d’utilisateurs/utilisatrices. Vous pouvez simplement cliquer sur « Groupes d’utilisateurs/utilisatrices par défaut ».
Vous accéderez à un écran dans lequel vous pourrez forcer des mots de passe forts et modifier d’autres réglages par rôle du compte de l’utilisateur.
Le premier écran définit les Réglages de sécurité pour les utilisateurs/utilisatrices.
Vous pouvez activer les mots de passe forts et refuser que les utilisateurs/utilisatrices s’inscrivent avec un mot de passe compromis qui a déjà été utilisé sur d’autres sites.
Pour modifier les Réglages de sécurité d’autres utilisateurs/utilisatrices, il suffit de cliquer sur un autre rôle en haut de l’écran. Une fois que vous avez terminé, cliquez sur le bouton « Suivant » en haut ou en bas de l’écran.
Vous pourrez ainsi suivre le reste de l’assistant de configuration afin d’activer des réglages de sécurité supplémentaires pour votre site.
Si vous souhaitez modifier les paramètres de votre mot de passe à l’avenir, allez dans Sécurité » Réglages, cliquez sur » Groupes d’utilisateurs » et sélectionnez le groupe que vous souhaitez modifier.
Une fois que vous avez terminé, n’oubliez pas de cliquer sur le bouton « Enregistrer » en bas de l’écran pour sauvegarder vos paramètres.
Méthode 2 : Forcer des mots de passe forts avec le gestionnaire de politique des mots de passe
Une autre façon d’imposer des mots de passe forts sur votre blog WordPress est d’utiliser l’extension Password Policy Manager. Il vous permet de créer facilement des règles de mots de passe forts que vos utilisateurs/utilisatrices doivent suivre, mais il n’a pas d’autres fonctionnalités de sécurité pour protéger votre site comme le fait iThemes Security.
La première chose à faire est d’installer et d’activer l’extension. Pour plus de détails, consultez notre guide du débutant sur l’installation d’une extension WordPress.
Après activation, vous aurez une nouvelle option de menu appelée « miniOrange Password Policy » dans votre panneau d’administration WordPress. Vous devez cliquer dessus pour configurer vos règles de passe.
Cliquez ensuite sur le bouton « Réglages de la politique des mots de passe » pour activer les paramètres de votre mot de passe fort.
Ensuite, vous pouvez définir les réglages de votre mot de passe fort. Il vous suffit de cocher les cases correspondant aux Prérequis du mot de passe que vous souhaitez définir.
Ensuite, définissez la longueur du mot de passe nécessaire.
Ensuite, vous pouvez choisir de faire expirer les mots de passe après une période définie.
Si vous souhaitez l’activer, vous devez cliquer sur la case à cocher « Activer le délai d’expiration » et saisir le délai d’expiration en semaines.
Une fois que vous avez terminé, n’oubliez pas de cliquer sur le bouton « Enregistrer les réglages ».
Vous pouvez également réinitialiser les mots de passe de tous vos utilisateurs/utilisatrices à tout moment. Il vous suffit de cliquer sur le bouton « Réinitialiser le mot de passe » pour que tous vos utilisateurs/utilisatrices soient invités à créer un nouveau mot de passe fort.
Nos meilleurs guides pour protéger les mots de passe WordPress
Nous espérons que cet article vous a aidé à apprendre comment imposer des mots de passe forts aux utilisateurs/utilisatrices dans WordPress. Vous pouvez également consulter d’autres guides sur la protection des mots de passe WordPress :
- Comment modifier votre mot de passe sur WordPress (Guide du débutant)
- Comment gérer facilement et en toute sécurité les mots de passe (Guide du débutant)
- Comment et pourquoi limiter les tentatives de connexion sur WordPress ?
- Comment ajouter un générateur de mot de passe simple pour les utilisateurs/utilisatrices dans WordPress
- Comment permettre aux utilisateurs de masquer/afficher leur mot de passe sur l’écran de connexion de WordPress ?
- Comment réinitialiser les mots de passe de tous les utilisateurs/utilisatrices dans WordPress
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administrateur
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrateur
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrateur
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, « Force Strong Passwords » plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the « Force Strong Passwords » plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff
Yes you would have to use
slt_fsp_weak_roles
filter. Haven’t tried the code below, but something like this should work:1-click Use in WordPress
Administrateur
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the « support » page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the « company » or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administrateur
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really « new » code, just ported code.