Voulez-vous obliger les utilisateurs à changer de mot de passe dans WordPress ?
Améliorez la sécurité de votre site web WordPress en imposant des changements de mot de passe réguliers. Cette mesure simple rend la compromission de votre site beaucoup plus difficile pour les pirates, protégeant ainsi vos données et celles de vos utilisateurs.
Dans cet article, nous allons vous montrer comment forcer les utilisateurs à changer de mot de passe dans WordPress en expirant leurs mots de passe après une période de temps donnée.
Quand et pourquoi obliger les utilisateurs de WordPress à changer de mot de passe ?
80 % des violations de données impliquent des mots de passe faibles ou volés. Des changements réguliers perturbent les tentatives des pirates.
Les pirates essaieront d’accéder à votre compte de manière répétée et régulière sur une certaine période. Dans ce cas, vous éviterez les attaques par force brute menées par des personnes mal intentionnées.
La plupart des nouveaux utilisateurs ont tendance à utiliser des mots de passe faibles ou le même mot de passe que pour leurs autres comptes, car ils sont faciles à retenir. Si un pirate s’introduit dans votre site WordPress, il peut compromettre la sécurité de tous les autres utilisateurs.
Mais il n’est pas possible de forcer les changements de mot de passe pour les utilisateurs administrateurs. Vous devez également forcer les utilisateurs membres et les clients qui reviennent à changer de mot de passe. Par exemple, lorsque les clients s’inscrivent sur votre boutique WooCommerce ou votre site d’adhésion, ils reçoivent le mot de passe par courrier électronique. Ainsi, le fait d’imposer des changements de mot de passe réguliers contribuera à atténuer les tentatives de phishing effectuées par courrier électronique.
De même, si vous gérez un site WordPress multi-utilisateurs, vous devez demander aux utilisateurs de mettre à jour leurs mots de passe après un certain laps de temps.
En revanche, si vous avez récemment remarqué une activité suspecte sur votre site WordPress, vous devez immédiatement expirer tous les mots de passe des utilisateurs existants et demander à chacun de mettre à jour son mot de passe.
Ceci étant dit, voyons comment vous pouvez faire expirer les mots de passe et forcer les utilisateurs à changer de mot de passe dans WordPress.
Forcer les utilisateurs à changer de mot de passe sur WordPress
La meilleure façon de forcer les utilisateurs à changer de mot de passe dans WordPress est d’utiliser le plugin Password Policy Manager. Il vous permet de créer et d’appliquer facilement des politiques de mot de passe fortes et sécurisées.
Pour commencer, vous devez installer et activer le plugin Password Policy Manager. Pour plus de détails, consultez notre tutoriel sur l ‘installation d’un plugin WordPress.
À partir de là, vous devez vous rendre sur la page Password Policy Manager » Gestionnaire de politiques de mot de passe « . Ensuite, sous l’onglet Paramètres de stratégie » Pour tous les utilisateurs, vous verrez différents paramètres de stratégie de mot de passe que vous pouvez définir.
Tout d’abord, assurez-vous d’activer le gros bouton à bascule qui indique « Activer tous les paramètres ». En dessous, vous pouvez cocher toutes les règles de politique de mot de passe que vous souhaitez appliquer chaque fois qu’un nouvel utilisateur doit créer un nouveau mot de passe.
Les options sont les suivantes :
- Doit contenir des lettres minuscules et majuscules
- Doit contenir des chiffres
- Doit contenir des caractères spéciaux
- Longueur du mot de passe entre 8 et 25
Nous vous recommandons de ne pas cocher ces cases car ce sont les meilleures pratiques pour avoir un mot de passe fort. Vous pouvez également lire notre guide sur la façon d’ajouter un générateur de mot de passe utilisateur simple dans WordPress.
En dessous, vous devez cocher la case « Forcer la réinitialisation du mot de passe lors de la première connexion ». Cela permet d’empêcher les nouveaux utilisateurs d’utiliser le même mot de passe que pour leurs autres comptes en ligne et de s’assurer qu’ils définissent un mot de passe fort dès le départ.
Ensuite, vous devez activer l’option « Activer l’expiration du mot de passe » afin de définir un délai d’expiration spécifique qui oblige tous les utilisateurs du site à changer leur mot de passe. À côté de cela, vous pouvez définir le nombre de semaines pendant lesquelles vous souhaitez forcer le changement.
Vous pouvez ensuite cliquer sur le bouton « Enregistrer les paramètres ».
Sous les paramètres de sauvegarde, vous trouverez une option permettant de réinitialiser votre mot de passe en un seul clic. Si vous ou vos utilisateurs n’avez pas réinitialisé votre mot de passe depuis un certain temps, il est conseillé de cliquer sur le bouton « Réinitialiser le mot de passe ».
Cette opération met automatiquement fin à toutes les sessions ouvertes par les utilisateurs et les oblige à réinitialiser leur mot de passe.
Tous les utilisateurs recevront un courriel contenant un lien leur permettant de réinitialiser leur mot de passe.
Il suffit de cliquer sur le lien contenu dans l’e-mail.
Vous accéderez à l’écran de connexion de WordPress, où vous saisirez votre mot de passe actuel et votre nouveau mot de passe.
Nous vous recommandons d’utiliser un générateur de mot de passe sécurisé plutôt que d’essayer de trouver un mot de passe que vous pouvez mémoriser. Ensuite, un gestionnaire de mots de passe comme 1Password ou LastPass peut être utilisé pour le stocker.
Cliquez ensuite sur « Modifier le mot de passe ».
Vous serez ensuite ramené à votre page de connexion WordPress, où vous pourrez saisir vos nouveaux identifiants.
Vous pouvez également vous rendre sur la page Gestionnaire de la stratégie des mots de passe » Rapports » . C’est là que vous trouverez toutes les tentatives de connexion effectuées par les utilisateurs. Il est bon de vérifier périodiquement si des tentatives suspectes ont été faites sur votre site WordPress. Si c’est le cas, vous pouvez facilement effectuer la réinitialisation en un clic que nous venons de mentionner.
Pour voir les données, vous devez activer l’onglet « Activer la saisie de rapports ».
Et le tour est joué ! Vous avez maintenant réussi à configurer votre site WordPress de manière à ce qu’il oblige tous les utilisateurs à changer de mot de passe après la date d’expiration.
Conseils de dépannage
Que se passe-t-il si mes utilisateurs ne reçoivent jamais leurs courriels ?
Si vos utilisateurs ne reçoivent pas d’e-mail de notification pour réinitialiser leurs mots de passe, cela peut être dû à un certain nombre de choses. Veuillez consulter notre guide sur la façon de résoudre le problème de l’absence d’envoi d’email par WordPress.
Que faire si je n’arrive pas à entrer dans la zone d’administration de WordPress pour réinitialiser mon mot de passe ?
Si vous n’arrivez pas à entrer dans la zone d’administration de WordPress, consultez notre guide sur ce qu’il faut faire lorsque vous êtes bloqué dans la zone d’administration de WordPress.
Nous espérons que cet article vous a aidé à apprendre comment forcer les utilisateurs à changer de mot de passe sur WordPress. Vous pouvez également consulter notre guide ultime de sécurité WordPress pour vous aider à améliorer la sécurité de votre site web ou notre liste des erreurs WordPress les plus courantes et comment les corriger.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Marko says
Article need update.
WPBeginner Support says
Thank you for letting us know, we will look into updating the article when we are able
Administrateur
Shallum Vohr says
How to force user to update password on first login only?
Millie Aveyard says
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support says
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrateur
Remi says
Very nice idea! It’s a great to give more security to the administration!
Daniel says
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the « Limit Login attempts » plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet says
This is a very good post ……