Il suffit d’un mot de passe faible pour qu’un pirate informatique s’empare de votre site. Sans sécurité supplémentaire, tout ce que vous avez construit est en danger.
Une solution simple ? Les questions de sécurité. Et les définir est plus facile que vous ne le pensez.
J’ai testé diverses méthodes d’authentification sur des sites WordPress et j’ai trouvé que l’ajout de questions de sécurité est un moyen simple d’aider à prévenir les accès non autorisés. 🔑
En nécessitant des réponses uniques que vous êtes seul à connaître, vous ajoutez une calque de sécurité à votre site. Il est ainsi beaucoup plus difficile pour les pirates d’y accéder, même s’ils volent votre mot de passe.
Dans ce guide, je vais vous afficher comment ajouter des questions de sécurité à votre écran de connexion WordPress. Vous n’avez pas besoin d’être un expert en technologie – il suffit de suivre, et vous aurez une couche de sécurité supplémentaire en quelques minutes.
Pourquoi ajouter des questions de sécurité dans WordPress ?
Votre page de connexion WordPress est comme la porte d’entrée de votre site. Un mot de passe est une bonne serrure, mais ajouter des questions de sécurité est comme ajouter un pêne dormant – cela rend l’entrée plus difficile pour quelqu’un.
Les questions de sécurité ajoutent un calque supplémentaire de protection à votre zone d’administration WordPress, rendant plus difficile pour les attaquants de se faufiler. Lorsque cette fonctionnalité est activée, les utilisateurs/utilisatrices doivent répondre à une ou plusieurs questions personnelles avant de pouvoir se connecter.
Voici comment les questions de sécurité peuvent vous aider :
🔒 Un obstacle supplémentaire pour les pirates: Même si quelqu’un devine votre mot de passe, les questions de sécurité lui rendent l’accès plus difficile
🤖 Empêche les attaques automatisées : Les pirates utilisent souvent des robots pour deviner les mots de passe. Mais les questions de sécurité nécessitent des réponses personnelles que les robots ne peuvent pas facilement deviner, ce qui rend les attaques automatisées moins efficaces.
🔑 Aide à récupérer les comptes de manière plus sûre : Vous avez oublié votre mot de passe ? Au lieu d’attendre un e-mail de réinitialisation (qui peut être intercepté), les questions de sécurité offrent un moyen rapide et sûr de retrouver l’accès.
⚡ Configuration rapide et facile: Les questions de sécurité sont plus faciles à définir que l’authentification à deux facteurs (2FA), qui nécessite une appli ou un appareil distinct. Bien que pratiques, les questions de sécurité offrent un niveau de protection plus léger que l’authentification à deux facteurs, que je recommande généralement pour une sécurité maximale.
Bien qu’utiles, les questions de sécurité ne sont pas infaillibles. Des pirates malins peuvent essayer de deviner vos réponses ou même de vous inciter à les révéler (c’est ce qu’on appelle l'”ingénierie sociale”).
Il est donc important de choisir des questions dont les réponses ne sont pas faciles à deviner ou ne sont pas accessibles au public en ligne.
Outild’ importation :
Gardez à l’esprit que si les questions de sécurité peuvent ajouter un calque supplémentaire de protection, elles ne doivent pas être votre seule défense. Pour obtenir les meilleurs résultats, utilisez-les dans le cadre d’une stratégie de sécurité plus large qui comprend l’authentification à deux facteurs, des politiques de mots de passe forts et des tentatives de connexion limitées. Pour Premiers pas, consultez notre guide ultime de la sécurité WordPress.
Cela dit, voyons comment vous pouvez facilement ajouter des questions de sécurité à votre écran de connexion WordPress. Dans ce tutoriel, je vais afficher deux méthodes.
Vous pouvez utiliser les liens ci-dessous pour passer à la méthode que vous préférez :
Méthode 1 : Ajout de questions de sécurité à l’écran de connexion de l’administrateur avec WPCode
Si vous voulez un moyen simple d’ajouter des questions de sécurité à votre connexion d’administrateur WordPress, alors cette méthode est faite pour vous.
J’ai vu de nombreux autres sites utiliser cette tactique parallèlement à l’authentification à deux facteurs et à d’autres protections de connexion, et cela a très bien fonctionné pour eux en tant qu’obstacle supplémentaire pour les intrus potentiels.
Pour ce faire, vous devrez ajouter un code personnalisé à votre fichier functions.php. Cela peut être un peu accablant car la moindre erreur peut casser votre site. C’est pourquoi je recommande WPCode, qui est la meilleure extension d’extraits de code WordPress sur le marché.
Après des tests approfondis, mes coéquipiers et moi-même avons conclu qu’il s’agit du moyen le plus simple et le plus sûr d’ajouter du code personnalisé à votre site. Pour en savoir plus, consultez notre Avis complet sur WPCode.
Tout d’abord, vous devez installer et activer l’extension WPCode. Pour obtenir des instructions étape par étape, vous pouvez consulter notre guide sur l’installation d’une extension WordPress.
🚨 Note : L’extension dispose également d’une version gratuite que vous pouvez utiliser. Cependant, passer à l’offre pro vous donnera accès à des fonctionnalités telles qu’une bibliothèque cloud d’extraits de code, une logique conditionnelle intelligente, des extraits de blocs, et bien plus encore.
Une fois le plugin activé, rendez-vous sur la page Code Snippets ” + Add Snippet ” depuis le tableau de bord WordPress.
Cliquez sur le bouton “Utiliser l’extrait” sous l’option “Ajouter votre code personnalisé (nouvel extrait)”.
Un nouvel écran s’affiche, dans lequel vous pouvez donner un nom à votre extrait de code.
Gardez à l’esprit que ce nom ne sera affiché à aucun utilisateur/utilisatrice. Il sert simplement à vous aider à identifier facilement l’extrait de code que vous êtes en train de créer.
Choisissez ensuite “Extrait de code PHP” comme “Type de code” dans la fenêtre surgissante.
Ajoutez maintenant le code personnalisé suivant dans la case “Prévisualisation du code” :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | add_action( 'login_form', function () { ?> <p><label for="security_question">What is your favorite color?<br/> <input type="text" name="security_question" id="security_question" class="input" autocomplete="off"/></label> </p> <?php} );add_filter( 'wp_authenticate_user', function( $user, $password ) { $answer = isset( $_POST['security_question'] ) ? sanitize_text_field( wp_unslash( $_POST['security_question'] ) ) : ''; if ( 'blue' !== strtolower( $answer ) ) { // Replace 'blue' with your expected answer return new WP_Error( 'security_question_error', '<strong>ERROR</strong>: Incorrect answer to the security question.' ); } return $user;}, 10, 2 ); |
Par défaut, le code personnalisé définit “Quelle est votre couleur préférée ?” comme question de sécurité.
Toutefois, je vous recommande vivement de le modifier pour le remplacer par quelque chose qui ne soit pas facilement modifié. Il est préférable de choisir quelque chose qui vous est personnel et que peu de gens connaissent.
Par exemple, les questions de sécurité les plus courantes sont les suivantes :
🐶 “Quel était le nom du premier animal de compagnie de votre enfance ?”
🏡 “Quel était le nom de la première rue où vous avez habité ?”
👩 “Quel est le nom de jeune fille de votre mère ?”
Il suffit de repérer cette ligne dans le code et de la remplacer par la question souhaitée.
1 | <p><label for="security_question">What was the name of your first childhood pet?<br/> |
Une fois que vous avez fait cela, défilez vers le bas jusqu’à cette ligne dans le code :
1 | if ( 'spike' !== strtolower( $answer ) ) { // Replace 'spike' with your expected answer |
Vous pouvez maintenant modifier la réponse à la question de sécurité à partir d’ici.
Une fois que vous avez vérifié que votre question et votre réponse sont conformes à vos attentes, il vous suffit de faire basculer le commutateur “Inactif” sur “Actif”.
Enfin, cliquez sur le bouton “Enregistrer l’extrait” pour enregistrer vos réglages.
Vous pouvez maintenant visiter votre écran de connexion WordPress pour voir la question de sécurité.
Méthode 2 : Ajouter des questions de sécurité pour tous les utilisateurs/utilisatrices avec MelaPress
Si vous souhaitez ajouter des questions de sécurité pour tous les utilisateurs de votre site d’adhésion ou de votre blog à auteurs/autrices multiples, cette méthode est faite pour vous.
Pour les sites d’adhésion, cela peut aider à protéger les comptes d’utilisateurs contre les accès non autorisés lors d’actions telles que la réinitialisation du mot de passe, la récupération du compte ou la réactivation après une désactivation.
J’ai vu que cela fonctionnait bien sur plusieurs sites proposant des abonnements payants, des cours en ligne et des communautés privées.
Pour les blogs à auteurs/autrices multiples, l’ajout de questions de sécurité offre une protection supplémentaire aux contributeurs/contributrices, aux éditeurs/éditrices et aux administrateurs/administratrices qui ont accès à votre tableau de bord WordPress. Cela aide à prévenir les modifications non autorisées et à sécuriser votre flux de travail de publication.
MelaPress Login Security vous permet de demander aux utilisateurs de répondre à des questions de sécurité avant d’effectuer des actions sensibles, comme réinitialiser un mot de passe ou réactiver un compte désactivé.
Cela permet de s’assurer que seul le propriétaire légitime du compte peut terminer ces actions.
Tout d’abord, vous devez installer et activer l’extension MelaPress Login Security. Pour plus de détails, consultez le tutoriel de mon équipe sur l’installation d’une extension WordPress.
🚨 Important : MelaPress dispose d’une version gratuite. Cependant, vous aurez besoin de l’offre Pro pour accéder à la fonctionnalité des questions de sécurité.
Après avoir activé le plugin, rendez-vous sur la page Sécurité de la connexion ” Politiques de sécurité de la connexion depuis le tableau de bord WordPress et cochez l’option ” Activer les politiques de sécurité de la connexion “.
Une fois que vous avez fait cela, de nouveaux Réglages apparaîtront à l’écran. Défilez alors jusqu’à la section “Questions de sécurité” et cochez la case “Activer les questions de sécurité”.
Choisissez ensuite si vous souhaitez que des questions de sécurité soient nécessaires pour réinitialiser un mot de passe ou activer un compte désactivé. Vous pouvez également sélectionner les deux options.
Sélectionnez ensuite le nombre de questions de sécurité préenregistrées auxquelles chaque compte doit répondre.
Ensuite, cliquez sur le lien “Activer” à côté des questions de sécurité auxquelles vous souhaitez que vos utilisateurs/utilisatrices répondent.
Si aucune des questions par défaut ne semble convenir, vous pouvez cliquer sur le bouton “Ajouter une question” et ajouter la question de votre choix dans le champ prévu à cet effet.
Vous pouvez également définir les autres réglages de sécurité à votre convenance.
Une fois que vous avez terminé, il vous suffit de cliquer sur le bouton “Enregistrer les modifications” pour enregistrer vos choix.
Maintenant que la politique relative aux questions de sécurité a été activée, les utilisateurs/utilisatrices de votre site recevront une notification sur leur Tableau de bord leur demandant de répondre à certaines questions de sécurité.
Une fois que les utilisateurs/utilisatrices ont cliqué sur le bouton “Visitez votre page de profil”, ils sont redirigés vers leur page de profil WordPress.
Ils peuvent alors répondre aux questions que vous avez sélectionnées et cliquer sur le bouton “Enregistrer les modifications”.
Désormais, lorsqu’un compte sur votre site tente de réinitialiser son mot de passe ou d’activer un compte désactivé, il devra d’abord répondre à une question de sécurité.
Voici une Prévisualisation de ce que cela donnera sur votre écran de connexion.
💡 Besoin d’aide pour sécuriser votre site ?
Nos services de maintenance WordPress vous débarrassent des tracas liés aux mises à jour de routine, à la surveillance de la sécurité et aux sauvegardes. Nous nous occupons de tout en coulisses, afin que vous puissiez vous concentrer sur la croissance de votre entreprise sans vous soucier des problèmes techniques
En savoir plus, voir notre page WPBeginner Pro Services!
Guides bonus pour la sécurité de l’écran de connexion
J’espère que ce tutoriel vous a aidé à apprendre comment ajouter des questions de sécurité à votre écran de connexion WordPress. Vous voudrez peut-être aussi voir des guides sur d’autres façons de protéger votre écran de connexion :
- Comment ajouter un CAPTCHA dans le formulaire de connexion et d’inscription de WordPress
- Comment ajouter une connexion sans mot de passe dans WordPress avec Magic Links
- Pourquoi et comment limiter les tentatives de connexion sur WordPress ?
- Comment désactiver les conseils de connexion dans les messages d’erreur de connexion de WordPress ?
- Comment ajouter une connexion sociale à WordPress (de manière simple)
- Guide du débutant pour ajouter une URL de connexion personnalisée dans WordPress (étape par étape)
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Mrteesurez
This is another way to protect a WordPress site by using Security questions especially for a membership site.
My question is, is this only applicable or works for a default WordPress login page ??
What of I want to use it in a custom reg and login page ??
WPBeginner Support
You can use it for a custom login page or the default login page.
Admin
Izzy
Is there a way to do this without a plugin?
WPBeginner Support
It would require some coding but we do not have a beginner-friendly method to set this up without a plugin at the moment.
Admin
Bette Greenfield
Is the information in this article up to date. Last updated on September 26th, 2016 by Editorial Staff
WPBeginner Support
The plugin should still be working but the plugin may have updated their interface since this article was last updated
Admin
chris
I just tried this plugin its totally crap
there no answer box just the question boxes. ???
WPBeginner Support
You can add your own questions and answers in plugins settings page.
Admin
chris
yes i know this, however the plugin only gave me the questions with no answer box
that is very strange with a glitch like that.
chris
I did all that and still even with putting an answer in or not it still doesn’t work it’s a crappy plugin no good to anyone.
I would not recommend this to my friends.
How embarrassing for this developer to put this out and for you to recommend.
bad bad bad
Dean Bartley
I tried it and it works just fine. Your plugins or theme must be conflicting with the plugin. And I really don’t see why your behaving the way you are. They are just trying to help. Chill with the negative comment and be thankful they are recommending stuff. If you don’t agree that is your opinion. Thanks for the recommendation wpbeginner. Keep up the good work.