Renforcer la sécurité de votre site WordPress est toujours une démarche intelligente.
Un moyen efficace d’y parvenir est de demander aux utilisateurs/utilisatrices de modifier régulièrement leurs mots de passe. Cette simple mesure peut rendre l’intrusion des pirates beaucoup plus difficile.
Des modifications régulières des mots de passe protègent vos données et les informations de vos utilisateurs/utilisatrices. Ils ajoutent également une calque de sécurité supplémentaire à votre site. En faisant expirer les mots de passe après une certaine période, vous aidez à assurer la sécurité de tous.
Dans ce guide, nous allons vous expliquer comment forcer les utilisateurs/utilisatrices à modifier leur mot de passe dans WordPress.
Quand et pourquoi obliger les utilisateurs de WordPress à changer de mot de passe ?
80 % des violations de données impliquent des mots de passe faibles ou volés. Heureusement, des modifications régulières des mots de passe perturbent les tentatives des pirates.
Les pirates essaieront d’accéder à votre compte de manière répétée et régulière sur une certaine période. Dans ce cas, vous éviterez les attaques par force brute menées par des personnes mal intentionnées.
La plupart des nouveaux utilisateurs ont tendance à utiliser des mots de passe faibles ou le même mot de passe que pour leurs autres comptes, car ils sont faciles à retenir. Si un pirate s’introduit dans votre site WordPress, il peut compromettre la sécurité de tous les autres utilisateurs.
Mais la modification forcée des mots de passe ne doit pas s’appliquer uniquement aux utilisateurs/utilisatrices. Il devrait également s’appliquer aux utilisateurs/utilisatrices d’adhésion et aux clients/clientes qui reviennent. Par exemple, lorsque les clients s’inscrivent sur votre boutique WooCommerce ou votre site d’adhésion, ils reçoivent le mot de passe par e-mail. Forcer des modifications régulières du mot de passe peut aider à réduire le risque de tentatives d’hameçonnage faites par le biais d’e-mails.
De même, si vous gérez un site WordPress multi-utilisateurs, vous devez demander aux utilisateurs de mettre à jour leurs mots de passe après un certain laps de temps.
En revanche, si vous avez récemment remarqué une activité suspecte sur votre site WordPress, vous devez immédiatement expirer tous les mots de passe des utilisateurs existants et demander à chacun de mettre à jour son mot de passe.
Astuce d’expert : Vous craignez que votre site ait été piraté ? Laissez nos experts en sécurité WordPress corriger votre site et le remettre sur les rails. Nous nettoierons tous les codes, fichiers et logiciels malveillants nuisibles afin que vos informations sensibles restent en sécurité. Agissez dès maintenant et protégez votre site grâce à nos services de réparation de sites piratés!
En gardant cela à l’esprit, voyons comment vous pouvez faire expirer les mots de passe et forcer les utilisateurs/utilisatrices à modifier leur mot de passe dans WordPress.
Forcer les utilisateurs à changer de mot de passe sur WordPress
La meilleure façon de forcer les utilisateurs à changer de mot de passe dans WordPress est d’utiliser le plugin Password Policy Manager. Il vous permet de créer et d’appliquer facilement des politiques de mot de passe fortes et sécurisées.
Pour commencer, vous devez installer et activer le plugin Password Policy Manager. Pour plus de détails, consultez notre tutoriel sur l ‘installation d’un plugin WordPress.
À partir de là, vous devez vous rendre sur la page Password Policy Manager » Gestionnaire de politiques de mot de passe « . Ensuite, sous l’onglet Paramètres de stratégie » Pour tous les utilisateurs, vous verrez différents paramètres de stratégie de mot de passe que vous pouvez définir.
Tout d’abord, veillez à activer le gros bouton commutateur qui indique « Activer tous les réglages ». En dessous, vous pouvez cocher toutes les règles de politique de mot de passe que vous souhaitez appliquer chaque fois qu’un nouvel utilisateur doit créer un nouveau mot de passe.
Les options sont les suivantes :
- Doit contenir des lettres minuscules et majuscules
- Doit contenir des chiffres
- Doit contenir des caractères spéciaux
- Longueur du mot de passe entre 8 et 25
Nous vous recommandons de ne pas cocher ces cases car ce sont les meilleures pratiques pour avoir un mot de passe fort. Vous pouvez également lire notre guide sur la façon d’ajouter un générateur de mot de passe utilisateur simple dans WordPress.
En dessous, vous devez cocher la case « Forcer la réinitialisation du mot de passe lors de la première connexion ». Cela permet d’empêcher les nouveaux utilisateurs d’utiliser le même mot de passe que pour leurs autres comptes en ligne et de s’assurer qu’ils définissent un mot de passe fort dès le départ.
Ensuite, vous devez activer l’option « Activer l’expiration du mot de passe » afin de définir un délai d’expiration spécifique qui oblige tous les utilisateurs/utilisatrices du site à modifier leur mot de passe. À côté de cela, vous pouvez définir le nombre de semaines pendant lesquelles vous souhaitez forcer la modification.
Une fois cela défini, vous pouvez cliquer sur le bouton « Enregistrer les Réglages ».
Sous les Réglages d’enregistrement, vous trouverez une option permettant de réinitialiser votre mot de passe en un seul clic. Si vous ou vos utilisateurs/utilisatrices n’avez pas réinitialisé votre mot de passe depuis un certain temps, il est conseillé de cliquer sur le bouton « Réinitialiser le mot de passe ».
Cela mettra automatiquement fin à toutes les sessions connectées des utilisateurs/utilisatrices et les obligera à réinitialiser leurs mots de passe.
Ensuite, tous les utilisateurs/utilisatrices recevront un e-mail contenant un lien leur permettant de réinitialiser leur mot de passe.
Il leur suffit de cliquer sur le lien contenu dans l’e-mail.
Cela ouvrira l’écran de connexion de WordPress, où vous saisirez votre mot de passe actuel et votre nouveau mot de passe.
Nous vous recommandons d’utiliser un générateur de mot de passe sécurisé plutôt que d’essayer d’en créer un que vous pourrez mémoriser. Vous pouvez ensuite utiliser un gestionnaire de mots de passe comme 1Password pour le stocker.
À partir de là, vous pouvez cliquer sur « Modifier le mot de passe ».
Cela vous ramènera à votre page de connexion WordPress, où vous pourrez saisir vos nouvelles infos/saisies.
Vous pouvez vous rendre sur la page Gestionnaire de la politique des mots de passe » Rapports pour suivre toutes les tentatives de connexion effectuées par les utilisateurs/utilisatrices. Nous vous recommandons de la vérifier périodiquement pour voir si des tentatives suspectes ont été faites sur votre site WordPress. Si c’est le cas, vous pouvez facilement effectuer la réinitialisation en un clic que nous venons de cliquer.
Pour voir les données, vous devez activer l’onglet « Activer la saisie de rapports ».
Et le tour est joué ! Vous avez maintenant réussi à configurer votre site WordPress de manière à ce qu’il oblige tous les utilisateurs à changer de mot de passe après la date d’expiration.
Conseils de dépannage
Parfois, les choses ne se passent pas aussi bien que prévu. Voici quelques astuces de dépannage qui vous aideront à résoudre les problèmes éventuels.
Que se passe-t-il si mes utilisateurs/utilisatrices ne reçoivent jamais leurs e-mails ?
Si vos utilisateurs ne reçoivent pas d’e-mail de notification pour réinitialiser leurs mots de passe, cela peut être dû à un certain nombre de choses. Veuillez consulter notre guide sur la façon de résoudre le problème de l’absence d’envoi d’email par WordPress.
Que faire si je n’arrive pas à entrer dans la zone d’administration de WordPress pour réinitialiser mon mot de passe ?
Si vous n’arrivez pas à entrer dans la zone d’administration de WordPress, consultez notre guide sur ce qu’il faut faire lorsque vous êtes bloqué dans la zone d’administration de WordPress.
Nous espérons que cet article vous a aidé à apprendre comment forcer les utilisateurs/utilisatrices à modifier leurs mots de passe sur WordPress. Vous pouvez également consulter notre guide ultime de sécurité WordPress pour vous aider à améliorer la sécurité de votre site ou notre liste des erreurs WordPress les plus courantes et comment les corriger.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Marko
Article need update.
WPBeginner Support
Thank you for letting us know, we will look into updating the article when we are able
Administrateur
Shallum Vohr
How to force user to update password on first login only?
Millie Aveyard
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrateur
Remi
Very nice idea! It’s a great to give more security to the administration!
Daniel
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the « Limit Login attempts » plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet
This is a very good post ……