Il est important de renforcer la sécurité de votre site WordPress, et un moyen facile d’y parvenir est de retirer l’option de réinitialisation du mot de passe.
Normalement, WordPress permet aux utilisateurs de réinitialiser leur mot de passe en utilisant leur adresse e-mail. Bien que cela soit très pratique, cela peut aussi être une cible pour les pirates informatiques.
Inactif, l’option de réinitialisation du mot de passe ajoute un calque supplémentaire de protection. Même s’il s’agit d’une petite modification, elle peut faire une grande différence. De cette manière, seuls vous ou des utilisateurs/utilisatrices de confiance peuvent modifier les mots de passe.
Dans ce guide, nous allons vous afficher comment retirer l’option de réinitialisation/modification du mot de passe sur WordPress, étape par étape.
Pourquoi supprimer l’option de réinitialisation/modification du mot de passe sur WordPress ?
Si vous autorisez l’enregistrement d’utilisateurs sur votre site WordPress, l’option de réinitialisation du mot de passe permet aux utilisateurs de récupérer les mots de passe perdus. Normalement, vous ne devriez pas modifier cette option.
Cependant, dans certains scénarios d’utilisation, vous pouvez souhaiter supprimer cette option pour certains utilisateurs ou rôles d’utilisateurs sur votre site WordPress.
Par exemple, vous pouvez avoir créé un compte temporaire pour quelqu’un ou un site de démonstration où les utilisateurs peuvent se connecter avec un nom d’utilisateur et un mot de passe de démonstration.
En outre, l’option de réinitialisation du mot de passe offre aux pirates un autre moyen de tenter d’entrer sur votre site web. Si vous êtes particulièrement soucieux de la sécurité de WordPress, vous pouvez supprimer l’option permettant aux utilisateurs de réinitialiser leurs propres mots de passe.
La solution la plus simple serait de supprimer le lien de réinitialisation du mot de passe. Cependant, certains utilisateurs avertis peuvent déjà connaître l’URL à utiliser pour accéder au formulaire de réinitialisation du mot de passe.
Dans cette optique, voyons comment vous pouvez facilement retirer l’option de réinitialisation/modification du mot de passe de WordPress :
Vous êtes prêts ? Premiers pas.
Méthode 1 : Désactiver l’option de réinitialisation/modification du mot de passe à l’aide de LoginPress
La manière la plus simple de désactiver l’option de réinitialisation/changement de mot de passe est d’utiliser LoginPress. Il s’agit d’un plugin WordPress gratuit qui vous permet de personnaliser la page de connexion.
LoginPress offre un large éventail de fonctionnalités permettant de personnaliser l’apparence de la page de connexion afin d’améliorer la sécurité et l’aspect de la page.
Étape 1 : Installer et activer LoginPress
Pour Premiers pas, vous aurez besoin d’installer et d’activer LoginPress. Pour plus de détails, vous pouvez consulter notre tutoriel sur l ‘installation d’une extension WordPress.
Remarque : la version gratuite contient tout ce dont vous avez besoin pour désactiver l’option de réinitialisation/changement du mot de passe. Cela dit, la version payante offre des fonctions de sécurité avancées, telles que la possibilité de personnaliser l’URL de connexion, de limiter les tentatives de connexion, etc.
Étape 2 : Personnaliser les paramètres
Ensuite, nous allons nous rendre sur la page » Réglages » de LoginPress à partir de votre Tableau de bord WordPress. Sur la page des réglages, vous avez une tonne d’options pour personnaliser votre page de connexion. Beaucoup d’autres onglets sont des fonctionnalités payantes, mais les options de réglages sont disponibles pour les utilisateurs/utilisatrices gratuits.
Vous voudrez probablement activer l’option « Forcer la réinitialisation du mot de passe ». Une fois cette option activée, vous devez définir la durée en jours au terme de laquelle l’utilisateur sera contraint de modifier à nouveau son mot de passe.
Une bonne règle de base pour la sécurité de WordPress est de changer de mot de passe tous les 90 jours. Vous pouvez également choisir les rôles d’utilisateur pour lesquels vous souhaitez appliquer cette règle de réinitialisation du mot de passe.
En dessous, vous pouvez également définir le nombre de minutes pendant lesquelles un utilisateur est autorisé à accéder au backend de votre site WordPress avant que la session n’expire. En outre, vous pouvez ajouter des champs de mot de passe personnalisés dans le formulaire d’enregistrement de l’utilisateur, ainsi que d’autres paramètres.
Une fois que vous avez sélectionné toutes les options que vous souhaitez personnaliser, cliquez simplement sur le bouton « Enregistrer les modifications ».
Étape 3 : Désactiver le mot de passe oublié
A partir d’ici, vous voudrez vous diriger vers TitrePress « Personnalisation. Vous accéderez ainsi à un éditeur intégré dans lequel vous pourrez facilement personnaliser tous les aspects de votre page de connexion WordPress.
Pour retirer le message « Mot de passe perdu », vous devez vous rendre dans l’onglet « Pied de page du formulaire ». En cliquant sur l’icône représentant un crayon à côté de « Mot de passe perdu », vous accéderez également à l’onglet « Pied de page du formulaire ».
Ensuite, vous devez désactiver l’option « Activer le texte du bas de page ».
Cela supprimera les options « S’inscrire » et « Mot de passe perdu » de votre page de connexion.
Le plugin offre de nombreuses autres fonctionnalités intéressantes.
Par exemple, vous pouvez modifier la couleur des boutons et du texte, ajouter des logos et même changer l’arrière-plan. Il vous suffit de cliquer sur l’icône du crayon à l’endroit que vous souhaitez modifier ou de naviguer dans le panneau latéral gauche.
Une fois que vous avez fini de personnaliser la page de connexion de WordPress, vous êtes prêt à enregistrer les modifications.
Il suffit de cliquer sur le bouton « Publier » dans le coin supérieur gauche pour finaliser les modifications.
Dernier point, vous devez vous déconnecter de votre tableau de bord WordPress et réessayer de vous connecter pour vérifier que l’option de mot de passe perdu ne s’affiche plus.
Vous avez maintenant réussi à supprimer l’option de réinitialisation/changement de mot de passe de WordPress.
Méthode 2 : Désactiver manuellement l’option de réinitialisation du mot de passe de WordPress à l’aide de WPCode
Cette méthode nécessite l’ajout d’un code à votre site WordPress.
Certains tutoriels vous diront de modifier les fichiers directement, mais nous ne le recommandons pas. Même la plus petite erreur en tapant le code peut provoquer des erreurs sur WordPress ou même rendre votre site inaccessible.
C’est pourquoi nous recommandons d’utiliser un plugin d’extraits de code comme WPCode.
Ce plugin populaire vous permet d’ajouter du code personnalisé dans WordPress sans modifier le fichier functions.php de votre thème, de sorte que vous n’aurez pas à craindre de casser votre site.
Vous pouvez utiliser la version gratuite de WPCode pour ce tutoriel. Cependant, si vous passez à la version premium, vous aurez accès à davantage d’extraits prêts à l’emploi et à des fonctionnalités avancées, notamment un générateur de code, un historique des révisions et une logique conditionnelle intelligente.
Pour commencer, vous devez installer et activer le plugin WPCode. Pour plus d’informations, veuillez consulter notre guide sur l’installation d’un plugin WordPress.
Ensuite, vous devrez aller dans Code Snippets » + Add Snippet.
Aucun extrait de code n’étant prêt à l’emploi pour désactiver l’option de réinitialisation du mot de passe, vous devez ajouter un code personnalisé. Vous pouvez survoler la barre « Ajouter votre code personnalisé » et cliquer sur « Utiliser l’extrait ».
Dans l’écran suivant, vous nommerez votre extrait personnalisé.
Vous pouvez lui donner un nom clair afin de pouvoir vous y référer ultérieurement si vous devez y apporter des modifications.
Ensuite, pour le « Type de code », sélectionnons l’option « PHP Snippet » dans le menu déroulant.
Ensuite, vous devez copier et coller le code suivant dans l’éditeur/éditrices de texte « Prévisualisation du code » :
<?php
/*
* Plugin Name: Disable Password Reset
* Description: Disable password reset functionality. Only users with administrator role will be able to change passwords from inside admin area.
* Version: 1.0
* Author: WPBeginner
* Author URI: http://wpbeginner.com
*/
class Password_Reset_Removed
{
function __construct()
{
add_filter( 'show_password_fields', array( $this, 'disable' ) );
add_filter( 'allow_password_reset', array( $this, 'disable' ) );
add_filter( 'gettext', array( $this, 'remove' ) );
}
function disable()
{
if ( is_admin() ) {
$userdata = wp_get_current_user();
$user = new WP_User($userdata->ID);
if ( !empty( $user->roles ) && is_array( $user->roles ) && $user->roles[0] == 'administrator' )
return true;
}
return false;
}
function remove($text)
{
return str_replace( array('Lost your password?', 'Lost your password'), '', trim($text, '?') );
}
}
$pass_reset_removed = new Password_Reset_Removed();
?>
Voici à quoi devrait ressembler votre écran :
À partir de là, il vous suffit de faire basculer l’option de « Inactif » à « Actif » en haut de la page.
Ensuite, cliquez sur « Enregistrer l’extrait » pour finaliser les modifications.
Réglages, vous êtes prêts !
Maintenant, vous pouvez vous connecter à votre zone d’administration WordPress afin de vérifier si l’option de réinitialisation du mot de passe a été retirée.
Bonus : Désactiver la connexion avec l’adresse e-mail dans WordPress
Maintenant que vous avez appris à désactiver l’option de modification et de réinitialisation du mot de passe, vous voudrez peut-être renforcer la sécurité de votre connexion WordPress. L’une de vos facultatifs est de désactiver la connexion avec l’adresse e-mail.
Imaginons que quelqu’un veuille pirater votre site WordPress. Dans ce cas, le fait d’avoir votre e-mail pourrait l’aider à deviner votre mot de passe ou à pirater votre compte e-mail.
WPCode propose un extrait « Désactiver la connexion par e-mail » que vous pouvez utiliser.
Il suffit d’installer et d’activer l’extension et de rechercher l’extrait de code dans sa bibliothèque pour l’appliquer.
Pour des e-mails plus détaillés, vous pouvez suivre notre guide sur la façon de désactiver la fonctionnalité de connexion avec l’adresse e-mail dans WordPress.
Astuce d’expert : Si votre site WordPress a été piraté, ne paniquez pas – Nous avons un service de réparation de site piraté pour vous aider ! Notre équipe d’experts identifiera et corrigera rapidement les problèmes pour que votre site fonctionne à nouveau sans problème. Nous offrons un nettoyage complet, en veillant à ce que tous les codes malveillants soient retirés. Contactez-nous dès aujourd’hui et retrouvez votre tranquillité d’esprit!
Nous espérons que cet article vous a aidé à apprendre comment retirer l’option de réinitialisation/modification du mot de passe sur WordPress. Vous pouvez également consulter nos guides sur la façon de protéger par mot de passe votre répertoire d’administration WordPress (wp-admin) et sur la façon de forcer la déconnexion de tous les utilisateurs/utilisatrices dans WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Billy
The Script you wrote on the top Method 2: Manually Disable Password Reset Option From WordPress. Is this still good ? Does it need to be updated ?
WPBeginner Support
The second method in our article should still work unless we hear otherwise.
Administrateur
CG
Hi,
how to remove all the other Options from the user-page?
WPBeginner Support
While we don’t have a tutorial for that at the moment, for what it sounds like you’re wanting you may want to take a look at our guide on How to Limit Dashboard Access
Administrateur
Rich Adams
Creating the plugin works perfectly, thank you.
Hoowever the Security plugin WordFence shows a warning now:
« The Plugin « Disable Password Reset » appears to be abandoned (updated November 10, 2016, tested to WP 4.6.12).
Type: Plugin Abandoned »
Is there a way to update this plugin to avoid the warning?
TIA!
WPBeginner Support
Hi Rich,
Try changing plugin name in the code.
Administrateur
Francine Paino
I am a member of a writing organization and unfortunately, the member who was in charge of our website died suddenly. No one knows the password. We have created a new website on WordPress, but we need to take down the old one. Having two sites is causing a great deal of confusion.
How do we bypass the password? Is there someone to contact regarding this problem?
Thank you in advance for your assistance with this problem.
FP
WPBeginner Support
Hi Francine,
If the old website is a self hosted WordPress.org website, then it is hosted by a hosting company. You can request the hosting company to take down the website. However, hosting companies usually do this only when the request is made by a deceased customer’s next of kin or someone with legal rights.
Administrateur
Imer García
That’s still works with the recent versions of WP? Because Im just do it in 2 hosted in my local machine, and nothing happens. The plugin is installed and activated, but the « Forgot Your Password » option remains in the login form.
Thanks
Kristi Buchanan
I recently got a new computer and I need to know how disable the password to be able to get into it so I can finish setting it up?
Lo
Great! thank you
Priya Singh
Hi Team,
This is extremely fantastic tutorial you have shared on this amazing blog because i was thinking to try it through my dashboard but i was unable to do and when i visited on this awesome WPbeginner site and i found it.
so in this case thanks a lot .
Saeed Khan
The plugin generated 3 characters of unexpected output during activation. If you notice “headers already sent” messages, problems with syndication feeds or other issues, try deactivating or removing this plugin.
Please help how to fixed this issue??
WPBeginner Support
If you are using the code method, then this could mean that there is extra space after php closing tag. You can delete those extra spaces, you can also delete the PHP closing tag ?>
Administrateur
Adam Edgar
that doesnt remove my error message
« The plugin generated 1 characters of unexpected output during activation. If you notice “headers already sent” messages, problems with syndication feeds or other issues, try deactivating or removing this plugin. »