Comment empêcher les réinitialisations de mot de passe non autorisées sur WordPress

Comment empêcher les réinitialisations de mot de passe non autorisées sur WordPress

Si vous avez commencé à recevoir des e-mails de réinitialisation de mot de passe WordPress que vous n’avez jamais demandés, vous n’êtes pas seul. Ces demandes ont tendance à apparaître de nulle part, parfois quelques-unes par jour et parfois des dizaines à la fois, et elles proviennent presque toujours de bots automatisés plutôt que d’une personne réelle essayant de pirater votre compte.

La partie rassurante est que ces e-mails ne signifient pas que votre site a été piraté. Quiconque connaît ou devine l’adresse e-mail d’un compte peut demander à WordPress d’envoyer un lien de réinitialisation, donc les demandes sont plus ennuyeuses que dangereuses. Elles valent toujours la peine d’être arrêtées avant que le spam ne s’aggrave.

D'après mon expérience, les petits sites Web réfléchissent rarement à cela jusqu’à ce que la boîte de réception commence à se remplir. L’hypothèse courante est que vous devez être un grand site bien connu pour attirer le spam, donc les nouveaux sites remettent cela à plus tard. J’ai vu cette mentalité se transformer en beaucoup de travail de nettoyage évitable que quelques minutes de configuration auraient évité.

Arrêter ces demandes est plus simple que vous ne le pensez. Donc, dans ce guide, je vais vous expliquer les moyens les plus simples et les plus efficaces pour arrêter les réinitialisations de mot de passe non autorisées sur votre site WordPress, en commençant par expliquer pourquoi elles se produisent, puis en abordant les paramètres exacts qui les bloquent.

Arrêtez le spam des formulaires WordPress maintenant

Pourquoi recevez-vous des demandes de réinitialisation de mot de passe non autorisées ?

La plupart des demandes de réinitialisation de mot de passe non autorisées proviennent de bots de spam qui parcourent le Web à la recherche de pages de connexion et de mots de passe oubliés de WordPress. Lorsqu’ils en trouvent une, ils envoient des demandes de réinitialisation en utilisant les adresses e-mail qu’ils ont collectées ou devinées, c’est pourquoi les e-mails semblent aléatoires et arrivent par rafales.

WordPress leur facilite la tâche par conception, car le flux de réinitialisation par défaut sur wp-login.php permet à quiconque de soumettre un e-mail ou un nom d’utilisateur et de déclencher un lien de réinitialisation sans vérification préalable. C’est pratique pour les vrais utilisateurs qui sont bloqués, mais c’est aussi une porte ouverte à l’abus automatisé.

Si vous avez reçu le message « Quelqu’un a demandé une réinitialisation de mot de passe pour le compte suivant », c’est l’e-mail dont je parle. Le voir une ou deux fois est normal, mais le voir encore et encore est le schéma typique des bots.

Le lien de réinitialisation lui-même est à usage unique et expire, donc une demande isolée ne donnera à personne l’accès à votre compte. Les demandes valent toujours la peine d’être arrêtées, à la fois pour nettoyer votre boîte de réception et pour fermer un chemin que les bots adorent sonder. Vous pouvez même personnaliser le formulaire de réinitialisation de mot de passe WordPress par défaut pour mieux contrôler son fonctionnement.

Comment empêcher les réinitialisations de mot de passe non autorisées sur WordPress

Ci-dessous, je commencerai par expliquer pourquoi ces demandes continuent d’atterrir dans votre boîte de réception, puis je partagerai mes méthodes éprouvées pour vous en débarrasser définitivement.

1. Installez WPForms et activez le module complémentaire d'inscription d'utilisateur

La page d'accueil de WPForms

Pour lutter efficacement contre le spam sur votre formulaire de réinitialisation de mot de passe, vous aurez besoin d'un constructeur de formulaires équipé d'outils de prévention du spam robustes.

WPForms est l'un des rares plugins qui prend le spam très au sérieux, c'est pourquoi il offre plusieurs défenses anti-spam pour vos formulaires.

Bien que vous puissiez accéder à de nombreux filtres anti-spam puissants avec WPForms Lite, j'utiliserai WPForms Pro pour des techniques anti-spam plus complètes.

Une fois que vous avez acquis la licence WPForms Pro, allez sur votre compte, connectez-vous pour accéder à votre page de compte WPForms et naviguez vers l'onglet Téléchargements. Cliquez sur le bouton Télécharger WPForms .

Téléchargez WPForms depuis votre page de compte.

Important : pendant que vous êtes sur cette page, copiez votre numéro de clé de licence. Vous en aurez besoin dans les étapes suivantes.

Ensuite, rendez-vous sur votre site WordPress et connectez-vous. Sur le tableau de bord, cliquez sur Plugins » Ajouter. Cliquez ensuite sur le bouton Téléverser un plugin. Attachez le fichier .zip de WPForms que vous avez téléchargé et installez-le.

Bouton d'importation de plugin sur WordPress

Une fois que WordPress a terminé l'installation de votre plugin WPForms, cliquez sur Activer le plugin.

Flèche rouge pointant vers le bouton 'Activer le plugin'

Maintenant que le plugin est installé et activé, vous devriez voir WPForms dans la barre latérale de navigation de gauche. Cliquez sur WPForms » Paramètres, et l'onglet des paramètres Général s'ouvrira par défaut.

Vous devriez voir les paramètres de la Clé de licence en haut. Collez la clé de licence que vous avez copiée depuis votre page de compte.  Cliquez ensuite sur Vérifier la clé pour activer WPForms.

Entrez votre clé de licence WPForms dans l'onglet des paramètres généraux.

Maintenant que WPForms est installé sur votre site, il ne vous reste plus qu'à prendre une petite seconde pour installer le module d'extension d'inscription d'utilisateur.

Depuis votre tableau de bord WordPress, cliquez sur WPForms » Modules d'extension. N'oubliez pas que vous devez disposer d'une licence Pro ou supérieure pour accéder à ce module d'extension.

Localisez le module d'extension d'inscription d'utilisateur et cliquez sur le bouton Installer le module d'extension.

Une fois le module d'extension installé, vous verrez un interrupteur que vous pourrez utiliser pour l'activer et le désactiver à votre guise.

Activez le module d'inscription d'utilisateur.

Si vous rencontrez des problèmes, lisez nos instructions détaillées sur l'installation et l'activation des modules d'extension WPForms. Vous pouvez également consulter ce guide complet sur l'installation des plugins WordPress.

2. Créez un formulaire de réinitialisation de mot de passe

Une fois installé et activé, nous sommes prêts à créer un formulaire ! Tout d'abord, depuis votre tableau de bord WordPress, cliquez sur WPForms » Nouveau.

Ajouter un nouveau formulaire

Après cela, trouvez la barre de recherche de modèles, entrez Formulaire de réinitialisation de mot de passe utilisateur. Survolez l'option, puis cliquez sur Utiliser le modèle.

Sélectionnez le modèle de formulaire de réinitialisation de mot de passe utilisateur.

Le modèle se chargera dans le constructeur de formulaires, et vous verrez qu'il est très simple. Vous pouvez apporter les personnalisations que vous souhaitez, comme l'ajout d'un ou plusieurs filtres anti-spam pour éloigner les robots.

3. Activez la prévention du spam sur le formulaire de réinitialisation de mot de passe

Par défaut, WPForms dispose d'une protection anti-spam moderne pour tous les formulaires. Mais vous pouvez renforcer votre sécurité en activant des mesures de prévention du spam supplémentaires en plus du filtre par défaut.

Explorons certaines de ces options. Tout d'abord, vous devrez accéder à Paramètres » Protection anti-spam et sécurité, où vous trouverez toutes les fonctionnalités liées à l'anti-spam en un seul endroit.

Protection contre le spam et sécurité

Vous pouvez également consulter notre guide complet sur la prévention du spam des formulaires de contact pour en savoir plus sur les différents types de techniques anti-spam que vous pouvez utiliser pour vos formulaires.

Akismet pour le formulaire de réinitialisation de mot de passe

Akismet est sans doute la solution anti-spam la plus fiable dans le monde de WordPress. Et elle s'intègre parfaitement à WPForms sans nécessiter de configuration supplémentaire.

Tout ce dont vous avez besoin, c'est qu'Akismet soit installé et activé sur votre site, et vous pourrez alors facilement l'activer sur votre formulaire en appuyant sur l'interrupteur Activer la protection anti-spam Akismet.

Activer la protection anti-spam Akismet

Akismet fonctionne intelligemment pour détecter le spam en analysant les modèles dans les informations fournies par le formulaire.

Si Akismet détecte quelque chose de suspect, il bloquera la soumission. Voici à quoi cela ressemble sur le frontend pour l'utilisateur.

Échec de la vérification anti-spam

Vous pouvez suivre ce tutoriel complet sur le filtrage du spam avec Akismet pour utiliser cet outil puissant contre les spambots.

Alternativement, vous pouvez utiliser différents services de captcha et même Cloudflare Turnstile.

Cloudflare Turnstile pour prévenir les abus de réinitialisation de mot de passe

Pour configurer Turnstile avec WPForms, vous pouvez aller dans le menu principal Paramètres du menu d'administration WordPress et cliquer sur l'onglet CAPTCHA. Vous y trouverez des options d'intégration pour hCaptcha, Google reCAPTCHA et Cloudflare Turnstile.

Configuration de Cloudflare Turnstile

Vous pouvez trouver le tutoriel complet sur la configuration de Cloudflare Turnstile pour vos formulaires ici. J'ai constaté d'excellents résultats avec Turnstile, le nombre de soumissions de spam ayant considérablement diminué sur le site Web d'une startup d'un ami que j'ai aidé à développer.

Lorsque vous aurez activé Turnstile sur votre site, un badge de vérification apparaîtra en haut à droite de votre générateur de formulaires.

Cloudflare Turnstile activé

Temps minimum pour soumettre

Le réglage de délai minimum de soumission est mon arme secrète contre le spam. C'est l'une des techniques de prévention du spam les plus simples. Et pourtant, elle reste l'une des plus efficaces.

C'est parce que les robots de spam sont des programmes automatisés conçus pour fonctionner rapidement, soumettant des tonnes de formulaires de manière répétée sur une courte période. En ajoutant une simple limite de temps minimum, vous pouvez battre de nombreux types de spambots à leur propre jeu.

Pour utiliser ce filtre anti-spam, cliquez simplement sur le bouton bascule Activer le délai minimum de soumission et insérez une valeur en secondes.

Temps minimum pour soumettre

Un formulaire de réinitialisation de mot de passe est très court, vous pouvez donc vous attendre à ce que de vraies personnes prennent au moins 2 secondes pour remplir le formulaire. Cependant, les robots le rempliront en quelques millisecondes, ce qui signifie que ces soumissions fausses et non autorisées ne seront jamais autorisées à passer.

Filtres de mots-clés et de pays

Les filtres de mots-clés et de pays sont assez polyvalents car ils ne sont pas nécessairement utilisés pour bloquer le spam. Mais si vous faites attention, vous pouvez parfois trouver les mêmes types de modèles de mots-clés répétés par les spambots.

Par exemple, il peut s'agir de caractères dans une autre langue, de certains noms de sites Web utilisés par les spammeurs, ou quelque chose de similaire. Le filtre de mots-clés peut bloquer efficacement de telles instances de spam si vous avez identifié une utilisation fréquente de mots-clés que vous ne vous attendez pas à ce que vos vrais visiteurs utilisent.

Filtres par pays et par mots-clés

De même, le filtre de pays est très utile dans les situations où le spam provient d'un pays spécifique. Bien que le blocage d'un pays entier d'accéder à vos formulaires puisse ne pas être une bonne option si vous avez de vrais clients ou visiteurs situés dans ce pays, cette fonctionnalité fonctionne très bien pour les entreprises locales avec une séparation claire entre l'emplacement de votre public réel et les spammeurs.

Mais vous devez avoir des informations claires sur l'origine du spam. Le moyen le plus simple d'obtenir ces informations est d'utiliser les fonctionnalités de géolocalisation de WPForms ou d'inférer l'emplacement en fonction de l'adresse IP de l'utilisateur.

Astuce de pro

Vous pouvez collecter l'adresse IP de chaque soumission de formulaire sans la demander spécifiquement en utilisant le champ caché de WPForms. Cependant, assurez-vous de respecter les exigences légales applicables à votre juridiction avant de stocker des métadonnées telles que les adresses IP.

Ajouter un captcha personnalisé

Le Captcha personnalisé est un autre antidote simple mais efficace contre le spam. Pour l'utiliser, ouvrez votre générateur de formulaires, faites défiler les champs fantaisistes et faites glisser ou cliquez sur l'option Captcha personnalisé pour l'ajouter à votre formulaire.

Ajoutez un captcha personnalisé à votre formulaire WordPress.

Il existe 2 types de questions Captcha personnalisées que vous pouvez ajouter : mathématiques et question-réponse.

Captchas mathématiques

Le Captcha personnalisé par défaut est une question mathématique. Cliquez dessus dans le générateur de formulaires pour ouvrir les options du champ.

Utilisez un captcha personnalisé pour empêcher les réinitialisations de mot de passe non autorisées sur WordPress

Si vous décidez de conserver le problème mathématique, il générera automatiquement une nouvelle question chaque fois que la page se charge et pourra être une addition, une soustraction ou une multiplication.

Si vous souhaitez personnaliser le Captcha Mathématique, vous pouvez le faire avec un code personnalisé. Veuillez consulter notre tutoriel sur comment modifier le Captcha Mathématique pour plus de détails.

Captchas de questions et réponses

Vous pouvez également le changer en une question et réponse personnalisées. Cette option vous permet de créer vos propres questions auxquelles les utilisateurs doivent répondre. Veillez à ce que ces questions portent sur des connaissances générales et soient faciles à épeler.

Utilisez un captcha personnalisé avec une question et une réponse sur votre formulaire WordPress.

Par défaut, il n'y a qu'une seule question, mais vous pouvez en ajouter d'autres. Votre formulaire les parcourra, affichant une question différente chaque fois que la page se charge ou se rafraîchit.

Et c'est vraiment tout ce qu'il y a à faire pour ajouter un champ Captcha personnalisé à votre formulaire !

Pour des options de personnalisation complètes, consultez notre documentation sur comment installer et utiliser le module complémentaire Captcha personnalisé.

4. Enregistrez et publiez votre formulaire

En peu de temps, vous avez installé WPForms et créé votre propre formulaire de réinitialisation de mot de passe utilisateur pour aider à arrêter les demandes de réinitialisation de mot de passe non autorisées dans WordPress.

Assez facile, non ?

Tout ce qu'il reste à faire maintenant est d'enregistrer et de publier votre formulaire. Cette partie devrait être un jeu d'enfant.

Tout d'abord, trouvez ce bouton orange Enregistrer dans le coin supérieur droit et cliquez dessus. Vous ne voulez pas perdre votre travail !

Enregistrez votre formulaire dans WPForms.

Une fois votre formulaire enregistré, déplacez-vous vers la gauche et cliquez sur le bouton Intégrer.

Vous avez 2 options pour intégrer votre formulaire sur votre site Web. Vous pouvez soit l'intégrer sur une page existante, soit en créer une nouvelle.

Si vous choisissez une page existante, une liste des pages de votre site Web s'affichera dans un menu déroulant pour que vous puissiez sélectionner la page que vous souhaitez utiliser.

Pour notre exemple, intégrons ce formulaire sur une nouvelle page. Après avoir sélectionné cette option, vous verrez une invite pour donner un nom à votre page. Une fois que vous avez nommé la nouvelle page, cliquez sur C'est parti ! Votre nouvelle page s'ouvrira avec le formulaire intégré, et vous pourrez y apporter des modifications supplémentaires.

Intégrez votre formulaire sur une nouvelle page depuis WPForms.

Si vous n'êtes pas prêt à intégrer votre formulaire tout de suite, ne vous inquiétez pas. Il existe d'autres moyens de le faire plus tard, lorsque vous serez prêt. Nous avons plus d'informations sur les moyens d'intégrer vos formulaires sur votre site Web, alors consultez-les quand vous serez prêt !

Moyens supplémentaires de verrouiller les réinitialisations de mot de passe WordPress

Le formulaire de réinitialisation de mot de passe que vous venez de créer est votre plus solide ligne de défense, mais quelques habitudes au niveau de WordPress rendent encore plus difficile pour les bots de causer des problèmes. Je les considère comme la base sur chaque site sur lequel je travaille.

La première chose que j'active est l'authentification à deux facteurs, car elle bloque une connexion même lorsqu'un bot a réussi à obtenir un mot de passe en demandant un second code à partir d'une application, d'un SMS ou d'un e-mail. La plupart des bons plugins de sécurité l'incluent, ainsi que les deux éléments suivants.

La couche suivante consiste à limiter les tentatives de connexion, ce qui plafonne le nombre d'essais qu'une IP peut faire avant un blocage temporaire et arrête les scripts de force brute qui apparaissent souvent avec le spam de réinitialisation. Un plugin de sécurité WordPress dédié s'en charge pour vous et enregistre les tentatives, afin que vous puissiez voir exactement ce qui frappe votre site.

Enfin, utilisez des mots de passe forts et uniques pour chaque compte administrateur et changez-les de temps en temps. Rien de tout cela ne remplace le formulaire protégé contre le spam ci-dessus, mais combinées, ces étapes comblent les lacunes sur lesquelles comptent les attaques automatisées.

FAQ sur les réinitialisations de mot de passe WordPress non autorisées

Les réinitialisations de mot de passe WordPress non autorisées apparaissent souvent une fois que les propriétaires de sites commencent à recevoir ces e-mails de réinitialisation. Voici les réponses aux questions que j'entends le plus souvent concernant le spam de réinitialisation de mot de passe et la sécurisation de votre connexion.

Une demande de réinitialisation de mot de passe WordPress est-elle un signe que mon site a été piraté ?

Pas en soi. Une demande de réinitialisation signifie simplement que quelqu'un, ou plus souvent un bot, a entré un e-mail ou un nom d'utilisateur sur votre page de connexion et a demandé un lien de réinitialisation.

Comme ce lien est à usage unique et expire, recevoir l'e-mail ne signifie pas que quelqu'un a accédé à votre compte. Si les demandes continuent d'arriver, considérez-le comme une invitation à ajouter le formulaire anti-spam et les étapes de sécurité de ce guide plutôt qu'un signe d'une violation.

Comment puis-je savoir si quelqu'un d'autre essaie de réinitialiser mon mot de passe WordPress ?

Si quelqu'un d'autre essaie de réinitialiser votre mot de passe WordPress, vous recevrez probablement des e-mails vous informant qu'une demande a été faite. Vous pouvez également vérifier les journaux de votre site Web pour les tentatives de connexion. Si tel est le cas, changez votre mot de passe.

En créant un formulaire de réinitialisation de mot de passe avec anti-spam activé sur WPForms, vous ajoutez une couche de sécurité supplémentaire qui aidera à éliminer les tentatives de bots.

Puis-je désactiver complètement la fonctionnalité de réinitialisation de mot de passe WordPress ?

Vous le pouvez, bien que cela nécessite un peu de code personnalisé ou un petit plugin qui supprime le lien mot de passe oublié et bloque le point de terminaison de réinitialisation. Cela fonctionne pour un site à auteur unique où personne d'autre n'a besoin de récupérer une connexion.

Pour la plupart des sites, cependant, désactiver complètement les réinitialisations bloque également les utilisateurs légitimes, donc un formulaire de réinitialisation protégé contre le spam est le terrain d'entente le plus sûr. Il maintient la fonctionnalité opérationnelle pour les vraies personnes tout en filtrant les bots.

Quelles mesures supplémentaires puis-je prendre pour protéger mon site contre les réinitialisations de mot de passe WordPress non autorisées ?

Créez toujours un mot de passe fort et unique pour le site. De nombreux navigateurs Web ou outils comme 1Password vous aideront même à faire des suggestions. Changez également votre mot de passe régulièrement.

Il est également sage d'activer la 2FA (authentification à 2 facteurs). Elle ajoute une étape à votre processus de connexion, mais crée une autre couche de sécurité WordPress dans le processus.

Par exemple, vous pourriez avoir à entrer votre mot de passe, puis également à entrer un code d'authentification que vous obtenez par e-mail, SMS ou une application d'authentification.

Quel type de sécurité de site dois-je envisager pour mon site WordPress ?

En plus de ce qui a déjà été suggéré, utilisez le chiffrement SSL sur votre site pour protéger les données. Vous pouvez également implémenter des limites de débit, ce qui aidera à prévenir les attaques par force brute qui proviennent généralement de bots.

Si d'autres utilisateurs ont des comptes sur votre site, il est également judicieux d'avoir une sorte de processus de vérification des utilisateurs.

Ensuite, essayez de personnaliser vos pages protégées par mot de passe

Vous avez maintenant les étapes nécessaires pour enfin éliminer les réinitialisations de mot de passe non autorisées dans WordPress. Lisez maintenant comment personnaliser une page protégée par mot de passe dans WordPress.

Arrêtez le spam de réinitialisation de mot de passe maintenant

Prêt à créer votre formulaire ? Commencez dès aujourd'hui avec le plugin de création de formulaires WordPress le plus simple.  WPForms Pro inclut de nombreux modèles gratuits et offre une garantie de remboursement de 14 jours.

Si cet article vous a aidé, suivez-nous sur Facebook et Twitter pour plus de tutoriels et de guides WordPress gratuits.

Divulgation : Notre contenu est soutenu par nos lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Découvrez comment WPForms est financé, pourquoi c'est important et comment vous pouvez nous soutenir.

Renee DeCoskey

Renee DeCoskey écrit des articles de blog depuis 2001 et utilise WordPress depuis 2007. Quand elle n'écrit pas sur les plugins WordPress, vous pouvez la trouver blottie avec un livre ou s'amusant au Rotary. En savoir plus

Le meilleur plugin de création de formulaires par glisser-déposer pour WordPress

Facile, rapide et sécurisé. Rejoignez plus de 6 millions de propriétaires de sites Web qui font confiance à WPForms.

Ajouter un commentaire

Nous sommes heureux que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre politique de confidentialité, et tous les liens sont nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Ce formulaire est protégé par Cloudflare Turnstile et la politique de confidentialité et les conditions d'utilisation de Cloudflare s'appliquent.