Configurer les accès de connexion à votre site

Ce guide explique un réglage avancé permettant de gérer les connexions à votre site à l’aide de l’authentification sécurisée de WordPress.com. Bien que la plupart des sites n’aient pas besoin d’ajuster ce réglage, il est généralement désactivé sur les sites Web avec une fonctionnalité d’adhésion ajoutée via une extension.

Cette fonctionnalité est disponible sur les sites utilisant les plans WordPress.com Business et Commerce, ainsi que l’ancien plan Pro. Si vous avez un plan Business, assurez-vous de l’activer. Les sites utilisant les plans Gratuit, Personnel et Premium doivent mettre à niveau leur plan pour avoir accès à cette fonctionnalité.

La connexion à WordPress.com, également appelée Secure Sign-On (SSO), connecte votre tableau de bord WordPress.com et le tableau de bord WP Admin pour utiliser les mêmes informations de connexion. Il vous permet d’accéder rapidement et en toute sécurité à tous les réglages du tableau de bord de votre site sans avoir besoin d’une connexion séparée pour WP Admin.

La connexion à WordPress.com est gérée par notre extension Jetpack. Entre autres fonctionnalités, Jetpack établit la communication entre le tableau de bord WordPress.com et le tableau de bord WP Admin.

Vous pouvez désactiver SSO, ce qui crée deux types d’utilisateurs autorisés :

• Utilisateurs de WordPress.com : personnes qui se connectent via WordPress.com pour accéder à votre site après que vous leur avez accordé l’accès.
• Utilisateurs locaux : personnes qui se connectent via adressedevotresite.com/wp-admin après avoir créé leur compte utilisateur (manuellement ou via une extension). En savoir plus sur les utilisateurs locaux.

Si vous invitez un utilisateur WordPress.com, un compte utilisateur local sera automatiquement créé pour lui lorsqu’il acceptera l’invitation. Cependant, si vous créez un utilisateur local, vous pouvez le faire avec ou sans l’inviter à créer un compte WordPress.com associé.

Dans la plupart des cas, il est recommandé de laisser la fonctionnalité de connexion à WordPress.com (SSO) activée. Une exception courante concerne les sites utilisant des extensions d’adhésion qui nécessitent que les membres se connectent à votre site Web.

Par défaut, la fonctionnalité de connexion à WordPress.com est activée. Cependant, si vous (ou une extension) avez désactivé la fonctionnalité, vous pouvez la réactiver ainsi :

1. Consultez le tableau de bord de votre site.
2. Accédez à Jetpack → Réglages.
3. Cliquez sur l’onglet intitulé « Sécurité ».
4. Faites défiler jusqu’à la section « Connexion à WordPress.com ».

5. Activez l’option intitulée « Autoriser les utilisateurs à se connecter à ce site à l’aide de comptes WordPress.com ».
6. Ajustez les réglages suivants qui s’appliqueront aux autres utilisateurs dont vous avez approuvé la connexion à votre site :
   • Associer les comptes à l’aide des adresses de messagerie : conservez ce réglage pour vous assurer que WordPress.com peut associer tous les comptes locaux de votre site qui utilisent la même adresse e-mail qu’un compte WordPress.com.
   • Exiger l’identification à deux facteurs : améliorez la sécurité en exigeant l’identification à deux facteurs lorsque les utilisateurs se connectent via WordPress.com. Tout utilisateur qui n’a pas encore configuré l’identification à deux facteurs dans son compte sera invité à la configurer avant de pouvoir se connecter.

Désactivez la connexion à WordPress.com si vous avez besoin d’une connexion séparée pour le tableau de bord WP Admin.

Par exemple, si votre site dispose d’une extension d’adhésion personnalisée, vous devrez peut-être désactiver la connexion à WordPress.com pour que l’extension fonctionne correctement. Suivez le guide de configuration de votre extension pour créer une page de connexion. Si vous configurez une connexion et qu’elle vous redirige vers l’écran de connexion WordPress.com plutôt que vers celui de votre extension, vous devrez probablement désactiver la connexion à WordPress.com comme indiqué dans les étapes ci-dessous.

Par défaut, la connexion à WordPress.com est activée. Par conséquent, il ne vous ne sera jamais demandé de vous connecter à WP Admin car nous reconnaissons automatiquement votre compte WordPress.com.

Cependant, une extension d’adhésion peut nécessiter que la connexion à WordPress.com soit désactivée pour fonctionner correctement. Avant de désactiver la connexion à WordPress.com, configurez un mot de passe unique pour WP Admin en procédant comme suit :

1. Vérifiez que la connexion à WordPress.com est activée.
2. Accédez à Utilisateurs → Profil.
3. Faites défiler la page jusqu’à la section « Gestion de compte ».
4. Cliquez sur le lien en regard de « Nouveau mot de passe ». Un nouveau mot de passe vous sera fourni, que vous pourrez modifier si vous le souhaitez.
   • Ce mot de passe n’affecte pas le mot de passe de votre compte WordPress.com.
5. Enregistrez le mot de passe dans un endroit sûr !

Pour désactiver la connexion à WordPress.com, assurez-vous d’avoir enregistré votre mot de passe WP Admin, puis procédez comme suit :

1. Consultez le tableau de bord de votre site.
2. Accédez à Jetpack → Réglages.
3. Cliquez sur l’onglet intitulé « Sécurité ».
4. Faites défiler jusqu’à la section « Connexion à WordPress.com ».
5. Désactivez l’option intitulée « Autoriser les utilisateurs à se connecter à ce site à l’aide de comptes WordPress.com ».
6. Vous pouvez désormais utiliser le mot de passe défini pour WP Admin pour vous connecter à l’espace d’administration de votre site.

Dans certains cas, les membres peuvent ne pas être en mesure de se connecter, même après avoir désactivé la connexion à WordPress.com. Dans ce cas, vous devrez peut-être désactiver Jetpack Protect en dernier recours :

1. Consultez le tableau de bord de votre site.
2. Accédez à Jetpack → Réglages.
3. Cliquez sur l’onglet intitulé « Sécurité ».
4. Désactiver l’option « Protection contre les attaques par force brute ».
5. Si désactiver la protection contre les attaques par force brute ne résout pas le problème de connexion de vos membres, réactivez-la.

Jetpack Protect est conçu pour protéger votre site contre les activités malveillantes. Par conséquent, ne le désactivez qu’en dernier recours.

Les utilisateurs locaux peuvent se connecter via /wp-admin, indépendamment d’un compte WordPress.com.

Pour créer un compte WP Admin local sur votre site Web, procédez comme suit :

1. Consultez le tableau de bord de votre site.
2. Accédez à Utilisateurs.
3. Cliquez sur le bouton « Ajouter un nouvel utilisateur ».
4. Remplissez les champs d’identifiant, d’adresse e-mail et autres champs nécessaires pour le nouvel utilisateur.
5. Par ailleurs, vous pouvez cocher la case « Inviter un utilisateur sur WordPress.com » pour inviter ce nouvel utilisateur à créer un compte WordPress.com en association avec son compte utilisateur local sur votre site.
6. Cliquez sur le bouton « Ajouter un nouvel utilisateur » pour créer le nouvel utilisateur.

Si la connexion à WordPress.com est activée, les utilisateurs locaux ne peuvent pas modifier les informations de leur profil (telles que leur nom, leur bio et leur adresse e-mail) tant que la connexion à WordPress.com n’est pas désactivée. Vous pouvez également les inviter sur WordPress.com en suivant les étapes indiquées dans la section suivante.

Vous pouvez inviter des utilisateurs locaux à créer un compte WordPress.com correspondant en procédant comme suit :

1. Consultez le tableau de bord de votre site.
2. Accédez à Utilisateurs.
3. Dans la colonne « État SSO », tous les utilisateurs non connectés à un compte WordPress.com disposeront d’un lien « Envoyer une invitation ».
4. Cliquez sur « Envoyer une invitation » pour envoyer une invitation par e-mail à l’utilisateur afin de créer un compte WordPress.com associé :

Les sites WordPress.com compatibles avec les extensions disposent d’une option « Tout le monde peut s’inscrire », qui permet à tout le monde de créer un compte via la page d’inscription par défaut.

Pour activer le réglage « Tout le monde peut s’inscrire », procédez comme suit :

1. Choisissez l’extension d’adhésion la mieux adaptée à vos besoins.
2. Consultez la documentation de l’extension que vous avez choisie pour savoir si vous devez activer le réglage « Tout le monde peut s’inscrire ».
3. Le cas échéant, accédez à Réglages → Général dans le tableau de bord de votre site.
4. Localisez le réglage « Inscription » et cochez ou décochez la case selon les besoins.
5. Cliquez sur le bouton « Enregistrer les modifications » au bas de l’écran.

En fonction du rôle par défaut accordé, ce réglage peut engendrer un risque de sécurité allant de l’octroi d’un contrôle total sur un site à l’autorisation d’utilisateurs indésirables. Ce réglage est donc désactivé par défaut.

Dans de rares cas, vous pouvez rencontrer l’un des problèmes suivants avec la connexion à WordPress.com :

Option 1 : réinitialiser manuellement le mot de passe

Vous pouvez réinitialiser manuellement le mot de passe WP Admin en activant temporairement la connexion à WordPress.com, ce qui rétablira votre accès au tableau de bord WP Admin. Procédez comme suit :

1. Connectez-vous à votre tableau de bord WordPress.com.
2. Accédez à Jetpack → Réglages→ Sécurité.
3. Faites défiler jusqu’à la section « Connexion à WordPress.com ».
4. Activez l’option intitulée « Autoriser les utilisateurs à se connecter à ce site à l’aide de comptes WordPress.com ».
5. Mettez ensuite à jour votre mot de passe WP Admin et désactivez à nouveau la connexion à WordPress.

Option 2 : utiliser le lien Mot de passe oublié de WP Admin

1. Visitez la page qui vous invite à vous connecter.
2. Cliquez sur le lien « Mot de passe oublié ? » sur la page de connexion.
3. Saisissez votre identifiant ou l’adresse e-mail enregistrée pour ce compte.
4. Consultez l’adresse e-mail de votre compte et suivez les instructions.
5. Une fois connecté(e), veillez à remplacer votre mot de passe par un mot de passe sécurisé et facile à mémoriser.

« J’ai plusieurs administrateurs / utilisateurs sur mon site Web, mais, pour une raison quelconque, ils ne peuvent pas voir le site alors que je peux le voir ! Que s’est-il passé et que dois-je faire ? »

En général, cela se produit lorsque Jetpack n’est plus connecté au site Web et qu’il a été reconnecté. Dans certains cas, les autres administrateurs ou utilisateurs (éditeurs, auteurs, etc.) ne peuvent pas voir le site Web car il ne sont pas encore connectés au site à partir de leur compte WordPress.com.

Pour remédier à cette situation, procédez comme suit :

1. Vérifiez que la connexion à WordPress.com est active dans Jetpack → Réglages → Sécurité comme indiqué ci-dessus.
2. Demandez à vos utilisateurs d’effectuer les opérations suivantes :
   • Se connecter au tableau de bord du site à l’aide de leur identifiant et leur mot de passe WordPress.com.
   • Ouvrir un nouvel onglet dans leur navigateur et accéder à l’adresse WP Admin du site (par exemple, monsiteweb.com/wp-admin).
   • Cliquer sur le bouton « Configurer Jetpack », puis sur le bouton « Approuver » :

Cela connectera Jetpack à leur compte WordPress.com afin qu’ils puissent désormais accéder au site comme d’habitude dans leur compte WordPress.com.