Il n’y a aucun doute que la sécurité de WordPress est importante. Après tout, une brèche peut entraîner de sérieux dommages à votre site. Cependant, avec les pirates qui utilisent des robots pour attaquer rapidement et efficacement des sites Web, il peut sembler que les chances sont contre vous.
Heureusement, il existe un outil très simple que vous pouvez utiliser pour empêcher les robots et les spammeurs d’accéder à votre site WordPress. L’intégration d’un test de Turing entièrement automatisé pour distinguer les ordinateurs des humains (CAPTCHA) est une façon simple et peu coûteuse d’améliorer la sécurité de votre site Web.
Ce guide vous présentera les CAPTCHAs et la façon dont ils peuvent jouer un rôle dans la protection de votre site contre les pirates et le spam. Ensuite, nous vous expliquerons comment les ajouter à votre site et vous présenterons certaines des meilleures extensions WordPress de CAPTCHA.
Commençons !
Comprendre les CAPTCHAs
Vous avez probablement vu plusieurs fois des CAPTCHAs en ligne. Ils peuvent prendre différentes formes, l’une des plus courantes étant le texte déformé qu’il faut déchiffrer. D’autres exigent que vous sélectionniez des images répondant à certaines spécifications parmi un groupe de photos basse résolution :
Dans tous les cas, le défi présenté est un défi que la plupart des humains devraient être capables de relever facilement. Cependant, même les robots avancés d’aujourd’hui ne sont pas capables de donner un sens à des mots qui ont été déformés ou à des fragments d’images. Lorsqu’ils ne peuvent pas terminer le test, ils sont bloqués depuis votre site (ou de tout autre site que le CAPTCHA protège).
Ceci est important car les bots sont utilisés dans de multiples situations qui pourraient compromettre la sécurité et la crédibilité de votre site Web. Les attaques de force brute, une des stratégies de piratage les plus courantes, utilisent des robots pour saisir à plusieurs reprises des informations d’identification dans votre formulaire de connexion jusqu’à ce qu’ils aient accès à votre site.
Le Cross-Site Scripting (XSS) est un autre type de cyberattaque dans laquelle les pirates informatiques injectent du code malveillant dans votre site via un formulaire, comme votre page de connexion ou section de commentaires. Cela pourrait entraîner l’apparition de logiciels malveillants stockés sur votre site, le vol d’informations et d’autres conséquences négatives.
Les robots peuvent également être utilisés pour spammer votre section de commentaires avec des liens de mauvaise qualité qui nuisent à votre optimisation des moteurs de recherche (SEO) et dissuader les utilisateurs légitimes. Le spam est ennuyeux, mais plus important encore, il donne à votre site l’air d’être sous-protégé et mal surveillé.
Tout endroit de votre site où les utilisateurs peuvent saisir des informations – en d’autres termes, tout formulaire – est vulnérable aux attaques des robots. Le fait d’exiger un CAPTCHA avant d’envoyer un formulaire empêche les non-humains d’accéder à votre site ou d’y injecter des codes malveillants.
C’est quoi Google reCAPTCHA ?
Bien que les CAPTCHAs offrent clairement une variété d’avantages et de protections à votre site, ils présentent quelques inconvénients. Par exemple, ils ont tendance à avoir un impact négatif sur l’expérience utilisateur (UX). En ralentissant les utilisateurs, ces tests simples empêchent les visiteurs d’atteindre rapidement et en douceur leurs objectifs sur votre site.
De plus, les utilisateurs ayant une déficience visuelle ou d’autres problèmes comme la dyslexie peuvent trouver difficile de remplir vos CAPTCHAs. Garder par inadvertance des utilisateurs humains hors de votre site n’est pas bénéfique pour vous ou pour eux, même si cela détourne les robots dans le processus.
En 2014, Google a publié son No CAPTCHA reCAPTCHA, un successeur des tests de mots et d’images déformés qu’il utilisait depuis 2007. Le nouveau système exige simplement que les utilisateurs cochent une case à côté des mots « Je ne suis pas un robot » pour confirmer leur légitimité :
C’est beaucoup plus facile et rapide que les CAPTCHAs traditionnels et accessible à un plus grand nombre d’utilisateurs. De plus, Google a continué à améliorer cette technologie. En 2018, il a également lancé ce que l’on a appelé un « CAPTCHA invisible», qui peut détecter les robots sans nécessiter d’action délibérée de la part des utilisateurs.
Lorsque vous ajoutez un CAPTCHA à votre site WordPress, vous aurez la possibilité de choisir le type de test à utiliser. Cependant, n’oubliez pas que l’implémentation de Google reCAPTCHA v2 ou v3 devrait contribuer à rendre votre site plus agréable et plus accessible aux utilisateurs
Comment ajouter un CAPTCHA à votre site WordPress (en 3 étapes)
En matière de sécurité WordPress, l’ajout d’un CAPTCHA est l’un des moyens les plus simples de rendre plus difficile l’infiltration de votre site par les robots. Heureusement, il est également facile d’en incorporer un. Vous pouvez mettre en place le vôtre en trois étapes simples.
Étape 1 : Installer et Activer un plugin de Captcha WordPress
La façon la plus simple d’ajouter un CAPTCHA à votre site WordPress est d’utiliser une plugin. Il existe de nombreuses options de haute qualité dans le répertoire des extensions de WordPress, donc vous ne devriez pas avoir à casser la banque pour donner un coup de pouce à la sécurité de votre site.
Avant de choisir votre extension, cependant, il y a quelques caractéristiques clés à considérer.
Tout d’abord, vous voulez prendre en compte le type de CAPTCHA que votre extension fournit. Comme nous l’avons mentionné plus haut, Google reCAPTCHA est beaucoup plus convivial que de demander aux visiteurs de cliquer sur des images ou de décoder du texte déformé.
De plus, vous voudrez vous assurer que votre extension peut ajouter des CAPTCHAs à plusieurs zones de votre site, et pas seulement à votre page de connexion. Nous examinerons cette idée plus en détail à l’étape 3. Pour l’instant, gardez à l’esprit que partout où vous avez un formulaire sur votre site, vous voudrez probablement dissuader les bots avec un CAPTCHA.
Examinons trois extensions qui répondent aux critères ci-dessus. Google Captcha (reCAPTCHA) de BestWebSoft est l’option la plus populaire, avec plus de 200.000 installations actives :
Comme son nom l’indique, cette extension intègre un reCAPTCHA Google v2 ou v3 sur vos pages de connexion et d’inscription, sur les formulaires de réinitialisation de mot de passe et de contact, et même dans les commentaires et les témoignages de votre site. Cela permet d’empêcher le spam, en plus d’accroître la sécurité.
Advanced noCaptcha & Invisible Captcha est également très bien noté, et comprend un grand nombre des mêmes caractéristiques :
Cette extension offre également une compatibilité multisite et s’intègre aux outils d’adhésion les plus populaires tels que bbPress et BuddyPress. De plus, vous pouvez ajouter plusieurs CAPTCHAs à une seule page si nécessaire.
Enfin, vous pouvez également envisager Login No CAPTCHA reCAPTCHA :
Cette extension inclut le Google reCAPTCHA simple et peut être utilisé sur les formulaires de connexion, d’inscription et de mot de passe oublié. Cependant, elle ne s’intègre pas avec votre section de commentaires ou vos formulaires de contact, ce qui la rend un peu plus limitée que les deux autres extensions que nous avons examinés.
Étape 2 : Créer votre Google reCAPTCHA et l’ajouter à votre site
Une fois que vous avez installé et activé votre extension, vous devrez créer votre reCAPTCHA Google (en supposant que vous avez sélectionné une extension qui en utilise un). Dirigez-vous vers la console d’administration de Google reCAPTCHA, et remplissez le formulaire d’inscription :
Notez que vous serez en mesure de choisir entre un reCAPTCHA v2 ou v3 et vous pouvez utiliser la case à cocher ou un test invisible. Ce dernier fournira la meilleure UX, car il ne nécessite aucune action de la part de l’utilisateur. Cependant, la case à cocher v2 a tendance à être plus fiable.
Une fois que vous avez rempli tous les champs, cliquez sur le bouton Envoyer. Sur l’écran suivant, on vous donnera une Clé de site et une Clé secrète :
Vous devrez saisir les deux dans les réglages de votre extension CAPTCHA sur votre site WordPress. Ce processus peut varier légèrement, selon l’extension que vous avez choisi. Cependant, vous devriez pouvoir facilement trouver les réglages dans la barre latérale de votre tableau de bord, et coller vos clés dans les champs correspondants :
N’oubliez pas d’enregistrer vos modifications. Vous pouvez également ajouter à vos favoris votre page de console d’administration Google reCAPTCHA et la consulter régulièrement. Après qu’une quantité suffisante de trafic en direct ait visité votre site, vous serez en mesure de consulter des analyses utiles liées aux demandes d’envoi de formulaires.
Étape 3 : Configurez vos réglages pour protéger les zones clés
Comme nous l’avons mentionné précédemment, il existe plusieurs zones idéales pour incorporer votre CAPTCHA afin d’assurer la plus grande protection de votre site. Une fois que vous avez installé l’extension de votre choix, vous pouvez configurer vos réglages pour vous assurer que toutes les pages importantes sont incluses.
Google CAPTCHA et Advanced No Captcha incluent tous deux une liste de cases à cocher dans leurs réglages généraux. Là, vous pouvez sélectionner l’endroit où vous voulez utiliser vos reCAPTCHAs :
Idéalement, cela comprendra tous les formulaires que vous avez sur votre site, y compris les zones vulnérables comme votre :
- Page de connexion d’administration WordPress
- Page de connexion WooCommerce
- Formulaire d’inscription d’utilisateur
- Formulaire de récupération de mot de passe
- Formulaire de contact
Votre site peut inclure d’autres formulaires uniques, tels que des envois de contenu généré par les utilisateurs, des sondages ou des inscriptions par e-mail. Dans de tels cas, vous pouvez utiliser Advanced noCaptcha & Invisible Captcha, car cette extension fournit des crochets d’action pour incorporer un reCAPTCHA Google dans n’importe quel formulaire.
Vous pouvez également investir dans Google Captcha (reCAPTCHA) Pro à la place. Il fournit des intégrations supplémentaires avec des extensions populaires tels que Jetpack, MailChimp pour WordPress, et plusieurs constructeurs de formulaire.
Ajout d’un CAPTCHA à votre page de connexion
Votre page de connexion est une cible de choix pour les attaques par force brute et par Cross-Site Scripting (XSS).
Pour y ajouter un CAPTCHA avec l’extension Google Captcha, allez dans Google Captcha > Réglages > Général > Activer reCAPTCHA pour, et sélectionnez Formulaire de connexion sous WordPress par défaut :
Votre page de connexion devrait maintenant être protégée.
Incorporation d’un CAPTCHA sur votre page de réinitialisation de mot de passe
Lorsque leurs tentatives de connexion à votre site échouent, les pirates peuvent être dirigés vers une page où les utilisateurs peuvent réinitialiser leurs mots de passe. Pour ajouter un CAPTCHA afin de protéger cette page, accédez à Google Captcha > Réglages > Général > Activer reCAPTCHA pour dans votre Tableau de bord WordPress :
Ensuite, sélectionnez le formulaire de réinitialisation de mot de passe dans la liste de WordPress par défaut.
Protection de votre page de connexion WooCommerce avec un CAPTCHA
Votre page de connexion WooCommerce est tout aussi vulnérable aux attaques malveillantes que votre page du noyau WordPress. Pour la protéger avec Google Captcha, vous aurez besoin de la version premium de l’extension (ci-dessous en jaune). Lorsque vous êtes prêt, allez dans Google Captcha > Réglages > Général > Activer reCAPTCHA pour dans votre tableau de bord WordPress :
Ici, vous pourrez sélectionner le formulaire de connexion WooCommerce dans la liste des extensions externes.
Placer un CAPTCHA sur votre formulaire de contact
Votre formulaire de contact peut être protégé par un CAPTCHA de la même manière que les autres dont nous avons parlé dans cet article. Cependant, il existe plusieurs extensions de formulaires de contact différents qui s’intègrent à Google CAPTCHA, notamment :
Vous devez avoir l’un des outils ci-dessus actif sur votre site pour ajouter un CAPTCHA à votre formulaire de contact. Ensuite, allez dans Google Captcha > Réglages > Général > Activer reCAPTCHA pour et cliquez sur la case à cocher de votre extension préférée :
Cela complétera le processus. Si vous utilisez une autre extension de formulaire de contact sur votre site WordPress, vous pouvez envisager d’utiliser une autre extension de CAPTCHA qui s’y intègre. Il existe également des extensions de construction de formulaires qui incorporent des CAPTCHAs de manière autonome, tels que WPForms.
Résumé
Il est vital de garder les robots malveillants hors de votre site si vous voulez protéger votre contenu, vos utilisateurs et la réputation de votre marque. Une des façons les plus simples de les ralentir est d’ajouter un CAPTCHA aux formulaires de votre site WordPress.
L’ajout de CAPTCHA à votre site WordPress ne nécessite que trois étapes :
- Installez et activez une extension WordPress de CAPTCHA.
- Créez votre Google reCAPTCHA et ajoutez-le à votre site.
- Configurez vos réglages pour protéger les zones clés.
Vous avez des questions sur les CAPTCHAs ou sur leur utilisation dans WordPress ? Faites-le nous savoir dans la section des commentaires !
Rédacteur en chef chez Kinsta et consultant en marketing de contenu pour les développeurs de plugins WordPress. Connectez-vous avec Matteo sur Twitter.
Laisser un commentaire