Qu’est‑ce que l’application Password dans WordPress ?
Les Application Passwords (ou mots de passe d’application) sont des identifiants spéciaux générés par WordPress qui permettent à des applications externes d’accéder en toute sécurité à certaines fonctions de votre site via l’API REST — sans utiliser vos identifiants classiques de connexion.
Cela simplifie les intégrations entre WordPress et des outils tiers (comme des applications mobiles, des services externes ou des plugins qui communiquent via l’API REST), tout en minimisant l’exposition de votre vrai mot de passe.
À quoi servent les Application Passwords ?
Voici les cas d’usage les plus fréquents :
- Connexion d’applications externes : autoriser une application tierce à accéder à certaines ressources (par exemple pour publier du contenu, lire des données utilisateurs, etc.) sans donner votre mot de passe principal.
- Sécurité renforcée : chaque application peut avoir son propre mot de passe unique, ce qui limite les risques en cas de compromission.
- Compatibilité API REST : l’API REST utilise souvent ces clés pour authentifier des requêtes programmées ou des bots de synchronisation.
Comment fonctionnent les Application Passwords ?
WordPress permet de générer un mot de passe d’application depuis le profil d’un utilisateur dans le tableau de bord. Une fois généré :
- WordPress crée une clé unique liée à l’utilisateur.
- Cette clé peut être utilisée par une application externe pour s’authentifier.
- Lorsque l’application fait une requête à l’API REST, elle transmet cette clé.
- WordPress vérifie la validité de la clé avant d’autoriser l’action.
Ce système évite de transmettre le mot de passe principal de l’utilisateur à une application externe.
Comment générer une Application Password
Pour générer un mot de passe d’application :
- Connectez‑vous à votre tableau de bord WordPress.
- Allez dans Utilisateurs > Votre profil.
- Descendez jusqu’à la section Mots de passe d’application.
- Donnez un nom à votre mot de passe d’application (par exemple API mobile).
- Cliquez sur Ajouter un nouveau mot de passe d’application.
- Copiez la clé générée et utilisez‑la dans votre application externe.
Important : Conservez cette clé dans un endroit sûr. WordPress ne vous la montrera qu’une seule fois lors de sa création.
Sécurité : avantages et précautions
Avantages
- Isolation des accès : chaque application a sa propre clé, ce qui limite l’impact d’une compromission.
- Pas de mot de passe principal exposé : l’authentification se fait sans partager votre mot de passe personnel.
- Contrôle fin des intégrations : vous pouvez supprimer une seule clé si un outil n’est plus utilisé.
Risques et bonnes pratiques
- Ne partagez jamais vos clés publiquement : même si elles ne sont pas votre mot de passe principal, elles permettent un accès.
- Renouvelez régulièrement les clés utilisées par des services sensibles.
- Supprimez immédiatement toute clé dont vous ne vous servez plus.
- Surveillez l’activité API pour détecter des usages suspects.
Peut‑on désactiver les Application Passwords ?
Oui. Dans certaines configurations WordPress ou grâce à des plugins de sécurité (comme securicheck pro), il est possible de désactiver complètement les mots de passe d’application. Cela bloque leur génération et leur utilisation, ce qui peut être utile si vous n’utilisez pas l’API REST ou que vous souhaitez réduire la surface d’attaque.
En résumé
Les Application Passwords de WordPress sont un moyen sûr, flexible et pratique de connecter des applications externes à votre site via l’API REST sans exposer votre mot de passe principal. En les utilisant correctement — et en respectant les bonnes pratiques de sécurité — vous pouvez bénéficier d’intégrations avancées tout en protégeant vos identifiants principaux.
