Comment configurer l'authentification à deux facteurs dans WordPress: un guide étape par étape

Saviez-vous que vous pouvez configurer l'authentification à deux facteurs dans WordPress? Si vous ne savez pas si vous devez intégrer cette fonctionnalité de sécurité dans votre site Web WordPress, voici quelque chose à considérer: combien de comptes avez-vous en ligne? Sont-ils tous protégés par mot de passe? Combien de ces comptes partagent le même mot de passe? Si un visiteur indésirable a accès à un compte, il est probable qu'ils pourraient également accéder aux autres. Le problème devient encore pire si vous utilisez des mots de passe faciles à deviner ou si vous vous connectez à des réseaux publics (nous vous suggérons d'utiliser un VPN pour crypter votre trafic si vous utilisez un réseau public). Votre mot de passe est-il le nom de votre chien? Votre date de mariage? L'avez-vous écrit dans un journal?

Chaque jour, les bots attaquent des milliers de sites Web WordPress, exposant les visiteurs à des logiciels malveillants. Les sites Web infestés de robots sont souvent déposés par des moteurs de recherche comme Google. Les fournisseurs d'hébergement peuvent bloquer l'accès à ces sites, et le trafic ciblé commence à chuter. Tout votre travail acharné peut être réduit à rien. Si vous souhaitez aller au-delà de l'authentification à deux facteurs (2FA), l'authentification multi-facteurs (MFA) fournit des couches de sécurité supplémentaires, combinant des mots de passe avec la biométrie ou les jetons de sécurité pour une protection encore plus grande contre les menaces.

Qu'est-ce que l'authentification à deux facteurs (2FA)?

Les mots de passe peuvent être compromis, en particulier grâce à des attaques par force brute. Le fait de s'appuyer uniquement sur un mot de passe pour la sécurité est appelé authentification à facteur unique (SFA). C'est là qu'une deuxième couche de sécurité, au-delà d'un simple mot de passe, peut vous aider. L'authentification à deux facteurs (2FA ou TFA) ajoute cette couche supplémentaire. En fait, de nombreux sites Web populaires (par exemple, Facebook, Gmail, PayPal) utilisent l'authentification à deux facteurs pour améliorer la sécurité et réduire les violations, même si les informations d'identification d'un utilisateur sont divulguées.

Alors, qu'est-ce que 2FA exactement? Essentiellement, c'est un processus qui oblige les utilisateurs à vérifier leur identité avec quelque chose qu'ils possèdent, en plus de leur mot de passe.

En général, 2FA ne remplace pas le mot de passe; Il le complète par une étape supplémentaire auquel seul l'utilisateur (vous, en tant qu'administrateur) peut accéder.

Voici un exemple de la façon dont cela fonctionne

Vous vous connectez comme d'habitude, puis un message apparaît, vous indiquant qu'un code a été envoyé à votre appareil. Vous recevez et entrez ce code qui a été envoyé à votre téléphone, un autre appareil ou un e-mail. Ce code, souvent appelé mot de passe unique (OTP), est livré à un numéro mobile ou une adresse e-mail enregistrée. Sans ce code supplémentaire, les pirates ne peuvent pas accéder à votre site Web, même s'ils ont votre mot de passe.

En résumé, dans l'authentification à deux facteurs, il doit y avoir deux catégories d'authentification distinctes:

• Quelque chose que vous savez (par exemple, un mot de passe ou une broche).
• Quelque chose que vous avez (par exemple, un jeton de sécurité ou un smartphone avec une application Authenticator).
• Quelque chose que vous êtes (par exemple, la biométrie comme les empreintes digitales ou la reconnaissance faciale).

Qu'est-ce que l'authentification multi-facteurs (MFA)?

L'authentification multi-facteurs (MFA) est un processus de sécurité qui oblige les utilisateurs à vérifier leur identité à l'aide de plusieurs méthodes avant d'avoir accès à un système ou un compte. Au lieu de s'appuyer uniquement sur un mot de passe, MFA ajoute des couches supplémentaires de protection, combinant souvent quelque chose que l'utilisateur connaît (comme un mot de passe), quelque chose que l'utilisateur a (comme un appareil mobile ou un jeton de sécurité), et parfois même quelque chose d'unique à l'utilisateur, comme une empreinte digitale ou une reconnaissance faciale. Cette approche réduit considérablement le risque d'accès non autorisé, car il est plus difficile pour les attaquants de violer les comptes, même s'ils ont volé une forme d'authentification. C'est un outil puissant pour protéger les données personnelles et commerciales dans le monde numérique d'aujourd'hui.

Pour que le MFA soit en vigueur, il doit y avoir au moins deux couches d'authentification qui vont au-delà de la combinaison 2FA typique (voir la section 2FA comment elle fonctionne ci-dessus). Par exemple:

• La biométrie (quelque chose que vous êtes) associée à un jeton de sécurité (quelque chose que vous avez) dépasse la configuration à deux facteurs de base.
• Si un mot de passe (quelque chose que vous savez) est ajouté aux côtés de ces deux, il renforce encore les couches d'authentification.

Le MFA est essentiellement une extension de 2FA, offrant une sécurité accrue en utilisant trois facteurs ou plus. Ainsi, par exemple, bien que la biométrie et les jetons de sécurité puissent faire partie de la MFA, ils ne seraient à eux seuls que le MFA, sauf s'ils sont associés à des méthodes de vérification supplémentaires.

Quelle est la différence entre l'authentification à deux facteurs (2FA) et l'authentification multi-facteurs (MFA)?

La principale différence entre l'authentification multi-facteurs (MFA) et l'authentification à deux facteurs (2FA) réside dans le nombre d'étapes d'authentification.

2FA nécessite exactement deux facteurs distincts pour vérifier l'identité d'un utilisateur. Par exemple, un mot de passe et un code unique envoyé à leur adresse e-mail.

Le MFA , en revanche, est un concept plus large qui englobe 2FA mais peut inclure trois couches d'authentification ou plus. Par exemple, le MFA peut combiner un mot de passe, une analyse d'empreintes digitales (facteur biométrique) et un jeton de sécurité. Alors que 2FA fournit une forte barrière contre l'accès non autorisé, MFA offre une défense encore plus complète, en particulier adaptée aux environnements nécessitant des niveaux de sécurité plus élevés.

Essentiellement, tout le 2FA est MFA, mais tout le MFA est 2FA.

Gardez à l'esprit que même si la sécurité est cruciale, il est tout aussi important de maintenir la facilité d'accès à vos clients et visiteurs. Il est essentiel de trouver le bon équilibre. Vous ne voulez pas rendre les choses trop difficiles pour vos clients et visiteurs . Dans la plupart des situations, l'authentification à deux facteurs offre une protection suffisante. Une combinaison simple de connexion de mot de passe suivie d'un code de vérification envoyé à leur e-mail fournit généralement à la fois la sécurité et la commodité.

Méthodes pour obtenir le code de vérification

Avant d'implémenter 2FA sur votre système, il est utile de comprendre comment fonctionne la deuxième étape afin que vous puissiez choisir la méthode la mieux adaptée pour vous. Le code de vérification peut être obtenu par des méthodes comme celles-ci:

1. Services de messagerie : le code est envoyé directement à votre adresse e-mail enregistrée.
2. SMS : Le code est envoyé à votre téléphone mobile via un SMS.
3. Codes générés par les applications : des applications comme Google Authenticator génèrent un nouveau code à intervalles courts. Lors de la connexion, vous saisissez manuellement le code actuellement affiché. Une certaine configuration peut être nécessaire.
4. Tokens USB : cette méthode consiste à insérer un jeton USB dans votre appareil et à saisir un mot de passe de jeton. Il est hautement sécurisé car le processus d'authentification ne peut pas être intercepté. Cependant, cela peut ne pas fonctionner avec les téléphones mobiles car un port USB est requis (bien que vous puissiez utiliser un adaptateur USB-C vers USB-A, ce qui est important à avoir autour).

Les deux premières méthodes nécessitent une connectivité de données Internet ou cellulaire, tandis que les deux derniers ne le font pas.

Formes populaires de 2FA et MFA

Bien que la liste ci-dessus mette en évidence les méthodes de sécurité qui fonctionnent en recevant et en entrant un code, il existe de nombreuses autres méthodes qui ne nécessitent pas l'utilisation d'un code de vérification.

Voici une liste complète des formes les plus populaires de 2FA et de MFA , y compris les méthodes d'authentification basées sur le code et non basées sur le code, actuellement utilisées par divers services:

• Authentification basée sur la broche : saisir un code PIN secondaire que vous seul connaissez.
• Authentification basée sur les connaissances (KBA) : Répondre aux questions de sécurité (par exemple, «Quel était le nom de votre premier animal de compagnie?»).
• Authentification par e-mail : recevoir et saisir un code envoyé à votre adresse e-mail.
• Authentification basée sur SMS : recevoir et saisir un code envoyé à votre téléphone par SMS (SMS).
• Authentification basée sur les appels téléphoniques : recevoir un appel vocal qui fournit un mot de passe unique ou nécessite une confirmation vocale.
• Authentification Authentification basée sur l'application : entrer un code à partir d'une application Authenticator, telle que Microsoft Authenticator ou Google Authenticator.
• Authentification basée sur push ou Authentification de la notification push : confirmant votre connexion sur une application connexe via une notification push envoyée à votre appareil enregistré. L'application invite l'utilisateur à approuver ou à refuser la tentative de connexion avec un simple robinet (par exemple, l'application bancaire Wise (précédemment transféré) vous demandant de confirmer en appuyant «Approuver» ou «oui»).
• Authentification biométrique : vérification des empreintes digitales à l'aide d'un capteur d'empreintes digitales (par exemple, sur votre ordinateur portable ou appareil mobile).
• Authentification des jetons matériels: utilisant une clé ou un périphérique de sécurité USB physique, tel que les jetons USB, pour authentifier l'accès de connexion.
• Authentification du jeton de sécurité: Utilisation d'un jeton de sécurité physique ou numérique pour vérifier l'identité pendant la connexion. Ces jetons peuvent générer des mots de passe ponctuels (OTP), fonctionnent comme des périphériques matériels comme les touches USB ou générer des codes de connexion sans nécessiter de connexion USB.
• Authentification du code de sauvegarde: saisir les codes de sauvegarde pré-générés en tant que méthode de secours pour retrouver l'accès lorsque d'autres options d'authentification (telles que SMS ou applications authentificatrices) ne sont pas disponibles.

Voici des méthodes spécialisées 2FA et MFA:

• Authentification basée sur le code QR : analyse d'un code QR avec une application Authenticatrice pour vérifier la connexion.
• Mot de passe unique basé sur le temps (TOTP) : générer un mot de passe temporaire qui change toutes les quelques secondes, souvent utilisé dans les applications d'authentificateur.
• Mot de passe ponctuel basé sur HMAC (HOTP) : HMAC signifie code d'authentification de message basé sur le hachage. Un système similaire à TOTP, mais les codes restent valides jusqu'à utilisé.
• Authentification basée sur les appels téléphoniques : recevoir un appel vocal qui fournit un mot de passe unique ou nécessite une confirmation vocale.
• Authentification basée sur Bluetooth : utiliser Bluetooth pour vérifier l'identité, nécessitant souvent la proximité entre les appareils.
• Authentification par carte à puce : à l'aide d'une carte à puce physique insérée dans un appareil pour l'authentification, commune dans la sécurité de l'entreprise.
• Authentification comportementale : analyse des modèles de touches, mouvements de souris ou autres biométriques comportementales.
• Authentification basée sur la géolocalisation : restreindre les tentatives de connexion en fonction de l'emplacement physique d'un utilisateur ou des adresses IP connues.
• FIDO2 / WebAuthn Authentification : Utilisation de clés de sécurité cryptographique, telles que Yubikeys, pour s'authentifier sans mots de passe.
• Authentification basée sur le modèle : dessin d'un modèle sur un écran tactile (commun dans la sécurité des appareils mobiles).

Choisir le bon service

Comme vous pouvez le voir, il y en a beaucoup à choisir et tous les services et les plugins WordPress n'offrent pas toutes ces options, vous devrez donc décider quel fonctionne le mieux pour vous. Certains services offrent plusieurs options, vous permettant de choisir parmi un menu déroulant. Si vous choisissez d'utiliser les plugins WordPress pour intégrer 2FA, le processus de configuration sera plus pratique pour vous.

Pendant le processus de configuration, vous pourriez également recevoir des codes de récupération. Assurez-vous de les noter et de les stocker en toute sécurité. Ces codes de sauvegarde vous aideront à récupérer votre compte au cas où vous seriez verrouillé en raison de 2FA / MFA.

Plugins WordPress recommandés pour 2FA

Pour simplifier la configuration de l'authentification à deux facteurs sur votre site WordPress, nous avons compilé une liste des meilleurs plugins 2FA. Ces plugins sont conviviaux, incluent des instructions de configuration claires et sont livrées avec une documentation complète. Vous ne devriez pas rencontrer de difficultés. N'hésitez pas à partager vos plugins 2FA préférés ou à soulever des problèmes de sécurité dans la section des commentaires ci-dessous.

Sans plus tarder, commençons!

1. Google Authenticator

Le premier plugin de notre liste est Google Authenticator de MinIorange, un développeur de plugin WordPress de confiance. Ce plugin fournit une solution complète pour sécuriser vos pages de connexion WordPress sans vous obliger à dépenser un centime.

Google Authenticator est un excellent plugin d'authentification à deux facteurs pour WordPress qui est à la fois simple à configurer et convivial. Il est livré avec une gamme impressionnante de fonctionnalités conçues pour garder même les pirates les plus persistants à distance.

Certaines des principales fonctionnalités du plugin incluent une interface utilisateur élégante, plusieurs méthodes d'authentification (prenant en charge même Microsoft Authenticator), support multicangue, TOTP (mot de passe ponctuel basé sur le temps) et support HOTP (mot de passe ponctuel basé sur HMAC), Prévention des attaques brute Force, Blocking IP, Questions de sécurité personnalisables, support pour diverses fonctionnalités de formulaires WordPress, conformité au GDPR et une nouvelle gamme de fonctionnalités de traits premium.

La version principale du plugin est gratuite pour un seul utilisateur, et vous pouvez généralement trouver une assistance sur le forum de support du plugin.

2. deux facteurs

Le plugin WordPress à deux facteurs est un projet entièrement gratuit et open source dirigé par George Stephanis, avec des contributions de divers autres développeurs. C'est l'un des plugins d'authentification à deux facteurs les plus simples que vous puissiez utiliser pour votre site WordPress.

Après avoir installé le plugin, accédez aux utilisateurs> votre profil et faites défiler vers la section Options à deux facteurs . Ici, vous pouvez activer et configurer les paramètres d'authentification à deux facteurs souhaités.

Ce plugin prend en charge quatre méthodes d'authentification:

1. Codes de messagerie : codes de vérification envoyés directement à votre adresse e-mail.
2. Mot de passe unique basé sur le temps (TOTP) : un mot de passe dynamique généré à l'aide d'applications comme Google Authenticator.
3. FIDO Universal 2nd Facteur (U2F) : une méthode d'authentification basée sur le matériel nécessitant une clé de sécurité USB.
4. Codes de vérification de sauvegarde : codes à usage unique que vous pouvez stocker en toute sécurité pour les urgences.

Il existe également une méthode factice disponible, ce qui est particulièrement utile à des fins de test. Au-delà de ces fonctionnalités, le plugin prend en charge 15 langues et possède plus de 80 000 installations actives au moment de la rédaction.

Le plugin fonctionne exceptionnellement bien et est fiable pour améliorer la sécurité WordPress. Ce serait excitant de voir une version premium à l'avenir, offrant des fonctionnalités encore plus avancées.

3. Vérification WordPress en 2 étapes

Avez-vous trouvé un plugin d'authentification à deux facteurs pour WordPress qui répond encore à vos besoins? Sinon, nous sommes heureux de présenter le plugin de vérification WordPress en 2 étapes par AS247, un développeur PHP talentueux du Vietnam.

Rassurez-vous, vous n'aurez pas à vous soucier des pirates qui volent vos informations d'identification de connexion lors de l'utilisation de ce plugin. Le plugin de vérification WordPress en 2 étapes intègre des mesures de sécurité 2FA robustes dans votre page de connexion, garantissant que les attaquants restent verrouillés de votre zone d'administration.

Le plugin est facile à installer et à configurer, et vous pouvez tout configurer en seulement 10 minutes. Si vous rencontrez des problèmes, AS247 offre une assistance utile via les forums de support WordPress.org.

Fonctionnalités qui se démarquent

La vérification WordPress en 2 étapes est remplie d'une variété de fonctionnalités impressionnantes, notamment:

• Prise en charge multi-sites : parfait pour gérer plusieurs installations WordPress.
• Codes de messagerie : codes de vérification envoyés à votre e-mail enregistré.
• Codes générés par l'application : codes dynamiques générés par des applications comme Google Authenticator.
• Vérification SMS : codes livrés par SMS.
• Codes de sauvegarde : pratiques pour les urgences lorsque votre méthode de vérification habituelle n'est pas disponible.

De plus, si vous perdez l'accès à votre téléphone ou à votre code de vérification, le plugin permet une récupération facile via FTP - une bouée de sauvetage dans des situations critiques. Vous pouvez également désactiver la vérification en 2 étapes sur des appareils de confiance, tels que votre ordinateur personnel.

Vous vous demandez comment le plugin prend en charge les codes générés par l'application? AS247 fournit une application Authenticator sur le Play Store, ce qui facilite la génération de mots de passe sécurisés pour les applications qui ne prennent pas en charge la vérification en 2 étapes.

Personnalisation et compatibilité

Besoin d'aide pour personnaliser votre thème WordPress? Il existe de nombreuses entreprises proposant des services de personnalisation de thème WordPress de premier ordre pour répondre à vos besoins.

Actuellement, le plugin ne prend pas en charge l' éditeur de Gutenberg , vous devrez donc activer l'éditeur classique à la place. Des travaux sont en cours pour ajouter la prise en charge de Gutenberg, mais si vous êtes à l'aise d'utiliser l'éditeur classique, le plugin de vérification WordPress en 2 étapes est un excellent choix.

4. Authentification à deux facteurs de Rublon

Le quatrième plugin de notre liste est l'authentification à deux facteurs Rublon . L'objectif principal de ce remarquable plugin WordPress est de garder les utilisateurs non autorisés à l'extérieur, et il y parvient sans effort. Il offre un moyen simple d'activer l'authentification à deux facteurs sur votre site Web WordPress.

Le plugin d'authentification à deux facteurs Rublon est extrêmement convivial et facile à installer. Vous n'avez pas besoin d'expertise technique ou de formation spéciale pour commencer. Installez simplement le plugin, puis connectez-le à l'API Rublon à l'aide d'un jeton système et d'une clé de sécurité.

Après avoir terminé ces étapes, vous recevrez un lien de confirmation par e-mail. Une fois que vous avez vérifié votre identité, vous pouvez configurer des options supplémentaires pour améliorer la sécurité de votre site.

Caractéristiques et fonctionnalités

Rublon prend en charge une large gamme de méthodes d'authentification à deux facteurs, notamment:

• Vérification par e-mail
• Codes SMS
• Analyse du code QR
• Notifications push
• Mots de passe ponctuels basés sur le temps (TOTP)

De plus, vous pouvez les appareils de confiance de la liste blanche, éliminant le besoin d'authentification à deux facteurs lors des connexions futures sur ces appareils.

Expérience utilisateur

Le plugin propose une interface back-end intuitive et conviviale, ce qui facilite l'intégration d'authentification à deux facteurs dans votre site Web WordPress. Il prend en charge cinq langues et reçoit des avis éclatants des professionnels de la sécurité et des débutants. Les utilisateurs louent fréquemment ses fonctionnalités et sa fiabilité.

5. API de passerelle

Si les autres plugins d'authentification à deux facteurs sur notre liste ne répondent pas à vos besoins en facilité d'utilisation, laissez-nous vous présenter GatewayAPI . Ce plugin pratique et simple est plus qu'un simple outil d'authentification à deux facteurs - c'est un moteur puissant qui vous permet d'envoyer des messages SMS directement du panneau d'administration WordPress. En plus de cela, il comprend une fonction d'authentification à deux facteurs gratuite et conviviale.

Caractéristiques clés de GatewayAPI

Gatewayapi regorge de fonctionnalités utiles, notamment:

• Contenu SMS personnalisable : ajoutez des informations sur mesure à vos messages.
• CSV IMPORT : Téléchargez facilement les listes de destinataires.
• Messagerie en vrac : envoyez des messages SMS à de grands groupes à la fois.
• Segmentation des destinataires : créez et gérez des groupes pour la messagerie ciblée.
• Codes courts : simplifiez la gestion des messages.
• Facilité d'utilisation : une interface propre et intuitive que n'importe qui peut naviguer.
• Options de réautorisation : réautoriser à chaque connexion ou rappelez-vous les appareils de confiance pendant 30 jours.
• Fonctionnalité de la boîte de réception : recevez et lisez les messages entrants directement via votre numéro de téléphone.
• Et bien plus encore!

Début avec Gatewayapi

Pour commencer, installez simplement le plugin et inscrivez-vous à un compte gratuit sur gatewayapi.com. Ne vous inquiétez pas si vous rencontrez des difficultés, le plugin est livré avec un guide détaillé étape par étape, avec des captures d'écran, ce qui rend le processus de configuration sans couture. Honnêtement, vous n'aurez peut-être même pas besoin de lire la documentation pour permettre l'authentification à deux facteurs. C'est aussi simple!

6. Duo Authentification à deux facteurs

Le plugin Duo facilite et simple de intégrer la sécurité à deux facteurs dans votre site Web WordPress. Les utilisateurs et les administrateurs peuvent vérifier leurs identités à l'aide d'appareils qu'ils possèdent déjà, tels que les jetons matériels ou les téléphones mobiles. De plus, ce plugin vous aide à surveiller les activités des utilisateurs sur votre site, en ajoutant une couche supplémentaire de responsabilité.

Comment utiliser le plugin duo

Pour commencer à utiliser le plugin:

1. Installez et activez-le sur votre site WordPress.
2. Abonnez-vous aux services de Duo pour accéder aux clés de sécurité.
3. Définissez les rôles utilisateur spécifiques qui nécessitent une authentification à deux facteurs.

Options d'authentification

Le plugin Duo propose plusieurs méthodes d'authentification:

• SMS OTPS : Mots de passe ponctuels envoyés aux téléphones mobiles via des services de messagerie.
• OTPS de jeton matériel : mots de passe générés par les appareils physiques.
• Duo Mobile App : Les utilisateurs peuvent générer des OTP ou utiliser l'authentification à un tour via l'application.
• Authentification de rappel : Duo appelle le téléphone de l'utilisateur pour confirmation.

Ces options polyvalentes garantissent une authentification sécurisée et flexible pour tous les utilisateurs.

Quel plugin vous convient?

Nous espérons que cette liste vous a aidé à trouver votre plugin d'authentification à deux facteurs préféré. Il existe également des suites de sécurité tout-en-un comme WordFence, une sécurité solide et une sécurité tout-en-un (AIOS) qui incluent 2FA et une multitude d'autres fonctionnalités de sécurité. Si vous êtes toujours indécis, nous vous recommandons de les installer tous et de les essayer. La beauté de WordPress est à quelle vitesse vous pouvez faire tout cela. Installez un plugin, activez-le et testez-le. Pas content? Désactiver et le supprimer.

Réflexions finales

N'oubliez pas que WordPress Security est un aspect vital du maintien d'un site Web réussi. La mise en œuvre de l'authentification à deux facteurs est un moyen efficace de garder les utilisateurs non autorisés hors de votre zone d'administration WordPress. En nécessitant une étape de vérification supplémentaire, 2FA protège votre site contre les violations de sécurité, les attaques de force brute et les informations d'identification de connexion compromises.

Que vous optiez pour des plugins WordPress ou d'autres méthodes d'intégration, la configuration de 2FA est un moyen simple mais puissant d'améliorer la sécurité de votre site Web. Prendre le temps de mettre en œuvre cette mesure de précaution vous donnera une tranquillité d'esprit et contribuera à la fiabilité à long terme de votre présence en ligne. Restez proactif et hiérarchisez la sécurité pour protéger votre site WordPress des menaces potentielles.

Quel plugin 2FA est votre préféré? Avez-vous des questions, des préoccupations ou des conseils à partager? Nous serions ravis de vous entendre dans la section des commentaires.