Pleins feux sur la fonctionnalité iThemes Security Pro : liens magiques et connexion sans mot de passe

Publié: 2021-06-24

Dans les publications Feature Spotlight, nous allons mettre en évidence une fonctionnalité d'iThemes Security Pro et expliquer pourquoi nous avons développé cette fonctionnalité, à qui elle est destinée et comment l'utiliser.

Aujourd'hui, nous allons couvrir les liens magiques et les connexions sans mot de passe , deux fonctionnalités intéressantes du plugin iThemes Security Pro.

Liens magiques

iThemes Security Pro est excellent pour bloquer les méchants. Cependant, si un méchant utilisait le nom d'utilisateur Bob dans une attaque par force brute, et que Bob est un utilisateur réel sur le site, Bob serait malheureusement bloqué avec l'attaquant.

La prochaine fois que Bob essaie de se connecter, il reçoit le message de verrouillage de sécurité iThemes. Si Bob est l'administrateur du site, il devra soit attendre l'expiration du verrouillage, soit désactiver manuellement iThemes Security Pro via FTP.

Si Bob est votre client, il surestimera probablement la gravité du verrouillage et vous contactera frénétiquement en vous demandant pourquoi vous laissez son site se faire pirater. Cela vous obligerait à expliquer qu'il s'agit de la preuve que vous protégez leur site, puis que vous supprimez le verrouillage à l'aide de Sync Pro ou que vous vous connectez au site et que vous supprimez le verrouillage du widget de sécurité iThemes pour lui permettre de se connecter à nouveau.

Même s'il est agréable d'empêcher les méchants d'entrer par effraction sur un site, nous n'aimons pas que la sécurité affecte l'expérience des utilisateurs réels. Nous voulions donc créer un moyen pour permettre à Bob de se connecter même lorsque son nom d'utilisateur a été utilisé dans une attaque par force brute. Nous ne voulons jamais qu'un gestionnaire de site ait à passer son temps précieux à éliminer les verrouillages.

Que sont les liens magiques ?

Les liens magiques vous permettent de vous connecter à votre site WordPress pendant que votre nom d'utilisateur est verrouillé par la fonction de protection locale contre la force brute d'iThemes Security.

Lorsque votre nom d'utilisateur est verrouillé, vous pouvez demander un e-mail avec un lien de connexion unique. L'utilisation du lien envoyé par e-mail contournera le verrouillage du nom d'utilisateur pour vous, tandis que les attaquants par force brute sont toujours verrouillés.

Comment utiliser les liens magiques dans iThemes Security Pro

Pour commencer avec Magic Links, accédez au menu Fonctionnalités des paramètres de sécurité et activez Magic Links .

Si vous rencontrez un verrouillage après avoir activé Magic Links, vous aurez la possibilité d'envoyer un Magic Link à votre adresse e-mail.

Cliquez simplement sur le lien « Envoyer le lien de connexion autorisé » pour recevoir votre e-mail Magic Links.

Une fois que vous avez reçu l'e-mail, utilisez le lien, entrez vos informations d'identification et vous serez de retour sur votre site !

Connexions sans mot de passe

Par définition, chaque mesure de sécurité est conçue pour réduire la commodité de tout ce qui reçoit la sécurité supplémentaire. Pour plus de sécurité, la porte d'entrée de ma maison a une serrure. La serrure nécessite l'étape supplémentaire d'utiliser une clé pour déverrouiller la porte avant qu'elle ne s'ouvre. Ajouter une marche supplémentaire pour entrer dans ma maison est probablement une bonne idée même si ce serait plus facile sans serrure.

Il en va de même pour vos comptes en ligne. L'utilisation d'un mot de passe fort et unique et d'une authentification à deux facteurs vous protégera à 100 % des attaques par force brute. Malheureusement, il y a encore beaucoup de gens qui réutilisent leur même mot de passe faible et n'utilisent aucune forme de double facteur.

Ceux d'entre nous dans la communauté de la sécurité ont souvent du mal à comprendre pourquoi il était si difficile de convaincre les gens de sacrifier un peu de commodité pour gagner une énorme sécurité. Nous ne pensons même pas à avoir une serrure unique pour chaque porte physique que nous entrons - j'ai une clé pour ma voiture, la voiture de ma femme, la maison, le bureau et la boîte aux lettres - alors pourquoi utiliser un mot de passe unique sur notre porte virtuelle semble-t-il si incommode?

Pourquoi avons-nous développé des connexions sans mot de passe pour WordPress ?

Nous, dans la communauté de la sécurité, avons commencé à réaliser que nous avons toujours rendu la sécurité plus confuse qu'elle ne devrait l'être. Une fois que vous avez une clé pour une porte physique, vous avez terminé. Cependant, avec la sécurité par mot de passe, nous avons établi un tas de règles qui peuvent être écrasantes. Pour aggraver les choses, il ne semble pas que nous puissions nous mettre d'accord sur les règles de création d'un mot de passe fort.

Que nous, membres de la communauté de la sécurité, voulions l'admettre ou non, l'utilisation d'un gestionnaire de mots de passe et d'une authentification à deux facteurs peut être pénible et prendre du temps, d'autant plus que nous passons de plus en plus de nos vies en ligne.

Nous voulions donc créer un moyen pour les gens d'obtenir toute la sécurité qu'offre un mot de passe fort et unique sans sacrifier la convivialité.

Que sont les connexions sans mot de passe ?

La connexion sans mot de passe est une nouvelle façon de vérifier l'identité d'un utilisateur sans avoir besoin d'un mot de passe pour se connecter. Nous avons repris l'idée des Magic Links et l'avons transformée en une nouvelle méthode de connexion qui vous permet d'exiger des utilisateurs qu'ils utilisent des mots de passe forts et une authentification à deux facteurs sans jamais saisir de mot de passe ou de code d'authentification supplémentaire.

Comment utiliser les connexions sans mot de passe

Pour commencer à utiliser les connexions sans mot de passe, accédez au menu Fonctionnalités des paramètres de sécurité et activez la connexion sans mot de passe .

Après avoir activé la connexion sans mot de passe, cliquez sur la roue dentée pour gérer les paramètres.

Cliquez sur les liens Groupes d'utilisateurs pour sélectionner les utilisateurs qui peuvent utiliser la méthode de connexion et contourner le double facteur lors de l'utilisation de la méthode.

Maintenant que vous avez activé les connexions sans mot de passe, vous pouvez appliquer des mots de passe forts et des exigences à deux facteurs sans affecter négativement l'expérience des utilisateurs sur votre site.

Obtenez le contenu bonus : Premiers pas avec les connexions sans mot de passe
Télécharger maintenant

Comment fonctionne la méthode de connexion sans mot de passe

Lors de la connexion, il vous sera demandé de choisir une méthode de connexion. Cliquez sur le bouton Email Magic Link pour envoyer l'e-mail contenant le lien de connexion sans mot de passe.

Envoyer le lien magique par e-mail

Vous verrez maintenant un message confirmant que l'e-mail a été envoyé.

Connexion sans mot de passe Vérifier l'e-mail

Dans votre boîte de réception, ouvrez l'e-mail Magic Link et le bouton Se connecter maintenant .

E-mail de connexion sans mot de passe

Et c'est tout, pas de saisie d'un mot de passe ou d'un jeton à deux facteurs. Cela signifie qu'une fois que vous avez activé la connexion sans mot de passe, vous n'avez pas besoin de connaître votre mot de passe compliqué ou de copier et coller un code supplémentaire pour vous connecter. Cependant, ces méchants qui essaient de forcer votre site par force brute auront un taux de réussite de 0%.

Emballer

Comme vous pouvez le voir, les liens magiques et les connexions sans mot de passe dans iThemes Security Pro peuvent ajouter une forte couche de sécurité à votre site sans aucun inconvénient supplémentaire.

Ne manquez pas la prochaine édition de la fonctionnalité iThemes Security Pro. Nous mettons l'accent sur Trusted Devices, un excellent outil pour protéger votre administrateur WordPress et empêcher le piratage de session.

Pleins feux sur les fonctionnalités