Comment ajouter une authentification à deux facteurs dans WordPress (méthode gratuite)

Avez-vous remarqué à quel point des sites populaires comme Facebook et Google vous demandent d'ajouter une authentification à deux facteurs pour améliorer la sécurité ?

Eh bien, vous pouvez désormais ajouter une authentification à deux facteurs à votre site Web WordPress. Cela garantit une sécurité maximale pour votre site WordPress et tous ses utilisateurs enregistrés.

Dans cet article, nous allons vous montrer comment ajouter une authentification à deux facteurs pour WordPress à l'aide d'un plugin et d'une application d'authentification.

Pourquoi ajouter l’authentification à deux facteurs dans WordPress ?

L’une des astuces les plus courantes utilisées par les pirates informatiques est appelée attaque par force brute. Lors de l’une de ces attaques, ils utilisent des scripts automatisés qui tentent de deviner le bon nom d’utilisateur et le bon mot de passe afin de pouvoir se connecter à votre site WordPress.

Une attaque par force brute réussie peut permettre aux pirates d'accéder à la zone d'administration de votre site Web. Ils peuvent installer des logiciels malveillants, voler des informations sur les utilisateurs et tout supprimer de votre site.

L’un des moyens les plus simples de protéger votre site Web WordPress contre les mots de passe volés consiste à ajouter une authentification à deux facteurs (2FA). Avec ce paramètre, vous devrez à la fois saisir votre mot de passe et un code secondaire (à partir d'une application, d'un e-mail ou d'un SMS) pour vous connecter à votre site Web.

De cette façon, même si quelqu'un volait votre mot de passe, il devra quand même saisir un code de sécurité depuis votre téléphone pour y accéder.

Qu'est-ce qu'une application d'authentification ?

Il existe plusieurs façons de configurer la connexion en 2 étapes dans WordPress. Cependant, la méthode la plus sûre et la plus simple consiste à utiliser une application d’authentification.

Une application d'authentification est une application pour smartphone qui génère un mot de passe temporaire à usage unique pour les comptes que vous y enregistrez.

Fondamentalement, l'application et votre serveur utilisent une clé secrète pour crypter les informations et générer des codes à usage unique que vous pouvez utiliser comme deuxième couche de protection.

De nombreuses applications sont disponibles gratuitement :

• L'application la plus populaire est Google Authenticator, mais ce n'est pas le meilleur choix. En effet, si vous perdez votre téléphone, il n'y a aucun moyen de récupérer vos comptes à moins de créer une copie de sauvegarde à l'avance.

• Nous vous recommandons d'utiliser Authy car il s'agit d'une application facile à utiliser et gratuite qui vous permet également de sauvegarder vos comptes sur le cloud dans un format crypté. De cette façon, si vous perdez votre téléphone, vous pouvez simplement saisir votre mot de passe principal pour restaurer tous vos comptes.

• D'autres gestionnaires de mots de passe comme LastPass et 1Password sont tous livrés avec leur propre version d'authentificateur. Ils sont meilleurs que Google Authenticator puisqu'ils permettent de restaurer les clés.

Pour les besoins de ce tutoriel, nous utiliserons Authy. Vous pouvez suivre notre tutoriel en utilisant une autre application si vous le souhaitez puisqu'elles fonctionnent toutes de la même manière.

Cela étant dit, voyons comment ajouter 2FA dans WordPress. Cliquez simplement sur les liens ci-dessous pour accéder à la méthode que vous préférez :

Voyons maintenant comment ajouter facilement et gratuitement une vérification à deux facteurs à votre écran de connexion WordPress.

Méthode 1 : ajout d’une authentification à deux facteurs à l’aide de WP 2FA

Cette méthode est simple et recommandée à tous les utilisateurs. Il est flexible et vous permet d'appliquer une authentification à deux facteurs pour tous les utilisateurs.

Tout d’abord, vous devez installer et activer le plugin WP 2FA – Two-factor Authentication. Pour plus de détails, consultez notre guide étape par étape sur la façon d'installer un plugin WordPress.

Lors de l'activation, l'assistant de configuration WPA 2FA se lancera automatiquement. Sinon, vous pouvez visiter la page Utilisateurs »Votre profil et faire défiler jusqu'à la section « Paramètres WP 2FA ».

Cliquer sur le bouton « Configurer l'authentification à deux facteurs (2FA) » lancera l'assistant de configuration.

L'assistant de configuration WP 2FA

Cliquez simplement sur « Commençons ! » bouton pour commencer à configurer le plugin.

Sur la page suivante, il vous sera demandé de choisir une méthode d'authentification.

Il existe deux options :

• Code à usage unique généré avec l'application 2FA de votre choix (recommandé)
• Code à usage unique qui vous est envoyé par e-mail

Nous vous recommandons de choisir l'authentification via la méthode de l'application 2FA (TOTP), car elle est plus sécurisée et fiable.

Une fois votre choix fait, vous pouvez cliquer sur le bouton « Continuer la configuration » pour accéder à la page suivante de l'assistant de configuration.

Il vous sera demandé quelles méthodes 2FA alternatives vous souhaiteriez que vos utilisateurs utilisent en cas d'échec de la méthode 2FA principale, par exemple s'ils perdent leur téléphone.

Sur le forfait gratuit, seule la méthode du code de sauvegarde sera disponible. Si vous souhaitez davantage de méthodes 2FA alternatives, vous devrez alors passer à WP 2FA Premium.

Cliquez simplement sur le bouton « Continuer la configuration » pour passer à la page suivante.

Sur cette page, vous pouvez rendre la connexion à deux facteurs obligatoire pour certains ou tous les utilisateurs. Nous le recommandons, surtout si vous gérez un site Web WordPress multi-utilisateurs, comme un site d’adhésion.

Si vous souhaitez appliquer 2FA pour tous les utilisateurs de votre site Web, sélectionnez simplement l'option « Tous les utilisateurs » et cliquez sur « Continuer la configuration ».

Désormais, tous vos utilisateurs devront utiliser 2FA.

Cependant, il y a peut-être certains utilisateurs de votre site Web que vous ne souhaitez pas forcer à utiliser 2FA. La page suivante vous permet de saisir les noms d'utilisateur ou les rôles d'utilisateur de ces membres de l'équipe.

Une fois que vous avez fait cela, cliquez sur le bouton « Continuer la configuration » pour accéder à une page où vous pourrez décider dans combien de temps vos utilisateurs doivent commencer à utiliser 2FA.

Vous pouvez leur demander de commencer immédiatement, ou vous pouvez leur accorder un délai de grâce de, disons, 3 jours, afin qu'ils aient le temps de mettre les choses en place. Cliquez simplement sur l'option que vous souhaitez utiliser sur votre site Web.

Si vous souhaitez accorder un délai de grâce, vous pouvez choisir le nombre d'heures ou de jours. Le paramètre par défaut de 3 jours fonctionnera bien pour la plupart des sites Web.

Il existe également des options sur ce qu'il faut faire après la fin de la période de grâce si certains utilisateurs n'ont pas configuré 2FA. Vous pouvez soit les laisser entrer mais ne pas les laisser accéder au tableau de bord, soit les empêcher de se connecter du tout. Pour la plupart des sites Web, la première option sera la meilleure.

Une fois que vous avez fait votre choix, vous pouvez cliquer sur « Tout est terminé » pour quitter l'assistant de configuration. Félicitations, vous avez mis en place l'authentification à deux facteurs sur votre site !

Vous verrez l'écran de fin de configuration avec un message de félicitations. Vous verrez également un bouton qui vous permettra de configurer 2FA pour votre propre compte utilisateur. Vous devez cliquer sur le bouton « Configurer 2FA maintenant ».

Configuration de l'authentification à deux facteurs pour votre propre compte utilisateur

Un nouvel assistant de configuration commencera pour vous aider à configurer l'authentification à deux facteurs pour votre propre compte utilisateur. Les autres utilisateurs de votre site Web seront invités à faire de même.

La première chose que vous devrez décider est la méthode 2FA que vous souhaitez utiliser. Vous devriez voir l'option d'un code à usage unique via une application d'authentification. Vous pouvez également voir d'autres options en fonction des choix que vous avez faits lors de l'assistant de configuration.

Choisissez simplement l'option « Code à usage unique via l'application 2FA », puis cliquez sur le bouton « Étape suivante ».

Le plugin va maintenant vous montrer un code QR et un code texte.

Vous devrez scanner le code QR à l'aide d'une application d'authentification. Vous pouvez également saisir manuellement le code texte dans l’application.

Vous devrez maintenant récupérer votre appareil mobile et ouvrir votre application d'authentification préférée. Les captures d'écran ci-dessous utilisent Authy, mais d'autres applications fonctionnent de la même manière.

Tout d'abord, cliquez sur le bouton « + » ou « Ajouter un compte » dans votre application d'authentification.

L'application demandera alors la permission d'accéder à la caméra de votre téléphone.

Vous devez autoriser cette autorisation, puis appuyer sur le bouton « Scanner le code QR » afin de pouvoir scanner le code QR affiché sur la page des paramètres du plugin sur votre ordinateur.

Une fois que l'application reconnaît le code QR, elle commencera automatiquement à enregistrer le compte.

Après cela, vous pouvez modifier le logo et le pseudo par défaut du compte. Lorsque vous êtes prêt, vous devez appuyer sur le bouton « Enregistrer ».

L'application d'authentification va maintenant enregistrer votre compte de site Web.

Ensuite, il commencera à afficher un mot de passe à usage unique. Vous devrez le saisir dans les paramètres du plugin sur votre ordinateur.

Vous devez maintenant revenir à votre ordinateur.

Dans l'assistant de configuration du plugin, cliquez sur le bouton « Je suis prêt » pour continuer.

Le plugin vous demandera maintenant de vérifier votre mot de passe à usage unique.

Tapez simplement le code de votre application mobile dans le champ « Code d'authentification » avant son expiration.

Après cela, vous devez cliquer sur le bouton « Valider et enregistrer » pour finaliser la configuration.

Ensuite, vous aurez la possibilité de générer et d'enregistrer une liste de codes de sauvegarde. Ces codes peuvent être utilisés si vous n'avez pas accès à votre téléphone.

Vous devez cliquer sur le bouton « Générer une liste de codes de sauvegarde ».

Les codes de sauvegarde seront générés et affichés.

Vous pouvez télécharger ces codes de sauvegarde dans un emplacement sécurisé sur votre ordinateur, les imprimer et les conserver dans un endroit sûr, ou vous les envoyer par e-mail. Assurez-vous de les conserver dans un endroit accessible si vous n'avez pas votre téléphone.

Après cela, vous pouvez cliquer sur le bouton « Je suis prêt, fermez l'assistant » pour quitter l'assistant de configuration.

Utilisation de l'authentification à deux facteurs lors de la connexion

La prochaine fois que vos utilisateurs se connecteront, ils verront une notification les informant qu'ils doivent configurer une authentification à deux facteurs, ainsi que la date limite à la fin de la période de grâce.

Ils peuvent cliquer sur un bouton pour configurer 2FA maintenant ou choisir d'être rappelé lors de leur prochaine connexion.

Lorsqu'ils cliquent sur le bouton « Configurer 2FA maintenant », ils suivront les mêmes étapes que lorsque vous avez configuré 2FA pour votre propre compte utilisateur dans la section précédente.

Lorsqu’ils se connecteront après avoir configuré l’authentification à deux facteurs, ils verront l’écran de connexion WordPress comme d’habitude. Cependant, lorsqu'ils saisiront leur nom d'utilisateur et leur mot de passe, un deuxième écran s'affichera, demandant le code à leur application d'authentification.

Ils devront saisir le code de l'application sur leur téléphone avant de pouvoir se connecter. Ils peuvent également saisir un code de secours s'ils n'ont pas leur téléphone avec eux.

Cela rend votre site Web plus sécurisé. Si un pirate informatique découvre le nom d'utilisateur et le mot de passe de l'un de vos utilisateurs, il ne pourra se connecter que s'il a également accès à son téléphone.

Méthode 2 : ajout d’une authentification à deux facteurs à l’aide de deux facteurs

Cette méthode est moins flexible car elle ne vous permet pas d'imposer des connexions à deux facteurs pour tous les utilisateurs. Chaque utilisateur devra le configurer lui-même et pourra le désactiver depuis son profil. Cependant, il s’agit d’une méthode simple et rapide si vous souhaitez simplement configurer 2FA pour votre propre compte.

Tout d’abord, vous devez installer et activer le plugin Two-Factor. Pour plus de détails, consultez notre guide étape par étape sur la façon d'installer un plugin WordPress.

Lors de l'activation, vous devez visiter la page Utilisateurs »Profil et faire défiler jusqu'à la section « Options à deux facteurs ».

À partir de là, vous devez choisir une option de connexion à deux facteurs. Le plugin vous permet d'utiliser le courrier électronique, une application d'authentification et les méthodes FIDO U2F Security Keys.

Nous vous recommandons d'utiliser la méthode de l'application d'authentification. Scannez simplement le code QR sur l'écran à l'aide d'une application d'authentification comme Google Authenticator, Authy ou LastPass Authenticator.

Une fois que vous avez scanné le code QR, l'application vous montrera un code de vérification que vous devez saisir dans les options du plugin et cliquer sur le bouton « Soumettre ».

Le plugin va maintenant définir la clé secrète. Vous pouvez réinitialiser cette clé à tout moment depuis la page des paramètres pour scanner à nouveau le code QR.

N'oubliez pas de cliquer sur le bouton « Mettre à jour le profil » en bas de la page pour enregistrer vos paramètres.

Désormais, chaque fois que vous vous connecterez à votre site WordPress, il vous sera demandé de saisir le code d'authentification généré par l'application sur votre téléphone.

FAQ sur l'authentification à deux facteurs (2FA) dans WordPress

Voici quelques réponses à certaines des questions les plus fréquemment posées sur l’utilisation de la connexion en deux étapes dans WordPress.

1. Comment puis-je me connecter avec 2FA si je n'ai pas accès à mon téléphone ?

Si vous utilisez une application d'authentification avec une option de sauvegarde dans le cloud comme Authy, vous pouvez également installer l'application sur votre ordinateur portable.

Cela vous donne accès aux codes d'authentification même lorsque vous n'avez pas votre téléphone avec vous. Il vous permet également de restaurer facilement vos clés secrètes lorsque vous achetez un nouveau téléphone.

De nombreuses applications d'authentification vous permettent également de générer des codes de sauvegarde. Ces codes peuvent être utilisés comme codes d'accès à usage unique lorsque vous n'avez pas accès à votre téléphone.

2. Comment me connecter sans aucun code depuis mon application d'authentification ?

Si vous n'avez pas accès à votre téléphone, ordinateur portable ou codes de sauvegarde, vous ne pouvez vous connecter qu'en désactivant le plugin 2FA.

Vous pouvez consulter notre guide sur la façon de désactiver tous les plugins WordPress lorsque vous ne parvenez pas à accéder à la zone d'administration.

Une fois que vous aurez désactivé tous les plugins, cela désactivera également le plugin d'authentification à deux facteurs et vous pourrez vous connecter à votre site Web WordPress. Une fois connecté, vous pouvez réactiver les plugins et réinitialiser la configuration de l'authentification à deux facteurs.

3. Dois-je protéger par mot de passe le dossier d’administration de WordPress ?

La sécurité d’un site Web fonctionne mieux lorsque vous disposez de plusieurs couches de sécurité pour protéger votre site Web, en commençant par les bases telles que l’utilisation de HTTPS et l’hébergement WordPress sécurisé.

La vérification à deux facteurs sécurise votre connexion WordPress, mais vous pouvez la rendre encore plus sécurisée en protégeant par mot de passe le répertoire d'administration WordPress. Cela signifie que les utilisateurs ne pourront pas accéder à votre page de connexion à moins d'avoir d'abord saisi un nom d'utilisateur et un mot de passe.

Nous espérons que cet article vous a aidé à ajouter la vérification à 2 facteurs pour la connexion WordPress. Vous voudrez peut-être également consulter notre guide sur la façon d’obtenir un certificat SSL gratuit pour votre site WordPress ou notre sélection d’experts des meilleurs plugins de sécurité WordPress.

Si vous avez aimé cet article, abonnez-vous à notre chaîne YouTube pour les didacticiels vidéo WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.