Comment activer l'authentification à deux facteurs sur votre site WordPress

Un identifiant + un mot de passe. La connexion à l'interface d'administration de WordPress est très simple, du moment que vous vous souvenez de ces deux éléments.

Du point de vue de la personne malveillante ou du robot qui veut accéder à votre site, c'est tout aussi simple.

S'ils trouvent votre identifiant et votre mot de passe, ils deviendront le capitaine du navire, sans votre permission .

C'est un scénario catastrophe et malheureusement, cela n'arrive pas qu'aux autres. Pour vous protéger, il peut être judicieux d' activer l'authentification à deux facteurs sur WordPress .

Si vous n'êtes pas encore familiarisé avec cette méthode de protection, ou si vous souhaitez la mettre en place, cet article vous expliquera tout.

Après l'avoir lu, vous saurez pourquoi utiliser l'authentification à deux facteurs et comment l'activer sur votre installation WordPress en utilisant deux méthodes différentes (toutes deux utilisant un plugin).

Vos meilleurs projets WordPress ont besoin du meilleur hébergeur !

WPMarmite recommande Bluehost : excellentes performances, excellent support. Tout ce dont vous avez besoin pour un bon départ.

Essayez Bluehost

Qu'est-ce que l'authentification à deux facteurs ?

Comment fonctionne l'authentification à deux facteurs ?

L'authentification à deux facteurs est une méthode de sécurisation d'un compte utilisateur . Sur WordPress, il permet de protéger l'accès à l'interface d'administration (back office) en ajoutant une couche de protection supplémentaire à l'authentification par mot de passe.

Voici comment cela fonctionne:

1. Tout d'abord, vous entrez votre nom d'utilisateur et votre mot de passe sur la page de connexion de l'administration . C'est ce que vous faites normalement chaque fois que vous souhaitez accéder à votre site WordPress.
2. Ensuite, vous devrez vous identifier une seconde fois pour pouvoir accéder à l'admin , à l'aide d'un appareil ou d'un service en votre possession. Il peut s'agir par exemple d'un smartphone sur lequel vous validez la tentative de connexion en saisissant un code.

C'est pourquoi nous appelons cela la double authentification : pour vous connecter à WordPress, vous devez vous identifier deux fois.

Le gros plus de cette méthode est que si quelqu'un pirate votre mot de passe, cela ne suffira pas pour accéder à votre compte.
Si la personne ou le bot malveillant n'a rien d'autre à votre disposition pour se connecter (par exemple, votre appareil mobile), il ne pourra pas se connecter.

De plus, il s'agit d'un service que vous avez probablement déjà utilisé dans votre vie quotidienne. De nombreux sites célèbres l'utilisent, tels que Google, Facebook et PayPal .

Cela vaut également pour votre banque. Pour valider un paiement (surtout pour des montants importants), il vous est souvent demandé de le valider sur votre application bancaire, sur laquelle vous devez vous connecter.

Plusieurs noms sont utilisés pour désigner l'authentification à deux facteurs. On peut aussi dire identification à deux facteurs, double authentification, ou encore 2FA .

Quelles sont les options pour la deuxième forme d'authentification ?

Avant de poursuivre, jetons un coup d'œil sur les méthodes d'identification qui pourraient vous être proposées lors de la deuxième étape d'identification.

Ce deuxième facteur peut prendre plusieurs formes, telles que :

• Un code de sécurité envoyé par SMS ou email
• Une application d'authentification (par exemple Google Authenticator) qui génère un code de sécurité à usage unique, valide uniquement pour une certaine période de temps
• Un jeton USB , qui s'insère dans le port USB de votre ordinateur
• Une notification push
• Une empreinte digitale ou un scan de la rétine

Pourquoi devriez-vous activer l'authentification à deux facteurs sur WordPress ?

Bien que la double authentification ajoute une étape supplémentaire au processus de connexion, elle présente toujours un gros avantage : elle rend l'accès à votre interface d'administration beaucoup plus sécurisé .

En utilisant cette méthode :

• Vous limitez les attaques par force brute . Lorsque des attaques par force brute se produisent, les bots visitent votre page de connexion WordPress et essaient de comprendre le nom d'utilisateur et le mot de passe du compte administrateur de votre site en testant différentes combinaisons, afin d'en prendre le contrôle. S'ils réussissent, la double authentification les empêchera d'accéder à votre administrateur WordPress.
• Vous renforcez la sécurité de votre compte administrateur . Même si vous utilisez un mot de passe faible comme 123456 ou love — ne faites pas ça — vous aurez une mesure de protection supplémentaire avec le deuxième facteur d'authentification.
• Vous réduisez les risques de piratage et protégez mieux certaines données confidentielles (informations personnelles, ou les données bancaires de vos clients si vous vendez sur une boutique WooCommerce).

La valeur de l'authentification à deux facteurs est-elle plus claire ? Passons maintenant aux affaires. Continuez à lire pour savoir comment configurer la double authentification sur WordPress en quelques minutes.

Comment activer la double authentification sur WordPress

Tout d'abord, je vous recommande de sauvegarder votre site. En cas de problème, vous pourrez faire demi-tour et le restaurer facilement. Pour cela, vous pouvez par exemple activer le plugin UpdraftPlus ou utiliser le module de sauvegarde d'un outil de maintenance comme WP Umbrella (lien affilié) ou ManageWP .

Quelles options avez-vous ?

Le moyen le plus simple et le plus rapide d'activer l'authentification à deux facteurs sur WordPress consiste à utiliser un plugin. Il y a deux options pour cela.

Dans un premier temps, vous pouvez choisir un plugin dédié à la double authentification sur WordPress . Le répertoire officiel de WordPress en compte des dizaines.

Parmi les plus populaires (plus de 5 000 installations actives), vous trouverez :

• Deux facteurs ( plus de 50 000 installations actives)
• WP 2FA - Authentification à deux facteurs pour WordPress ( plus de 40 000 installations actives)
• Authentificateur Google ( plus de 30 000 installations actives)
• Authentification à deux facteurs ( plus de 20 000 installations actives)
• Google Authenticator de miniOrange ( plus de 20 000 installations actives)
• Authentification à deux facteurs Duo (installations actives 9K + )

L'autre option consiste à tirer parti d'une fonctionnalité de double authentification offerte par un plugin de sécurité à usage général tel que SecuPress, iThemes Security ou Wordfence Security.

Découvrons comment les mettre en œuvre en détail.

Comment activer la double authentification sur WordPress avec le plugin WP 2FA

Si vous souhaitez utiliser un plugin dédié à la double authentification sur WordPress, le plugin WP 2FA est une option fiable et efficace pour plusieurs raisons :

• C'est le plugin le plus populaire après Two-Factor. Et contrairement à Two-Factor, WP 2FA permet de mettre en place une authentification à deux facteurs pour tous les utilisateurs (avec Two-Factor, chaque utilisateur devra la configurer lui-même).
• C'est l'un des mieux notés.
• Il est fréquemment mis à jour .
• Il est facile à utiliser et à apprendre.
• Plusieurs méthodes de seconde authentification sont proposées : email, SMS, application d'authentification, code de récupération, etc.
• Il est développé et maintenu par une société spécialisée dans la sécurité WordPress : WP White Security propose également l'excellent plugin WP Activity Log.
• Vos utilisateurs peuvent mettre en place une authentification à deux facteurs sans se connecter à l'administration . Ils peuvent le faire depuis le front-end, ce qui est très pratique pour les clients d'une boutique en ligne (WP 2FA s'intègre à WooCommerce), d'un espace membre, etc.

Sans transition, apprenons à le configurer en quelques étapes rapides.

Étape 1 : Installez et activez le plugin WP 2FA

Tout d'abord, installez et activez le plugin sur votre interface d'administration WordPress. Pour cela, rendez-vous dans le menu Plugins > Ajouter nouveau .

Étape 2 : Sélectionnez une méthode d'authentification pour vos utilisateurs

Une fois le plugin activé, un assistant de configuration se lancera automatiquement sur votre écran. Cliquez sur le bouton bleu "Commençons" pour commencer :

Vous serez ensuite invité à choisir une méthode d'authentification pour vos utilisateurs. Vous avez deux options pour le deuxième facteur d'authentification :

• Utiliser une application comme Google Authenticator ou Authy
• Envoi d'un code par email . Dans ce cas, WP 2FA recommande d'activer le plugin WP Mail SMTP pour améliorer la délivrabilité des emails envoyés par WordPress.

Si vous souhaitez proposer ces deux options à vos utilisateurs, laissez les deux cases cochées.

Sinon, décochez la case de votre choix si vous ne souhaitez pas proposer l'une des méthodes d'authentification. Cliquez sur « Continuer la configuration » pour continuer la configuration :

À l'étape suivante, vous pouvez également choisir d'envoyer un code de secours à usage unique , au cas où la méthode d'authentification précédente (par une application ou par e-mail) ne fonctionnerait pas.

Pour choisir cette option, laissez la case « Codes de sauvegarde » cochée, puis cliquez sur « Continuer la configuration » :

Étape 3 : Définissez les rôles d'utilisateur qui utiliseront la double authentification sur WordPress

Dans la troisième étape, WP 2FA vous invite à choisir qui utilisera la double authentification sur votre site WordPress. Il y a trois options :

• Tous les utilisateurs : Dans ce cas, chacun devra s'authentifier deux fois pour se connecter, quel que soit son rôle d'utilisateur (administrateur, auteur, éditeur, contributeur et abonné).
• Certains utilisateurs et/ou rôles définis ("Uniquement pour des utilisateurs et des rôles spécifiques"). Ici, vous pouvez limiter l'utilisation de l'authentification à deux facteurs à certains utilisateurs et rôles.
• N'imposez à aucun utilisateur . Dans ce cas, chaque utilisateur sera libre de l'activer ou non.

Passez à l'étape suivante en cliquant sur "Continuer la configuration":

Étape 4 : Configurer une période de grâce

Si vous choisissez d'appliquer l'authentification à deux facteurs à tous ou à certains de vos utilisateurs, vous pouvez leur donner la possibilité de configurer l'authentification à deux facteurs dans un certain délai de grâce.

WP 2FA vous permet soit :

• Forcez vos utilisateurs à configurer immédiatement l'authentification à deux facteurs ("Les utilisateurs doivent configurer 2FA immédiatement")
• Définissez une période de grâce pour configurer 2FA ("Donnez aux utilisateurs une période de grâce pour configurer 2FA") qui peut être définie en jours ou en heures.

Si vous décidez de définir un délai de configuration, vous devrez choisir ce qui se passera si l'utilisateur n'agit pas pendant le délai :

• Soit ils ne pourront pas accéder au tableau de bord ou à leur page utilisateur ("Ne les laissez pas accéder au tableau de bord/page utilisateur") tant qu'ils n'auront pas configuré la double connexion sur WordPress
• Soit le compte de l'utilisateur sera bloqué (« Bloquer l'utilisateur »). Seul un administrateur pourra le débloquer.

Terminez en cliquant sur « Tout est terminé » :

Étape 5 : Choisissez la méthode de double connexion sur WordPress pour votre compte utilisateur

La dernière étape consiste à configurer la double authentification pour votre compte utilisateur. Pour cela, cliquez sur le bouton « Configurer 2FA maintenant » :

Une fenêtre en surbrillance s'ouvrira alors sur votre écran vous demandant de choisir la méthode d'authentification que vous souhaitez utiliser :

• Authentification via une application ("Code à usage unique via l'application 2FA"). C'est la méthode que je vais choisir ici.
• Authentification par e-mail ("Code à usage unique par e-mail").

Étape 6 : Générer un code d'authentification sur une application d'authentification à deux facteurs

Pour vous authentifier via une application, vous devez en choisir une. WP 2FA est compatible avec les applications suivantes :

• Authentificateur Google
• Authy
• Authentificateur Microsoft
• Duo
• Dernier passage
• GratuitOTP
• Okta

Pour les besoins de ce test, je m'appuierai sur Google Authenticator, qui est probablement le plus connu .

Téléchargez cette application sur votre smartphone. Ouvrez-le, puis scannez le QR code proposé par le plugin WP 2FA sur votre interface d'administration. Lorsque c'est fait, cliquez sur le bouton "Je suis prêt".

Entrez ensuite le code généré par l'application Google Authenticator, et pensez à valider en cliquant sur le bouton correspondant (« Valider & Enregistrer ») :

Étape 7 : Connectez-vous à WordPress

Pour vérifier que tout fonctionne correctement, déconnectez-vous de votre interface d'administration WordPress.

Sur la page de connexion de l'administrateur, entrez votre nom d'utilisateur et votre mot de passe comme d'habitude. Si tout va bien, il vous sera alors demandé d'entrer un code à usage unique généré par l'application que vous utiliserez .

Dans le cas de Google Authenticator, il s'agit d'un code à 6 chiffres qui est régénéré toutes les 30 secondes.

Et voilà, votre site est désormais beaucoup plus sécurisé. Toutes nos félicitations!

Vous pouvez également personnaliser le texte de l'e-mail qui vous enverra un code d'authentification (si vous choisissez cette méthode dans les paramètres du plugin), via le menu WP 2FA > Paramètres > Emails & Modèles. Enfin, il est également possible de modifier le texte qui s'affiche sur la page de connexion lorsque vous devez entrer votre code d'authentification.

Rejoignez les abonnés WPMarmite

Obtenez les derniers messages WPMarmite (ainsi que des ressources exclusives).

ABONNEZ-VOUS MAINTENANT

Comment activer l'authentification à deux facteurs avec un plugin de sécurité général

Si vous avez vous-même suivi le processus de configuration de l'authentification à deux facteurs sur WordPress, vous avez peut-être trouvé les étapes relativement simples.

D'un autre côté, vous l'avez peut-être trouvé un peu long à mettre en œuvre. Le plugin WP 2FA a plusieurs options de configuration, ce qui peut faire traîner un peu les choses.

Si vous voulez aller un peu plus vite, mais avec moins d'options dans les paramètres, il existe un autre moyen.

Il s'agit de l'utilisation d'un plugin de sécurité à usage général. La plupart d'entre eux offrent une option pour activer la double authentification sur votre site WordPress.

WPMarmite a dédié des tutoriels détaillés à trois des plugins de sécurité les plus connus, dans lesquels vous découvrirez comment configurer la double authentification. Ce sont les plugins suivants :

• Wordfence Security (inclus dans la version gratuite). Si vous ne souhaitez pas profiter de toutes les fonctionnalités offertes par Wordfence, notez qu'il propose également un plugin plus léger avec moins d'options (Wordfence Login Security), qui inclut la double authentification.
• Sécurité iThèmes (inclus dans la version gratuite)
• SécuPress propose également une authentification à deux facteurs (2FA), mais uniquement dans sa version Pro. SecuPress propose une méthode intéressante à cet égard : Passwordless . Pour se connecter, l'utilisateur n'a pas besoin de saisir de mot de passe. Ils entrent simplement leur adresse e-mail sur la page de connexion de WordPress, puis ils reçoivent un e-mail avec un lien unique qui leur permettra de se connecter une seule fois.

Si vous choisissez d'utiliser un plugin de sécurité à usage général, n'activez pas un plugin d'authentification à deux facteurs dédié comme WP 2FA ou l'un de ses concurrents en même temps. Ce serait contre-productif et vous vous exposeriez à des risques d'incompatibilité.

Conclusion

La double authentification sur WordPress est un moyen efficace de renforcer la sécurité de votre site . Par exemple, cela vous permet de mieux protéger votre site contre les attaques par force brute.

Au fil de ces lignes, vous avez découvert deux méthodes principales pour l'activer sur votre installation WordPress :

1. Avec un plugin dédié comme WP 2FA .
2. Avec un plugin de sécurité à usage général comme Wordfence, iThemes Security ou SecuPress.

Cependant, ne comptez pas uniquement sur l'authentification à deux facteurs pour protéger votre site. Pensez à utiliser des mots de passe forts, par exemple, ainsi qu'un plugin anti-spam comme Akismet.

Avez-vous mis en place une double connexion sur votre site ? Si oui, quels commentaires pouvez-vous partager avec nous ? Donnez votre avis aux lecteurs de WPMarmite en postant un commentaire.