Avez-vous activé l’authentification à deux facteurs sur votre compte Google ? Ou peut-être même sur l’un de vos comptes de médias sociaux ? Vous savez, celle qui vous permet de saisir votre mot de passe et de recevoir une notification mobile pour confirmer que c’est bien vous qui avez essayé de vous connecter ?
Cette couche de sécurité supplémentaire est utile, n’est-ce pas ? Même si quelqu’un s’empare de votre mot de passe, il ne peut pas accéder à votre compte tant que vous n’avez pas donné votre accord. Le pouvoir est entre vos mains !
Alors que de plus en plus de propriétaires de sites web cherchent de meilleurs moyens de sécuriser les connexions à leur site, l’authentification à deux facteurs apparaît partout sur Internet.
Aimeriez-vous ajouter une authentification à deux facteurs similaire pour votre site WordPress ?
Oui, c’est tout à fait possible !
Ce guide vous montrera comment faire. Nous aborderons les options dont vous disposez, la manière de mettre en œuvre l’authentification à deux facteurs et certains plugins que vous pouvez utiliser pour la mettre en œuvre sur votre propre site web.
Authentification à deux facteurs et WordPress
Comme pour tous les autres sites en ligne, vous pouvez facilement ajouter l’authentification à deux facteurs à votre site WordPress. Cela confère à votre site WordPress un niveau de sécurité accru, et il n’y a jamais trop de sécurité !
En raison de leur popularité, les sites WordPress sont une cible privilégiée pour les attaques malveillantes, les attaques par force brute et les pirates informatiques.
Bien qu’il soit impératif d’avoir un mot de passe solide, il vaut la peine d’ajouter une couche de sécurité supplémentaire à votre site. Inutile de dire qu’il vaut mieux prévenir que guérir !
Qu’est-ce que l’authentification à deux facteurs ? Comment l’installer sur votre site WordPress ? Quels sont les meilleurs plugins d’authentification à deux facteurs à utiliser ?
Qu’est-ce que l’authentification à deux facteurs ?
L’authentification à deux facteurs (2FA) est une couche de sécurité supplémentaire que vous pouvez ajouter à vos pages de connexion WordPress. Avec 2FA, les pirates ne peuvent pas pirater votre site WordPress, même s’ils devinent votre mot de passe.
Vous vous connectez à WordPress comme d’habitude avec votre nom d’utilisateur et votre mot de passe et un code vous est envoyé sur votre téléphone. À l’aide de ce code, vous entrez sur le site.
Nous sommes tous habitués à une authentification en une seule étape, c’est-à-dire à l’utilisation d’un mot de passe. Plus le mot de passe est fort, moins il y a de chances qu’il soit piraté.
Même si vous créez un mot de passe fort et que vous le changez régulièrement, il est toujours possible qu’il soit compromis.
C’est là qu’intervient l’authentification à deux facteurs !
Pourquoi l’authentification à deux facteurs est-elle nécessaire ?
Savez-vous combien de sites web utilisent WordPress dans le monde ?
WordPress anime près de 44 % des sites web mondiaux, tandis que Wix et Squarespace occupent les deuxième et troisième places avec respectivement 7,17 % et 4,06 % de parts de marché. (Source : First Site Guide)
Ces chiffres témoignent de la part de marché et de la position dominante de WordPress.
Vous avez entendu parler de la célèbre citation : “Évitez la popularité si vous voulez la paix – Abraham Lincoln” ?
Eh bien, c’est également le cas ici !
En raison de sa popularité, WordPress est une cible privilégiée pour les pirates informatiques et les attaques par force brute. Si votre site est piraté, les coordonnées de vos clients et autres informations confidentielles sont à la merci des pirates.
Il est donc utile d’ajouter une couche de sécurité supplémentaire à votre site WordPress afin d’en assurer la protection.
Il y a plusieurs façons de procéder. L’une d’entre elles consiste à modifier l’URL de connexion de WordPress.
L’accès à l’écran de connexion est connu de tous ceux qui connaissent WordPress. Par exemple, pour un domaine https://yourdomain.com, l’URL de connexion de WordPress sera https://yourdomain.com/wp-admin.
Comment masquer l’évidence et changer l’URL de destination ?
Le moyen le plus simple est d’installer le plugin WPS Hide Login. Ce plugin populaire vous permet de créer facilement une nouvelle URL de connexion WordPress en masquant l’URL par défaut.
Une autre méthode pour sécuriser votre site web consiste à utiliser des mots de passe forts et à les modifier régulièrement. Mais, comme nous l’avons déjà mentionné, ce n’est pas la meilleure option.
L’authentification à deux facteurs en est la solution. Du moins jusqu’à ce que quelque chose de mieux se présente !
L’authentification à deux facteurs n’est pas fournie avec WordPress. Vous devrez installer un plugin à cet effet.
Nous allons donc activer l’authentification à deux facteurs en utilisant le plugin WordPress Google Authenticator.
Comment activer l’authentification à deux facteurs ?
La manière la plus simple d’installer une authentification à deux facteurs est d’utiliser le plugin Google Authenticator. Voici les étapes à suivre pour l’activer.
Activation de l’authentification à deux facteurs à l’aide de Google Authenticator
Étape 1 : Installer le plugin Google Authenticator
Installez et activez le plugin WordPress Google Authenticator à partir de Plugins > Ajouter un nouveau.
Une fois le plugin activé, vous serez invité à cliquer sur Advance Settings ou Logout and Configure.
Cliquez sur ce dernier.
Étape 2 : Configurer Google Authenticator
Une fois que vous vous êtes reconnecté à votre tableau de bord WordPress, vous êtes invité à sélectionner une méthode 2FA pour votre site web.
Vous pouvez choisir l’une des options disponibles.
Nous avons choisi la première option, c’est-à-dire Google / Authy / Microsoft Authenticator (toute application d’authentification basée sur TOTP).
Dans l’écran suivant, sélectionnez l’application Authenticator parmi les options disponibles et scannez le code QR avec votre téléphone. Si vous n’avez pas de scanner de code QR installé, vous pouvez en télécharger un à partir de l’App Store ou du Play Store.
Une fois l’opération terminée, vous recevrez un OTP à 6 chiffres, un code de vérification généré par l’application Google Authenticator.
Saisissez l’OTP et cliquez sur Vérifier et enregistrer.
Vous trouverez maintenant une liste de codes de récupération.
Les codes de récupération, également appelés codes de sauvegarde, peuvent être utilisés pour vous connecter à votre compte WordPress lorsque vous avez été bloqué ou que vous avez oublié votre téléphone.
Il est recommandé de télécharger les codes et de les sauvegarder en toute sécurité.
Vous recevrez également un courriel contenant les codes de sauvegarde.
Cliquez sur Terminer une fois que vous avez terminé.
Étape 3 : Activer l’authentification à deux facteurs
Une fois que vous avez terminé toutes les étapes ci-dessus, allez sur miniOrange 2-Factor > Two factor.
Vous remarquerez que Google Authenticator est configuré.
En plus de la méthode Google Authenticator, vous pouvez opter pour n’importe quelle autre méthode d’authentification à deux facteurs, comme les questions de sécurité, l’OTP par SMS, l’OTP par eMail, l’OTP par Whatsapp, et bien d’autres encore.
Pour activer le 2FA pour votre site web, cliquez sur l’option 2FA + Sécurité du site web ci-dessus.
Une fois l’option activée, vous remarquerez une série de liens apparaissant sur le côté gauche, sous miniOrange 2-Factor. Vous serez également dirigé vers le tableau de bord.
Le tableau de bord fournit des informations détaillées sur le nombre d’échecs de connexion, le nombre d’attaques bloquées, etc.
Activer l’authentification à deux facteurs à l’aide de l’OTP par SMS
Si vous souhaitez configurer l’OTP par SMS, suivez les étapes suivantes.
Étape 1 : Configurer l’OTP par SMS
Allez sur miniOrange 2-Factor > Two factor et cliquez sur Configure sous OTP Over SMS.
activer l’authentification à deux facteurs en utilisant l’OTP par SMS
Pour les nouveaux utilisateurs, vous devrez créer un compte sur miniOrange avant de continuer.
Une fois inscrit, vous verrez le nombre de transactions par e-mail et par SMS qui vous sont autorisées.
Pour obtenir plus de modules, vous devez les acheter.
Une fois que vous avez créé un compte, il est temps de configurer l’OTP par SMS.
Étape 2 : Configurer l’OTP par SMS
Maintenant que vous êtes connecté à votre compte, cliquez sur Configurer sous OTP par SMS.
Entrez votre numéro de téléphone portable et cliquez sur Vérifier.
Saisissez l’OTP que vous venez de recevoir sur votre numéro de mobile et cliquez sur Valider l’OTP.
Voilà, vous avez réussi à configurer 2FA en utilisant l’OTP !
De la même manière, vous pouvez choisir de configurer d’autres méthodes de 2FA.
Maintenant, quels sont les autres meilleurs plugins WordPress d’authentification à deux facteurs ? Découvrons-les.
Les meilleurs plugins d’authentification à deux facteurs pour WordPress
Voici une liste de plugins WordPress d’authentification à deux facteurs que vous pouvez facilement installer pour sécuriser votre site web.
WP 2FA
WP 2FA est un plugin WordPress gratuit et facile à utiliser pour l’authentification à deux facteurs qui vous permet d’ajouter facilement une sécurité supplémentaire à votre site.
Non seulement vous pouvez activer l’authentification à deux facteurs pour les administrateurs de votre site, mais vous pouvez également forcer les utilisateurs de votre site à utiliser l’authentification à deux facteurs. Une fois installé, WP 2FA dispose d’un assistant d’installation qui vous montre clairement comment activer le 2FA et le rendre opérationnel.
Fonctionnalités de WordPress 2FA :
- WP 2FA est un plugin d’authentification à deux facteurs (2FA) gratuit et facile à installer
- Il supporte TOTP (code provenant d’applications 2FA comme Google Authenticator et Authy) et OTP (codes basés sur l’email).
- Définissez des règles pour activer l’authentification à deux facteurs avec un délai de grâce. Il est également possible de demander aux utilisateurs de configurer 2FA instantanément après l’ouverture de session.
- Prise en charge de l’utilisation de codes de sauvegarde 2FA
- Protège contre les devinettes automatiques de mots de passe et les attaques par dictionnaire.
Allez-y et installez WP 2FA gratuitement.
Two-Factor
Two-Factor est un autre plugin WordPress gratuit de 2FA. Les réglages pour le 2FA sont disponibles sur la page du profil de l’utilisateur de WordPress.
Vous pouvez configurer le 2FA à partir de l’une des méthodes suivantes :
- Recevoir des codes d’authentification par e-mail
- Mots de passe à usage unique basés sur le temps (TOTP)
- FIDO Universal 2nd Factor (U2F)
- Codes de sauvegarde
- Possibilité d’utiliser une méthode fictive (bac à sable) uniquement à des fins de test
Le plugin ne dispose pas d’un paramètre global permettant d’appliquer le 2FA à tous les utilisateurs. L’administrateur devra activer le 2FA individuellement pour chaque personne qui se connecte à votre site web.
Le plugin Two-Factor prend également en charge l’utilisation de codes de sauvegarde. Ainsi, si vous ne pouvez pas générer le deuxième facteur pour vous connecter à votre site WordPress, vous pouvez utiliser l’un des codes de sauvegarde.
Explorez et installez gratuitement le plugin Two-Factor.
Google Authenticator
Google Authenticator est un plugin d’authentification à deux facteurs très populaire. Il s’agit d’un plugin WordPress 2FA simple et facile à utiliser.
Après avoir installé le plugin, visitez votre page de profil pour activer les paramètres de Google Authenticator. Vous scannez ensuite le code QR à l’aide de l’application Google Authenticator sur votre smartphone. En plus du nom d’utilisateur et du mot de passe, la prochaine fois que vous vous connecterez à votre site WordPress, il vous sera demandé le code de l’application Google Authenticator.
Saisissez le code de l’application dans votre page de connexion WordPress et vous aurez accès à votre site. Sans ce code, vous ne pourrez pas vous connecter.
En utilisant le plugin Google Authenticator, vous pouvez facilement intégrer 2FA dans d’autres plugins WordPress populaires tels que WooCommerce, BuddyPress, bbpress, Digimember, LearnDash, et bien d’autres.
Voici quelques-unes des fonctionnalités de Google Authenticator :
- Interface simple et facile à utiliser pour configurer Google Authenticator et 2FA
- Une variété de méthodes 2FA
- Prise en charge de plusieurs langues pour toutes les méthodes 2FA
- Connexion sans mot de passe ou à l’aide d’un numéro de téléphone. Cette méthode est prise en charge par Google Authenticator et d’autres méthodes 2FA.
- Le 2FA permet l’authentification sur la page de connexion elle-même pour Google Authenticator
- Empêche les attaques par force brute et le blocage des adresses IP
- Surveiller la connexion des utilisateurs avec et sans 2FA
Essayez le plugin WordPress Google Authenticator.
WordPress 2-Step Verification
WordPress 2-Step Verification est un autre plugin WordPress gratuit d’authentification à deux facteurs. Une fois installé, vous pouvez configurer l’authentification à deux facteurs à partir de la page du profil de l’utilisateur.
Pour vous connecter à votre admin WordPress, en plus du nom d’utilisateur et du mot de passe, vous devrez saisir un code généré par votre application Android/iPhone. Alternativement, le plugin vous enverra le code par email après la connexion.
Voici quelques-unes des fonctionnalités de ce plugin :
- Facile à mettre en place
- Possibilité d’utiliser l’application ou l’e-mail
- Utilisation de codes de sauvegarde
- Facilité de récupération (via FTP)
- Intégrer 2FA pour WooCommerce
Installer le plugin WordPress de vérification en 2 étapes.
5. Two Factor Authentication
Le plugin Two Factor Authentication permet de sécuriser les connexions à WordPress. Les utilisateurs auront besoin d’un code à usage unique pour se connecter à l’administration de WordPress afin de protéger votre site web.
Pour créer des mots de passe à usage unique (OTP), ce plugin utilise des algorithmes standards utilisés par Google Authenticator.
Voici quelques-unes des fonctionnalités du plugin Two Factor Authentication :
- Il prend en charge les protocoles TOTP + HOTP standard.
- Numérisation facile grâce à l’utilisation de codes QR graphiques
- L’authentification à deux facteurs peut être rendue disponible en fonction des rôles des utilisateurs
- Il s’intègre aux formulaires de connexion de WooCommerce et d’Affiliates-WP.
- Il est compatible avec WP Multisite
- Fonctionne avec WP Members
Installez l’authentification à deux facteurs gratuitement.
Que sont les codes de récupération et comment les utiliser ?
Vous vous souvenez des codes de récupération que nous avons téléchargés au cours de la procédure d’installation ?
À quoi servent ces codes de restauration ?
Les codes de récupération vous permettent de vous connecter à votre compte même si vous perdez votre téléphone ou si vous êtes bloqué sur votre site web.
L’avantage des codes de récupération est qu’ils n’expirent pas. Cependant, chaque code de récupération ne peut être utilisé qu’une seule fois.
Comment utiliser ces codes de récupération ? La procédure est la même que pour un code OTP.
Rendez-vous sur la page de connexion de votre site WordPress.
Une fois que vous avez saisi votre nom d’utilisateur et votre mot de passe, vous êtes redirigé vers la page Valider l’OTP. Cliquez sur “Utiliser les codes de sauvegarde” et saisissez l’un des codes de sauvegarde que vous avez téléchargés ou que vous avez reçus par courrier électronique.
Cliquez ensuite sur login pour continuer. C’est tout !
Il est important de noter que les codes précédents ne fonctionneront pas si vous en créez de nouveaux.
Comment désactiver l’authentification à deux facteurs ?
La désactivation de l’authentification à deux facteurs est tout aussi simple.
Allez dans Paramètres sous miniOrange 2-Facteurs > Deux facteurs.
Cliquez sur la case à cocher pour désactiver l’authentification à deux facteurs sur votre site web.
Testez-la en vous déconnectant et en vous reconnectant, et vous ne serez pas invité à saisir un OTP.
Quelle est votre méthode d’authentification à deux facteurs ?
Si vous gérez une entreprise en ligne, la sécurité de votre site web est probablement une priorité absolue. Non seulement vous souhaitez avoir un contrôle total sur votre site web, mais vous voulez également vous assurer que toutes les données des utilisateurs et des clients sont sûres et sécurisées.
En raison de leur popularité, les sites web WordPress sont une cible fréquente pour les pirates informatiques et les attaques par force brute. Et à moins que vous ne souhaitiez vous retrouver en situation de pompier, il est préférable d’ajouter une couche supplémentaire de sécurité en ajoutant une authentification à deux facteurs pour votre site web.
L’installation native de WordPress ne permet pas d’activer l’authentification à deux facteurs. Heureusement, grâce aux différents plugins disponibles, vous pouvez facilement ajouter l’authentification à deux facteurs. La plupart sont gratuits et faciles à utiliser et ajoutent une couche de défense supplémentaire à votre site web.
Alors, quelle est votre méthode d’authentification à deux facteurs ? Comment protégez-vous votre site web contre les attaques ? Nous aimerions le savoir dans les commentaires ci-dessous.
