WP Umbrella Logo

Comment mettre en place l'authentification à deux facteurs (2FA) dans WordPress avec le plugin WP 2FA

Robert Abela
-

Toute personne essayant d'accéder à son compte WordPress devra saisir son nom d'utilisateur et son mot de passe pour se connecter. Cette méthode d'authentification fournit généralement un bon niveau de sécurité si le mot de passe respecte les meilleures pratiques de sécurité. Cependant, vous pouvez obtenir une sécurité encore meilleure en demandant à vos utilisateurs de se connecter à WordPress avec 2FA. 

Dans ce tutoriel, nous discuterons de plusieurs avantages de l'ACF et de la manière dont vous pouvez intégrer l'ACF dans votre propre site web.

Qu'est-ce que le 2FA dans WordPress ?

De nombreux utilisateurs choisissent des mots de passe faciles à retenir (et vulnérables) par commodité. Cela peut constituer un risque majeur pour la sécurité. Les informations d'identification des utilisateurs peuvent également être volées à la suite d'un exploit ou d'une attaque. En tant que propriétaire de site web, vous devez essayer de prendre des précautions pour atténuer les effets néfastes de ces risques. L'une de ces précautions est l'authentification à deux facteurs ou 2FA pour WordPress.

S'appuyer uniquement sur le nom d'utilisateur et le mot de passe pour authentifier un utilisateur constitue une authentification à un seul facteur. L'authentification à deux facteurs exige que les utilisateurs vérifient leur identité à l'aide de deux facteurs d'authentification différents. Le terme 2FA est l'abréviation de two-factor authentication (authentification à deux facteurs). 

Le premier facteur est généralement la connaissance du nom d'utilisateur et du mot de passe. Le deuxième facteur est généralement basé sur la possession d'un appareil, d'une adresse électronique, etc. Cet appareil ou cette adresse électronique reçoit un lien ou un code valable une seule fois pour compléter l'authentification de l'utilisateur.

Principaux avantages de l'authentification 2FA

L'un des principaux avantages de l'utilisation de 2FA pour WordPress est la sécurité supplémentaire qu'elle apporte. Cette sécurité supplémentaire prend la forme d'une protection contre les mots de passe vulnérables, le vol d'informations d'identification et le phishing. Voyons comment 2FA peut fournir une sécurité supplémentaire pour un site web où la combinaison nom d'utilisateur-mot de passe est la seule méthode d'authentification.

1. Protection contre les mots de passe vulnérables

Tout le monde n'utilise pas de longs mots de passe contenant toutes sortes de lettres aléatoires, de chiffres et de caractères spéciaux. L'une des raisons de ce comportement est que les mots de passe complexes sont difficiles à mémoriser et que les outils de gestion des mots de passe ne sont pas largement utilisés par la population en général.

Cela signifie que les utilisateurs d'un site web utiliseront probablement un mot de passe court et facile à retenir. Quelques exemples de tels mots de passe sont pa$$word, passw0rd, qwerty, etc. De tels mots de passe sont faciles à craquer pour les acteurs malveillants. Ces mots de passe sont faciles à déchiffrer pour les acteurs malveillants. Ils tentent généralement de le faire en utilisant une attaque par force brute.

Dans une attaque par force brute, l'attaquant tente d'obtenir un accès en devinant les noms d'utilisateur et/ou les mots de passe par essais et erreurs. L'attaquant peut adopter de nombreuses approches. Par exemple, il peut essayer toutes les combinaisons possibles une par une ou parcourir une liste de mots de passe couramment utilisés.

Avec le 2FA, une personne malveillante ne pourra pas se connecter à l'un des comptes de l'utilisateur, même si elle a réussi à deviner son mot de passe. En effet, il devra toujours authentifier la demande de connexion. Cela se fait généralement en saisissant un code à usage unique qu'un utilisateur ayant configuré 2FA recevra sur son appareil ou son adresse e-mail, ou en approuvant la connexion par le biais d'une notification push provenant d'une application désignée, telle qu'Authy.

Vous devez également rappeler aux utilisateurs de votre site web que la mise en œuvre de l'ACF n'est pas une excuse pour cesser d'utiliser des mots de passe forts. Idéalement, leur mot de passe devrait toujours être difficile à deviner ou à craquer. L'un des moyens d'imposer l'utilisation de mots de passe forts est d'installer le plugin Melapress Login Security. Il offre également plusieurs autres avantages, tels que la possibilité de modifier l'URL de la page de connexion, de limiter les tentatives de connexion infructueuses, et bien plus encore.

2. Protection contre le vol de données d'identification

Une violation de données entraînant la divulgation des informations d'identification d'un utilisateur peut permettre à quelqu'un d'obtenir un accès non autorisé aux comptes de vos utilisateurs. Disposer d'un mot de passe fort ne sera d'aucune utilité dans ce cas.

Il est également courant que les gens utilisent le même ensemble de mots de passe sur plusieurs sites web. Cela signifie que des acteurs malveillants peuvent avoir accès aux informations d'identification des utilisateurs de votre site web, même si le vol s'est produit ailleurs.

Cependant, le 2FA sera toujours en mesure d'empêcher les acteurs malveillants d'accéder aux comptes de vos utilisateurs.

3. Protection contre l'hameçonnage

Tous les utilisateurs enregistrés sur votre site web ne sont pas forcément très au fait de la technologie. Ces utilisateurs peuvent devenir une cible facile pour les hameçonneurs qui peuvent créer un site web très similaire à votre site original. Les utilisateurs peu méfiants sont susceptibles de saisir leurs identifiants de connexion sur ces sites web.

Une fois que les mauvais acteurs ont accès aux données de connexion de l'utilisateur, ils peuvent les utiliser pour accéder au compte de l'utilisateur sur votre site web. L'activation de la fonction 2FA empêche l'accès aux comptes d'utilisateurs dont les informations d'identification ont été divulguées à leur insu à la suite d'une attaque de phishing.

4. Recouvrement des comptes

Un autre avantage du 2FA est qu'il peut aider les utilisateurs à retrouver l'accès à leurs comptes s'ils perdent ou oublient leurs identifiants de connexion. Il leur suffira de vérifier leur identité à l'aide d'une autre méthode d'authentification qu'ils auront enregistrée lors de la mise en place du 2FA.

Prêt à augmenter votre productivité, à impressionner vos clients et à développer votre agence WordPress ?

Installez WP Umbrella sur vos sites web en une minute et découvrez une nouvelle façon de gérer plusieurs sites WordPress.

Commencer gratuitement

Comment fonctionne le 2FA et quels sont les différents types de 2FA ?

Comme nous l'avons mentionné précédemment, 2FA signifie authentification à deux facteurs, c'est-à-dire qu'elle repose sur deux facteurs d'authentification différents pour permettre aux utilisateurs d'accéder à leurs comptes.

L'un de ces facteurs est la connaissance par l'utilisateur de son nom d'utilisateur et de son mot de passe. C'est la seule méthode d'authentification que la plupart des sites web utilisent par défaut. Elle part du principe que seuls les utilisateurs connaissent leurs identifiants de connexion.

L'autre facteur est généralement basé sur la possession par l'utilisateur d'un article ou d'un objet. Il peut s'agir de n'importe quoi, comme un smartphone ou une adresse électronique. Une fois que l'option 2FA est activée, l'utilisateur doit généralement saisir un code d'accès. Il peut le recevoir par SMS, par une application sur son smartphone ou dans un courriel envoyé à son adresse électronique. Il peut également recevoir une notification push lui demandant d'approuver sa connexion si c'est la méthode 2FA qu'il a choisie. 

L'hypothèse est que même si les informations d'identification d'un utilisateur sont volées ou exposées, un acteur malveillant ne sera toujours pas en mesure d'accéder à son compte parce qu'il n'aura pas accès à l'appareil ou à l'adresse électronique qui reçoit le code d'accès ou la notification push pour le deuxième test d'authentification.

Meilleures pratiques en matière de sécurité sur WordPress

Une étude réalisée par Verizon's Data Breach Investigations a révélé que 81 % des violations liées à des piratages informatiques reposaient sur des mots de passe volés ou faibles, ce qui souligne l'importance du 2FA.

Les méthodes 2FA les plus courantes

1. Code unique à partir d'une application 2FA

Les utilisateurs reçoivent d'une application un code à usage unique qu'ils doivent saisir lors de leur connexion. Ce code est valable pour une courte durée. Il existe de nombreuses applications, telles que Authy, Google Authenticator, Microsoft Authenticator et FreeOTP, que les utilisateurs peuvent utiliser pour configurer 2FA. Ces applications sont également gratuites. Les utilisateurs peuvent les télécharger et les utiliser sans rien payer.

WP 2FA supporte toutes les principales applications d'authentification. Si certains de vos utilisateurs utilisent déjà une application d'authentification, cela leur permettra de continuer à utiliser l'application existante au lieu de repartir de zéro.

Vous pouvez également donner aux utilisateurs la possibilité de demander un lien ou un OTP (One-Time Passcode) par courrier électronique pour s'authentifier. Le lien et l'OTP ne seront valables que pendant une période limitée.

Le plugin WP 2FA vous permet de spécifier des durées distinctes pour la validité du lien et du code à usage unique.

Si vous activez cette méthode, nous vous recommandons vivement d' assurer la délivrabilité des courriels pour votre site web WordPress. Les utilisateurs ne pourront s'authentifier qu'après avoir reçu un courriel de votre part.

3. Code unique par SMS

L'envoi à vos utilisateurs d'un code à usage unique par SMS pour l'authentification est une autre méthode 2FA. WP 2FA vous permet de mettre en place cette méthode avec l'aide du service de livraison de SMS Twilio. 

L'un des avantages de cette méthode est que vos utilisateurs n'ont pas besoin d'installer d'applications. Un autre avantage est qu'il n'est pas nécessaire que les utilisateurs aient un smartphone ou un téléphone avec une connexion internet. N'importe quel téléphone de base capable de recevoir des SMS fonctionnera parfaitement.

4. Notifications push

Cette méthode exige que les utilisateurs appuient sur une notification push dans une application telle qu'Authy pour approuver l'accès au compte. L'authentification sera ainsi terminée avec succès.

Une application peut envoyer une notification push même si elle n'est pas en cours d'exécution au premier plan. Cela rend l'authentification par notification push un peu plus conviviale, car les utilisateurs n'auront pas à lancer explicitement une application et à saisir un code. Ils peuvent simplement cliquer sur la notification push qui s'affiche pour l'authentification.

Il convient de noter que toutes ces méthodes 2FA exigent que les utilisateurs soient en possession de leur appareil ou de leur adresse électronique.

Supposons que les utilisateurs puissent vérifier leur identité en connaissant la combinaison nom d'utilisateur-mot de passe et en possédant un appareil ou une adresse électronique. Cela augmente considérablement les chances qu'ils soient les propriétaires légitimes de leurs comptes et non quelqu'un qui tente d'y accéder en utilisant des informations d'identification volées.

Comment mettre en place l'authentification 2FA sur WordPress

Nous allons maintenant voir comment vous pouvez ajouter l'authentification à deux facteurs à votre site web WordPress en utilisant le plugin WordPress WP 2FA. Ce plugin est livré avec de nombreuses fonctionnalités. Par exemple, il prend en charge plusieurs méthodes d'authentification à deux facteurs, des méthodes de sauvegarde de l'authentification à deux facteurs, des modèles d'emails entièrement modifiables, une intégration WooCommerce en un clic, la possibilité d'ajouter des appareils de confiance, et bien plus encore.

Nous allons commencer par installer le plugin. Vous devriez avoir reçu un email de MelaPress avec la clé de licence et un lien pour télécharger le plugin lors de la finalisation de votre achat. Une fois le plugin installé sur votre site, vous devrez saisir la clé de licence afin d'activer le plugin.

Vous pouvez maintenant naviguer vers WP 2FA > 2FA Policies depuis le tableau de bord de WordPress. WP 2FA vous permet de déployer 2FA à travers des politiques configurables. Ces politiques déterminent comment et quand la 2FA doit être appliquée. Il est également possible d'appliquer 2FA pour tous les utilisateurs ou seulement pour des utilisateurs spécifiques ou des rôles d'utilisateurs.

Supposons que vous souhaitiez imposer l'utilisation de l'interface 2FA à tous les utilisateurs sauf un. Vous pouvez spécifier cet utilisateur en tant qu'exception en ajoutant son nom d'utilisateur dans la rubrique Exclure les utilisateurs suivants. Vous pouvez également exclure des rôles spécifiques de la mise en œuvre forcée de 2FA en utilisant l'entrée Exclure les rôles suivants.

Il est important de garder à l'esprit que les utilisateurs et les rôles que vous excluez du 2FA doivent réellement exister sur le site web.

Politiques 2FA

Ensuite, vous pouvez spécifier les méthodes 2FA disponibles pour les utilisateurs, telles qu'un code à usage unique via une application 2FA, un lien ou un OTP envoyé par e-mail, un code à usage unique envoyé par SMS ou par des notifications push.

 Ces méthodes 2FA et autres paramètres de configuration s'appliquent par défaut à l'ensemble du site. Cela signifie qu'ils s'appliquent à tous les rôles d'utilisateur. Vous pouvez également fournir une configuration distincte pour différents rôles, tels que l'éditeur, l'auteur, le contributeur, l'abonné, etc., en cochant la case Configurer différents paramètres 2FA pour ce rôle d'utilisateur, comme illustré ci-dessous.

Dans ce tutoriel, nous avons mis à la disposition des utilisateurs trois méthodes pour configurer 2FA à travers le plugin WP 2FA. Le plugin vous permet de configurer deux méthodes supplémentaires - la notification push via l'application Authy et le code à usage unique via SMS délivré par Twilio. Cependant, ces méthodes nécessitent l'intégration de services tiers.

Tous les utilisateurs qui répondent aux critères de l'obligation de 2FA verront l'invite suivante la prochaine fois qu'ils essaieront de se connecter.

Avertissement 2FA dans WordPress

Par défaut, les utilisateurs disposent d'un délai de grâce de 3 jours pour configurer 2FA avant que leur compte ne soit bloqué. Vous pouvez également demander à WP 2FA de les forcer à configurer 2FA immédiatement ou de leur accorder un délai de grâce plus long.

C'est tout ce que vous devez faire pour utiliser l'authentification à deux facteurs sur votre site web à l'aide du plugin WP 2FA.

Sélection de la méthode 2FA

Voici l'assistant de configuration qui demande aux utilisateurs de choisir une méthode 2FA. Vous avez peut-être remarqué qu'il s'agit des mêmes méthodes que celles que nous avons activées plus tôt dans les paramètres de politique du plugin WP 2FA.

 Les utilisateurs pourront compléter leur configuration en fonction de leurs préférences.

S'ils décident d'utiliser un code à usage unique via les applications 2FA comme méthode d'authentification, ils devront utiliser l'une des applications 2FA disponibles gratuitement telles que Google Authenticator, Microsoft Authenticator, Authy, etc. Ensuite, ils devront scanner un code QR à partir de l'application. Enfin, ils peuvent saisir le code d'authentification pour terminer la configuration.

Les deux autres méthodes exigent que les utilisateurs vérifient leur adresse électronique au moyen d'un code à usage unique. Il s'agit de l'adresse électronique qu'ils ont utilisée pour créer un compte sur votre site web. Les utilisateurs peuvent également fournir une adresse électronique différente pour l'authentification. Cependant, vous devrez activer cette option lors de la configuration des politiques 2FA pour votre site web sous WP 2FA > 2FA Policies.

Options de configuration des avancées disponibles dans WP 2FA

Il y a quelques fonctionnalités disponibles dans WP 2FA qui peuvent rendre la configuration de l'authentification à deux facteurs encore meilleure pour vous et vos utilisateurs. Jetons un coup d'œil à certaines d'entre elles.

Étiquette blanche

Le plugin WP 2FA guide les utilisateurs à travers un assistant de configuration convivial pour configurer leur méthode d'authentification. Cet assistant de configuration aidera les utilisateurs à spécifier leurs préférences pour le 2FA. Cela inclut la méthode qu'ils souhaitent utiliser pour le 2FA.

Le plugin WP 2FA vous offre la possibilité de personnaliser en profondeur le style de la page du code 2FA où les utilisateurs complètent l'authentification. Il vous permet également de personnaliser les messages sur différents écrans, tels que l'écran de bienvenue et l'écran de sélection de la méthode 2FA. Cela vous permet de conserver le style et le ton de l'assistant de configuration 2FA en parfaite adéquation avec le reste du site web.

WP 2FA vous permet également de changer la couleur de fond, d'ajouter votre logo, de mettre à jour le texte par défaut, etc. pour la conception de la page du code 2FA.

Vous pouvez modifier la famille de polices, la couleur des boutons, le texte des boutons et même personnaliser le style de l'écran de saisie du code.

Pour ce tutoriel, nous n'avons apporté que deux modifications aux paramètres par défaut. Nous avons changé l'arrière-plan de l'écran de saisie du code en blanc et ajouté notre propre logo personnalisé. Les utilisateurs verront l'écran suivant lorsque le plugin leur demandera leur code 2FA.

page de connexion personnalisée avec 2FA dans wordpress

Les personnes qui se sentent à l'aise pour écrire leur propre feuille de style CSS peuvent également personnaliser d'autres aspects visuels de l'écran d'authentification.

Dispositifs de confiance

Par défaut, la configuration de WP 2FA exige que les utilisateurs fournissent un code d'authentification à chaque fois qu'ils se connectent. Vos utilisateurs se connectent généralement à partir des mêmes appareils que ceux qu'ils utilisent activement. WP 2FA vous donne l'option de permettre aux utilisateurs de marquer ces appareils comme des appareils de confiance.

Ainsi, les utilisateurs n'auront pas à fournir un code d'accès 2FA à chaque fois qu'ils décideront de se connecter. Cette fonctionnalité améliore l'expérience de l'utilisateur sans compromettre la sécurité du compte.

Supposons qu'un acteur malveillant ait accès aux identifiants de connexion d'un de vos utilisateurs et qu'il essaie de se connecter. S'il n'a pas accès à l'appareil de l'utilisateur, il utilisera un autre appareil pour se connecter. Cet autre appareil n'étant pas un appareil de confiance, il sera invité à saisir le code d'authentification.

En d'autres termes, les comptes d'utilisateurs auront pratiquement le même niveau de sécurité tout en rendant le processus d'authentification plus convivial.

Vous pouvez activer l'option de mémorisation d'un appareil en naviguant vers WP 2FA > 2FA Policies dans le tableau de bord de l'administrateur. Vous pouvez spécifier la durée pendant laquelle WP 2FA doit se souvenir d'un appareil. WP 2FA se souvient des utilisateurs à l'aide d'un cookie de navigateur et de leur adresse IP.

dispositif de confiance WP2FA

Vous pouvez également spécifier si le plugin doit demander aux utilisateurs un code lorsqu'un cookie n'est pas trouvé ou que l'adresse IP change. Cela offre un peu plus de sécurité qu'une simple vérification de l'absence de cookies.

Méthodes de sauvegarde

Dans certaines circonstances, les utilisateurs peuvent ne pas être en mesure de s'authentifier à l'aide d'une application ou d'un code à usage unique reçu par SMS. Par exemple, ils peuvent être absents de leur téléphone à un moment donné, ou leur téléphone peut ne plus avoir de batterie. Dans ce cas, il est préférable de leur permettre de vérifier leur identité à l'aide d'un mode 2FA alternatif plutôt que de les laisser enfermés.

WP 2FA gère cette situation en donnant aux utilisateurs la possibilité de s'authentifier par le biais d'un 2FA basé sur le courrier électronique au cas où leur méthode de 2FA principale ne fonctionnerait pas. En tant que méthode de secours secondaire, elle ne s'applique qu'aux utilisateurs qui utilisent des applications sur leurs smartphones pour compléter l'authentification 2FA.

Les utilisateurs peuvent également générer une liste de codes de sauvegarde via WP 2FA pour compléter l'authentification s'ils ne parviennent pas à s'authentifier via une application 2FA. Un code de sauvegarde ne peut être utilisé qu'une seule fois. WP 2FA fournit aux utilisateurs 10 de ces codes de sauvegarde à la fois. Les utilisateurs ont la possibilité de les télécharger, de les imprimer ou de les recevoir par e-mail.

sauvegarde WP 2FA

Certains utilisateurs peuvent utiliser l'e-mail ou un code à usage unique par SMS comme méthode d'authentification principale. Dans ce cas, ils peuvent toujours utiliser des codes de sauvegarde pour se connecter. Gardez à l'esprit que ces codes de sauvegarde sont des méthodes d'authentification secondaires. Les utilisateurs ne pourront pas les utiliser comme méthode d'authentification principale. 

La mise en place de ces méthodes d'authentification de secours signifie que les utilisateurs ont très peu de chances d'être bloqués hors de leurs comptes.

2FA pour les utilisateurs n'ayant pas accès au tableau de bord de WordPress

Page WP 2FA

Dans certaines configurations de WordPress, les utilisateurs peuvent ne pas avoir accès au tableau de bord de WordPress. L'une des raisons peut être que le site web utilise une page de profil utilisateur personnalisée. WP 2FA prend ce fait en considération et vous donne la possibilité de configurer une page pour que les utilisateurs puissent configurer leurs paramètres 2FA.

Nous avons donné un bref aperçu de certaines des fonctionnalités utiles mais optionnelles de WP 2FA, telles que les appareils de confiance, la marque blanche et les méthodes de sauvegarde. WP 2FA comprend de nombreuses autres fonctionnalités, ce qui en fait un plugin indispensable si vous cherchez à améliorer la sécurité de votre site WordPress. 

Conclusion

L'activation de la fonction 2FA peut améliorer la sécurité de vos utilisateurs et de votre site web. Avec le 2FA, vos utilisateurs sont protégés contre le vol d'informations d'identification, les vulnérabilités des mots de passe et les attaques par hameçonnage. En tant que propriétaire de site web, vous pouvez également rester détendu car un acteur malveillant aura du mal à accéder à votre site web et à faire quelque chose de malveillant avec le 2FA en place.

La mise en place de 2FA pour un site WordPress de manière sécurisée devient incroyablement facile avec WP 2FA. Il offre à la fois convivialité et sécurité dans un plugin facile à configurer et à gérer.