Avez-vous remarqué comment des sites populaires comme Facebook et Google vous donnent maintenant la possibilité d’ajouter une authentification à deux facteurs pour améliorer la sécurité ?
Eh bien, vous pouvez maintenant ajouter l’authentification à deux facteurs à votre site WordPress. Cela garantit une sécurité maximale pour votre site WordPress et tous les utilisateurs enregistrés.
Dans cet article, nous vous montrerons comment ajouter une authentification à deux facteurs pour WordPress en utilisant à la fois Google Authenticator et un message texte SMS.
Pourquoi ajouter l’authentification à deux facteurs pour la connexion à WordPress ?
L’une des astuces les plus courantes utilisées par les pirates est l’attaque par Brutforce. En utilisant des scripts automatisés, les pirates tentent de deviner le bon nom d’utilisateur et le bon mot de passe pour s’introduire sur un site WordPress.
S’ils volent votre mot de passe ou le devinent avec précision, ils peuvent infecter votre site Web avec des logiciels malveillants.
L’une des façons les plus simples de protéger votre site WordPress contre les mots de passe volés est d’ajouter une authentification à deux facteurs. Ainsi, même si quelqu’un a volé votre mot de passe, il devra entrer un code de sécurité depuis votre téléphone pour accéder à votre site.
Il existe plusieurs façons de configurer l’authentification en deux étapes sur WordPress. Cependant, la méthode la plus sûre et la plus simple consiste à utiliser une application d’authentification. Voici les 2 méthodes
- Méthode 1. Ajouter l’authentification à deux facteurs dans WordPress (méthode la plus simple)
- Méthode 2. Ajouter l’authentification à deux facteurs en utilisant Two Factor
Voyons comment ajouter facilement et gratuitement une vérification à deux facteurs à votre écran de connexion WordPress.
Méthode 1. Ajout de l’authentification à deux facteurs sur WordPress
Cette méthode est plus facile et recommandée pour tous les utilisateurs. Elle est flexible et vous permet d’appliquer l’authentification à deux facteurs pour tous les utilisateurs.
Tout d’abord, vous devez installer et activer le plugin WP 2FA – Two-factor Authentication.
Après l’activation, vous devez visiter la page Utilisateurs > Votre profil et faire défiler vers le bas jusqu’à la section Paramètres WP 2FA.
À partir de là, vous devez cliquer sur le bouton Configure Two-factor authentication (2FA) pour lancer l’assistant de configuration.
Le plugin va maintenant vous demander de choisir une méthode d’authentification. Deux options sont proposées :
- Un code à usage unique généré par l’application de votre choix (recommandé).
- Code à usage unique envoyé par e-mail
Nous vous recommandons de choisir la méthode d’authentification via l’application, car elle est plus sûre et plus fiable. Cliquez ensuite sur le bouton Suivant pour continuer.
Le plugin va maintenant vous montrer un code QR que vous devez scanner en utilisant une application d’authentification.
Qu’est-ce qu’une application d’authentification ?
Une application d’authentification est une application pour smartphone qui génère un mot de passe temporaire à usage unique pour les comptes que vous y enregistrez.
En fait, l’application et votre serveur utilisent une clé secrète pour crypter les informations et générer des codes à usage unique que vous pouvez utiliser comme deuxième couche de protection.
De nombreuses applications de ce type sont disponibles gratuitement.
La plus populaire est Google Authenticator, mais ce n’est pas la meilleure. Bien qu’elle fonctionne parfaitement, elle ne fournit pas de sauvegarde que vous pouvez utiliser en cas de perte de votre téléphone.
Nous vous recommandons d’utiliser Authy, car il s’agit d’une application gratuite et facile à utiliser qui vous permet également de sauvegarder vos comptes sur le cloud dans un format crypté. Ainsi, si vous perdez votre téléphone, il vous suffit de saisir votre mot de passe principal pour restaurer tous vos comptes.
D’autres gestionnaires de mots de passe, comme LastPass, 1password, etc., proposent tous leur propre version de l’authentificateur, qui est meilleure que celle de Google Authenticator puisqu’elle permet de restaurer les clés.
Dans le cadre de ce tutoriel, nous utiliserons Authy. Vous pouvez suivre notre tutoriel en utilisant une autre application si vous le souhaitez, car elles fonctionnent toutes de la même manière.
Tout d’abord, cliquez sur le bouton Ajouter un compte dans votre application Authenticator :
L’application vous demandera alors l’autorisation d’accéder à l’appareil photo de votre téléphone. Vous devez autoriser cette permission afin de pouvoir scanner le code QR indiqué sur la page des paramètres du plugin.
L’application d’authentification va maintenant enregistrer le compte de votre site Web et afficher un mot de passe à usage unique que vous pouvez utiliser pour vous connecter.
Dans l’assistant de configuration du plugin, cliquez sur le bouton « I’m Ready » pour continuer.
Le plugin va maintenant vous demander de vérifier votre mot de passe à usage unique. Cliquez simplement sur votre compte dans l’application d’authentification et vous verrez apparaître un mot de passe à usage unique à six chiffres que vous pouvez saisir.
Après cela, le plugin vous donnera une option pour générer et enregistrer les codes de sauvegarde. Ces codes peuvent être utilisés au cas où vous n’avez pas accès à votre téléphone. Vous pouvez imprimer ces codes de sauvegarde et les mettre en lieu sûr.
Configuration de WP 2-FA Two Factor Login pour tous les utilisateurs de WordPress
Si vous gérez un site WordPress multi-utilisateurs, comme un site d’adhésion, alors le plugin vous permet également d’activer ou d’appliquer l’authentification à deux facteurs pour tous les utilisateurs de votre site.
Il suffit de se rendre sur la page Réglages > Authentification à deux facteurs pour configurer les paramètres du plugin.
Le plugin vous permet d’activer la connexion à deux facteurs pour tous les utilisateurs, de la rendre obligatoire pour tous les utilisateurs et de donner aux utilisateurs suffisamment de temps pour la configurer.
Si votre site Web WordPress utilise une page de formulaire de connexion personnalisée, alors vous pouvez également créer une page personnalisée où les utilisateurs peuvent gérer leurs paramètres d’authentification à deux facteurs sans accéder à la zone d’administration de WordPress.
N’oubliez pas de cliquer sur le bouton Enregistrer les modifications pour enregistrer vos nouveaux paramètres.
Voici comment votre écran de connexion WordPress par défaut demandera le code d’authentification à deux facteurs après que les utilisateurs aient saisi leur mot de passe WordPress habituel.
Méthode 2. Ajout de l’authentification à deux facteurs à l’aide de Two Factor
Cette méthode est un peu moins souple car elle ne permet pas d’imposer la connexion à deux facteurs à tous les utilisateurs. Chaque utilisateur devra le configurer lui-même et pourra le désactiver depuis son profil.
Tout d’abord, vous devez installer et activer le plugin Two Factor.
Après l’activation, vous devez vous rendre sur la page Utilisateurs > Profil et faire défiler la page jusqu’à la section Options à deux facteurs.
À partir de là, vous devez choisir une option de connexion à deux facteurs. Le plugin vous permet d’utiliser les méthodes suivantes : email, application d’authentification et clés de sécurité FIDO U2F.
Nous vous recommandons d’utiliser la méthode de l’application d’authentification. Téléchargez simplement une application d’authentification comme Google Authenticator, Authy ou LastPass Authenticator et scannez le code QR affiché à l’écran.
Une fois que vous avez scanné le code QR, l’application vous montrera un code de vérification que vous devez saisir dans les options du plugin et cliquer sur le bouton Soumettre.
Le plugin va maintenant définir la clé secrète. Vous pouvez réinitialiser cette clé à tout moment à partir de la page des paramètres pour rescanner le code QR.
N’oubliez pas de cliquer sur le bouton Mettre à jour le profil pour enregistrer vos paramètres.
Désormais, à chaque fois que vous vous connecterez à votre site WordPress, il vous sera demandé de saisir le code d’authentification généré par l’application sur votre téléphone.
Questions fréquemment posées sur l’authentification à deux facteurs (2FA) dans WordPress
Voici les réponses à certaines des questions les plus fréquemment posées sur l’utilisation de l’authentification en deux étapes sur WordPress.
1. Comment puis-je me connecter si je n’ai pas accès à mon téléphone ?
Si vous utilisez une application d’authentification avec une option de sauvegarde dans le cloud comme Authy, vous pouvez installer l’application sur votre ordinateur portable également.
Cela vous permet d’accéder aux codes d’authentification même si vous n’avez pas votre téléphone sur vous. Elle vous permet également de restaurer facilement vos clés secrètes lorsque vous achetez un nouveau téléphone.
Les deux méthodes mentionnées ci-dessus vous permettent également de générer des codes de sauvegarde. Ces codes peuvent également être utilisés comme codes de passe à usage unique lorsque vous n’avez pas accès à votre téléphone.
2. Comment se connecter sans code ?
Si vous n’avez pas accès à votre téléphone, à votre ordinateur portable ou à des codes de sauvegarde, alors vous ne pouvez vous connecter qu’en désactivant le plugin.
Consultez notre guide sur la façon de désactiver tous les plugins WordPress lorsque vous ne pouvez pas accéder à la zone d’administration.
Une fois que vous aurez désactivé tous les plugins, cela désactivera également le plugin d’authentification à deux facteurs et vous serez en mesure de vous connecter à votre site Web WordPress. Une fois connecté, vous pouvez réactiver les plugins et réinitialiser la configuration de l’authentification à deux facteurs.
3. Dois-je toujours protéger par mot de passe le dossier d’administration de WordPress ?
La sécurité des sites Web fonctionne mieux lorsque vous avez plusieurs couches de sécurité pour protéger votre site Web, en commençant par les bases comme l’utilisation de HTTPS et un hébergement WordPress sécurisé. La vérification à 2 facteurs rend votre connexion WordPress sécurisée, mais vous pouvez la rendre encore plus sûre en protégeant par mot de passe la zone d’administration de WordPress.
Cela s’avère pratique si vous avez un site Web d’adhésion WordPress, une boutique en ligne ou un site Web de cours en ligne. Vos utilisateurs pourront se connecter en toute sécurité, mais ils ne pourront pas accéder à la zone d’administration de WordPress.
Nous espérons que cet article vous a aidé à ajouter la vérification à 2 facteurs pour la connexion WordPress.
Si vous avez aimé cet article, alors abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress.
