Authentification à deux facteurs (2FA) pour WordPress
Publié: 2023-02-12Il est essentiel de créer un mot de passe fort pour sécuriser votre site WordPress. Cependant, un mot de passe seul ne fournira pas une protection adéquate contre de nombreuses menaces qui présentent un risque sérieux pour votre site, telles que les attaques par force brute. Si des utilisateurs non autorisés accèdent à votre back-end, vous risquez de perdre votre site Web et même de mettre vos visiteurs en danger. Pour cette raison, vous avez un plan pour installer et maintenir la sécurité de WordPress.
En utilisant l'authentification à deux facteurs (2FA), vous pouvez ajouter une couche de sécurité supplémentaire à votre site WordPress. Il est relativement simple à configurer et cette fonctionnalité réduira considérablement le risque que des utilisateurs non autorisés accèdent à votre site.
Dans cet article, nous présenterons 2FA et expliquerons comment il peut être utilisé dans WordPress. Nous vous montrerons ensuite comment implémenter cette fonctionnalité à l'aide de plugins. Commençons!
Qu'est-ce que l'authentification à deux facteurs (2FA) pour WordPress ?
L'authentification à deux facteurs (2FA) est une couche de sécurité qui nécessite à la fois un mot de passe et une vérification supplémentaire de l'identité de l'utilisateur. Cette vérification provient d'un élément auquel seul l'utilisateur autorisé peut accéder, comme les messages texte et vocaux, les liens e-mail, les codes QR ou les notifications push. 2FA est sécurisé, car les attaquants n'ont pas accès à ces canaux externes.
Pourquoi ai-je besoin d'une authentification à deux facteurs ?
L'authentification à deux facteurs (également connue sous le nom d'authentification en deux étapes) permet d'empêcher les acteurs malveillants d'accéder à vos sites et de nuire potentiellement à votre entreprise. Il s'agit d'une deuxième ligne de défense pour aider à éloigner les méchants et garantit que même si votre mot de passe est compromis, votre compte restera sécurisé tant que ce deuxième facteur reste hors de portée d'un attaquant.
L'authentification à deux facteurs de WordPress est une fonctionnalité opt-in, ce qui signifie que vous ne devez l'utiliser que si vous le souhaitez. Mais c'est gratuit et cela ajoute une couche de protection supplémentaire, alors pourquoi pas ?
Comment fonctionne 2FA pour WordPress ?
Sur une page de connexion WordPress typique (c'est-à-dire non-2FA), l'utilisateur entre un nom d'utilisateur et un mot de passe et se voit automatiquement accorder l'accès au back-end du site Web. Cela signifie que quiconque connaît votre nom d'utilisateur et votre mot de passe peut facilement accéder à tous les aspects de votre site Web.
Comme mentionné ci-dessus, 2FA peut aider à empêcher que cela ne se produise. Alors, comment cela fonctionne-t-il dans WordPress ? Avec la configuration 2FA (nous expliquerons comment procéder dans un instant), lorsque vous entrez votre mot de passe et votre nom d'utilisateur sur la page de connexion, une notification sera envoyée à votre téléphone ou à votre adresse e-mail. Cette notification contiendra une épingle unique, ou éventuellement un lien ou un code QR.
Pour accéder au site Web, vous devez ensuite suivre les instructions du message texte ou de l'e-mail, par exemple cliquer sur le lien ou saisir le code PIN sur votre site.
À quel point 2FA est-il sécurisé ?
Par rapport à la protection par mot de passe standard, 2FA est beaucoup plus sécurisé. Après tout, cela nécessite de tirer parti de quelque chose que vous seul possédez (votre téléphone, votre compte de messagerie privé, etc.) afin d'accéder à votre site. Cela signifie que la probabilité d'un piratage de site Web est réduite, faisant de 2FA le meilleur moyen de mieux prévenir divers problèmes de sécurité (en particulier les attaques par force brute).
Maintenant que vous comprenez les avantages de 2FA et comment cela fonctionne, discutons de la façon dont vous pouvez réellement intégrer cette fonctionnalité dans votre site WordPress.
Comment démarrer avec l'authentification à deux facteurs ?
Si vous êtes un client WP Engine, vous pouvez activer 2FA dans le portail utilisateur WP Engine. Si votre site n'est pas hébergé sur WP Engine, vous pouvez toujours implémenter une méthode d'authentification à deux facteurs (ou même une méthode d'authentification multi-facteurs), mais cela nécessite l'aide de plugins WordPress.
Plugins WordPress 2FA
En tant que client WP Engine, vous pouvez implémenter 2FA via le portail utilisateur. Moteur non WP
Les utilisateurs peuvent également implémenter 2FA, mais cela nécessite l'aide de plugins WordPress. Voici quelques options que vous pouvez essayer par vous-même.
Authentification à deux facteurs Rublon
Rublon Two-Factor Authentication est un simple plugin WordPress 2FA, vous permettant de sécuriser rapidement votre site Web contre les connexions non autorisées. Lors de la première connexion à votre compte WordPress avec le plugin de sécurité installé, vous devrez cliquer sur le lien de vérification envoyé à votre adresse e-mail. Vous pouvez ensuite choisir d'enregistrer votre appareil, ce qui signifie que vous n'aurez plus besoin de vérifier votre identité tout en utilisant le même navigateur.
C'est une excellente option pour les sites Web avec un seul utilisateur, bien qu'elle puisse également être appliquée aux sites Web multi-utilisateurs (si vous effectuez une mise à niveau vers la version payante).
Avantages : Ce plugin offre une installation et une activation en un clic, et ne nécessite aucune configuration ni formation.
Inconvénients : Il ne prend en charge que la vérification des e-mails, qui peut être moins sécurisée que les SMS ou les notifications push.
Coût : Le plugin personnel (un site) est gratuit, mais une version entreprise (multi-sites) peut être achetée en contactant l'équipe commerciale.
Authentification à deux facteurs Duo
En tant que l'un des plugins 2FA les plus avancés, Duo Two-Factor Authentication vous permet de configurer 2FA en fonction des rôles d'utilisateur WordPress. Par exemple, vous pouvez exiger que les auteurs et les éditeurs utilisent 2FA pour se connecter, tandis que les abonnés n'ont qu'à saisir leur mot de passe.
L'authentification à deux facteurs Duo offre également diverses options de vérification, notamment par SMS, une application mobile ou un appel téléphonique.
Avantages : Ce plugin prend en charge la configuration des rôles d'utilisateur et inclut diverses méthodes de vérification.
Inconvénients : Il n'y a pas de support pour WordPress Multisite.
Prix : Le plugin gratuit active 2FA pour jusqu'à 10 utilisateurs sur votre site Web, mais vous pouvez augmenter cette limite à partir de 3 $ par utilisateur et par mois.
Google Authenticator - Authentification à deux facteurs
Enfin, Google Authenticator propose diverses méthodes de vérification pour protéger votre site Web contre les accès non autorisés, notamment les codes QR, les e-mails et les notifications push. Comme avec Duo Two-Factor Authenticator, vous pouvez utiliser ce plugin pour définir 2FA pour des rôles d'utilisateur spécifiques.
Google Authenticator peut être configuré pour exiger un nom d'utilisateur, un mot de passe fort et un facteur, ou simplement un nom d'utilisateur et un facteur.
Avantages : Ce plugin prend en charge un rôle spécifique 2FA et offre un large éventail de méthodes de vérification (y compris QR, SMS, appels téléphoniques et notifications push).
Inconvénients : La version gratuite est assez limitée en termes de fonctionnalités.
Coût : Le plugin gratuit offre 2FA pour un seul utilisateur, mais vous pouvez mettre à niveau à partir de 15 $ par an.
Il est important de se rappeler que votre site Web WordPress est aussi sécurisé que votre page de connexion administrateur, et un mot de passe seul ne suffit pas. La mise en œuvre d'un authentificateur à deux facteurs peut aider à assurer la sécurité des visiteurs de votre site. Si vous êtes prêt à passer à un hébergeur qui offre la tranquillité d'esprit, vous pouvez consulter les plans d'hébergement WordPress gérés de WP Engine !