Comment configurer l'authentification à deux facteurs WordPress : examen WP 2FA

Vous souhaitez ajouter une authentification à deux facteurs à WordPress ?

L'authentification WordPress à deux facteurs peut vous aider à sécuriser votre site WordPress en protégeant votre propre compte WordPress, ainsi que les comptes des autres utilisateurs de votre site.

Lorsqu'il s'agit de configurer l'authentification à deux facteurs sur WordPress, le plugin freemium WP 2FA offre l'une des solutions les plus sophistiquées et les plus flexibles. Il peut fonctionner aussi bien pour les sites Web personnels que pour les grandes organisations qui ont besoin de politiques personnalisées à deux facteurs.

Dans notre revue WP 2FA, nous commencerons par discuter brièvement des fonctionnalités du plugin. Ensuite, nous partagerons un guide étape par étape sur la façon de configurer l'authentification à deux facteurs sur WordPress à l'aide du plugin.

Allons creuser !

Revue WP 2FA : un aperçu rapide des fonctionnalités

Nous n'entrerons pas trop en profondeur dans l'examen des fonctionnalités de cette première section car vous verrez tout cela dans la section plus pratique de notre revue/tutoriel WP 2FA.

Vous pouvez également retrouver toutes les fonctionnalités sur le site WP 2FA.

Mais avant de commencer, voici un aperçu rapide des fonctionnalités qui font de WP 2FA l’un des meilleurs plugins d’authentification à deux facteurs WordPress :

• Plusieurs méthodes à deux facteurs : vous pouvez choisir parmi les e-mails, les SMS/messages texte, n'importe quelle application d'authentification (par exemple Google Authenticator) et/ou les notifications push (via Authy). Il existe également une option pour générer des codes de sauvegarde uniques.
• Interface conviviale (frontend et backend ) – les utilisateurs peuvent gérer deux facteurs depuis le tableau de bord WordPress ainsi que depuis le frontend de votre site.
• Politiques flexibles à deux facteurs : vous pouvez créer des politiques personnalisées à deux facteurs, par exemple exiger deux facteurs pour certains utilisateurs mais pas pour d'autres.
• Marquage blanc – vous pouvez marquer en blanc toutes les parties de l’interface WP 2FA pour qu’elles correspondent à votre marque.
• Appareils de confiance – vous pouvez enregistrer un appareil comme « de confiance » pendant un certain temps afin de ne pas avoir à refaire deux facteurs sur cet appareil.
• Intégrations – il propose des intégrations prêtes à l'emploi pour WooCommerce et de nombreux plugins d'adhésion.

Le plugin WP 2FA provient de WP White Security, la même équipe derrière le populaire plugin WP Activity Log – vous pouvez en savoir plus à ce sujet dans notre revue WP Activity Log.

Comment configurer l'authentification à deux facteurs WordPress avec WP 2FA

Passons maintenant au guide étape par étape sur la façon de configurer l'authentification à deux facteurs WordPress à l'aide de WP 2FA.

Pour ce tutoriel, nous avons la version premium du plugin installée sur notre site. Cependant, il existe également une version gratuite du plugin sur WordPress.org et les étapes de base seront les mêmes pour cette version.

Autrement dit, vous pouvez suivre cela, que vous utilisiez la version gratuite ou la version payante.

1. Installer le plugin et terminer l'assistant de configuration

Lorsque vous installez et activez le plugin WP 2FA pour la première fois, il lancera automatiquement un assistant de configuration pour vous aider à effectuer certaines étapes de configuration de base importantes.

Pour la première étape, vous choisirez votre ou vos méthodes d'authentification à deux facteurs préférées parmi cinq options différentes.

Vous pouvez choisir autant d’options que vous le souhaitez. Si vous fournissez plusieurs méthodes, les utilisateurs pourront choisir avec quelle méthode s'authentifier.

Certains d'entre eux, comme l'envoi de messages SMS via Twilio, nécessiteront une configuration supplémentaire. Nous en reparlerons plus tard.

À l'étape suivante, vous pouvez activer des méthodes alternatives, par exemple en permettant aux utilisateurs de générer des codes de sauvegarde uniques qu'ils peuvent utiliser s'ils perdent leur méthode principale.

Ensuite, vous pouvez choisir votre politique 2FA – c’est-à-dire quels utilisateurs doivent être tenus d’utiliser l’authentification à deux facteurs. Vous avez trois options :

1. Tous les utilisateurs – exigent que tous les utilisateurs configurent et utilisent l’authentification à deux facteurs. Plus tard, vous pourrez configurer d'autres paramètres, comme un délai de grâce pour le configurer.
2. Uniquement pour des utilisateurs et des rôles spécifiques : exigez uniquement que certains utilisateurs utilisent l'authentification à deux facteurs. Par exemple, vous pouvez exiger que les administrateurs et les éditeurs utilisent l'authentification à deux facteurs, mais pas les auteurs ou les abonnés. Vous pouvez également simplement l'exiger pour des noms d'utilisateur spécifiques.
3. N’imposez aucune exigence aux utilisateurs – n’obligez aucun utilisateur à utiliser l’authentification à deux facteurs – proposez-la simplement comme option s’ils souhaitent protéger leurs comptes.

Si vous choisissez l'une des deux premières options, l'étape suivante vous donnera la possibilité d'exclure manuellement certains utilisateurs.

Vous ne verrez pas cette étape si vous choisissez de ne pas appliquer 2fa pour aucun utilisateur.

Enfin, la dernière étape vous permet de configurer votre délai de grâce. Cela vous permet de donner aux nouveaux utilisateurs un certain temps pour configurer l'authentification à deux facteurs.

Par exemple, vous pouvez leur donner trois jours avant de commencer à appliquer la règle.

Vous pouvez également sélectionner l’option Les utilisateurs doivent configurer 2FA immédiatement pour forcer les utilisateurs à le configurer immédiatement.

Et c'est tout pour l'assistant de configuration !

2. Configurez 2FA pour votre propre compte

Une fois que vous avez terminé l'assistant de configuration, l'étape suivante consiste à configurer l'authentification à deux facteurs pour votre propre compte :

1. Accédez à Utilisateurs → Profil dans votre tableau de bord WordPress pour ouvrir votre propre profil utilisateur.
2. Faites défiler jusqu'à la section Paramètres d'authentification à deux facteurs .
3. Cliquez sur le bouton Configurer 2FA .

Vous verrez maintenant une fenêtre contextuelle vous permettant de choisir parmi les méthodes d'authentification à deux facteurs disponibles que vous avez choisies dans l'assistant de configuration :

Par exemple, si vous choisissez l'option de l'application 2FA (par exemple Google Authenticator), vous serez invité à configurer votre application 2FA en scannant le code QR :

Le plugin ajoutera automatiquement le nom de domaine de votre site et votre compte utilisateur à l'application à deux facteurs (le cas échéant) :

Le plugin vous demandera alors de saisir le code d'authentification pour valider que vous avez bien configuré votre application :

Après cela, le plugin vous demandera également de configurer une méthode de sauvegarde. Par exemple, vous pouvez télécharger des codes de secours à usage unique au cas où vous ne parviendriez pas à générer un code à partir de l'application :

Vous pouvez envoyer les codes par e-mail, les imprimer ou les copier dans votre presse-papiers :

Et c'est tout! Votre compte administrateur WordPress bénéficie désormais d'une authentification à deux facteurs.

Le processus de configuration sera similaire pour les autres utilisateurs de votre site – je vous montrerai un exemple un peu plus tard.

3. Configurez davantage vos politiques 2FA

Alors que l'assistant de configuration de WP 2FA vous permet de configurer des politiques de base pour l'authentification à deux facteurs WordPress, la zone de paramètres complète du plugin vous donne encore plus de contrôle.

Pour accéder à ces paramètres, accédez à WP 2FA → Politiques 2FA .

Ici, vous pouvez configurer des politiques à l’échelle du site. Vous pouvez également configurer des politiques complètement différentes basées sur différents rôles d'utilisateur, que vous pouvez sélectionner à l'aide de la liste déroulante.

Voici quelques-uns des nouveaux paramètres que vous obtenez et qui ne faisaient pas partie de l'assistant de configuration :

• Liens d'authentification par e-mail : choisissez la durée de validité et les e-mails que les gens peuvent utiliser.
• Mémoriser cet appareil : choisissez d'autoriser ou non les utilisateurs à se souvenir des appareils. Si cette option est activée, ils n'auront pas besoin d'utiliser deux facteurs pour cet appareil après leur première connexion. Vous pouvez également choisir la durée de mémorisation de l'appareil avant que les utilisateurs n'aient besoin de se réauthentifier.
• Redirection après la configuration – vous pouvez rediriger les utilisateurs vers une certaine URL après avoir configuré deux facteurs.
• Pages frontend 2FA – si vous ne souhaitez pas que les gens utilisent le tableau de bord backend, vous pouvez également configurer une page frontend pour qu'ils puissent gérer leurs paramètres à deux facteurs.

Encore une fois, vous pouvez définir une valeur par défaut sur tout le site, mais également ajuster ces paramètres pour différents rôles d'utilisateur.

4. Explorez tous les paramètres WP 2FA

Si vous souhaitez configurer davantage le plugin, WP 2FA propose également une zone de paramètres dédiée. Vous n'avez rien à changer ici, mais il offre quelques options utiles :

• E-mails et modèles – personnalisez les e-mails à deux facteurs envoyés par le plugin.
• Marque blanche – marquez en blanc toutes les interfaces du plugin pour qu'elles correspondent à la vôtre. Vous pouvez personnaliser le logo, les couleurs et le texte de tout.
• Intégrations – vous pouvez configurer des intégrations avec d'autres services, notamment les suivants – Authy ( notifications push pour deux facteurs ), Twilio ( messages texte pour deux facteurs ) et WooCommerce.

Par exemple, lors de la personnalisation des e-mails, vous obtenez un éditeur de texte et un ensemble de balises de fusion pour vous permettre d'insérer des informations dynamiques :

Pour la marque blanche, vous pouvez utiliser le menu déroulant pour personnaliser toutes les différentes zones du plugin :

Et c'est à peu près tout pour configurer le plugin !

Comment les autres utilisateurs de votre site configureront l'authentification à deux facteurs

Je vous ai déjà montré comment configurer l'authentification à deux facteurs WordPress pour votre propre compte, mais qu'en est-il des autres utilisateurs ?

La manière dont les autres utilisateurs configurent deux facteurs dépendra de deux variables :

1. Délai de grâce – si vous demandez aux utilisateurs de configurer immédiatement deux facteurs, ils seront invités à le faire immédiatement après leur première connexion. Si vous leur accordez un délai de grâce de quelques jours, ils pourront attendre.
2. Interface frontend – l'interface backend fonctionne de la même manière que ce que je vous ai montré ci-dessus. Mais si vous activez l’interface frontale, elle sera un peu différente.

Voici quelques exemples…

Si vous n'offrez aucun délai de grâce, les utilisateurs seront automatiquement redirigés vers leur page de profil avec la fenêtre contextuelle des paramètres à deux facteurs ouverte ( tout comme l'interface que vous avez utilisée pour la configurer pour votre propre compte ).

Les utilisateurs ne pourront accéder à aucune partie du tableau de bord tant qu'ils n'auront pas terminé la configuration.

Si vous activez la page de paramètres frontaux à deux facteurs, vous pouvez l'ajouter n'importe où sur votre site à l'aide du shortcode [wp-2fa-setup-form].

Cliquer sur ce bouton ouvrira la même invite de configuration qu'avant – la seule différence est que tout se passe sur le frontend de votre site :

Encore une fois, vous pouvez mettre en marque blanche tout ce texte pour l'intégrer davantage à votre site.

Par exemple, vous pouvez voir ici que j'ai personnalisé le texte de la popup pour WPKube :

Une fois que les utilisateurs ont configuré leur méthode à deux facteurs, ils verront des options supplémentaires pour modifier leurs paramètres ou générer des codes de sauvegarde :

Rapports d'authentification à deux facteurs WordPress

Pour vous aider à voir ce qui se passe sur votre site, le plugin comprend également un outil de reporting permettant d'évaluer rapidement l'utilisation à deux facteurs.

Vous pouvez y accéder en allant sur WP 2FA → Reports .

Tarification WP 2FA

WP 2FA est disponible à la fois en version gratuite sur WordPress.org et en version premium avec plus de fonctionnalités.

En général, la version gratuite devrait convenir si vous souhaitez simplement protéger votre propre compte administrateur WordPress. Il prend déjà en charge l'authentification à deux facteurs via les applications pour smartphone, la messagerie électronique et les codes de sauvegarde.

Cependant, si vous avez d'autres utilisateurs sur votre site et que vous souhaitez configurer des politiques d'authentification à deux facteurs pour ces utilisateurs, je vous recommande de passer à la version premium.

En plus de vous donner plus de contrôle sur les politiques et le comportement à deux facteurs, la version premium ajoute également des méthodes supplémentaires telles que les notifications push Authy et les messages SMS via Twilio.

Voici quelques-unes des fonctionnalités les plus importantes de la version premium :

• Plus de méthodes 2FA, notamment SMS, notification push et connexion en un clic.
• Option pour ajouter des appareils de confiance (« Mémoriser cet appareil).
• Prise en charge de la marque blanche pour personnaliser l'interface.
• Ajustez les politiques 2FA pour différents types d’utilisateurs.

Il y a deux variables principales qui affectent le prix :

• Nombre d'utilisateurs – plutôt que de vous facturer en fonction du nombre de sites Web dont vous disposez, WP 2FA vous facture en fonction du nombre de comptes d'utilisateurs qui activent l'authentification à deux facteurs. Tous les forfaits prennent en charge un nombre illimité de sites et les utilisateurs peuvent être répartis sur n'importe quel nombre de sites.
• Fonctionnalités – il existe certaines différences de fonctionnalités entre les différents niveaux.

Le plan Entreprise offre également un support prioritaire.

Voici une capture d'écran des prix qui illustre la différence :

• Le prix élevé en haut concerne jusqu'à cinq comptes d'utilisateurs .
• Le prix indiqué dans la liste déroulante consiste à étendre l'utilisation jusqu'à 25 comptes d'utilisateurs .

Encore une fois, les limites d'utilisateurs s'appliquent uniquement aux comptes d'utilisateurs qui ont activé l'authentification à deux facteurs. Si vous avez 250 utilisateurs mais que seulement 10 d’entre eux disposent d’une authentification à deux facteurs, cela ne compte que pour 10 utilisateurs à des fins de facturation.

Si vous souhaitez essayer les fonctionnalités premium, le plugin a ici deux politiques pertinentes :

1. Vous pouvez bénéficier d’un essai gratuit de 14 jours des fonctionnalités premium pour tester les choses.
2. Il existe une garantie de remboursement de 30 jours si vous rencontrez des problèmes au-delà de la période d'essai.

Vous pouvez également économiser 20 % sur n'importe quel plan de licence en utilisant notre code promo exclusif WP 2FA.

Acheter WP 2FA

Examen WP 2FA : avantages et inconvénients de l'utilisation de ce plugin

Pour récapituler ce dont nous avons discuté dans notre revue WP 2FA, passons en revue certains des avantages et des inconvénients de l'utilisation de ce plugin.

Avantages du WP 2FA

• Prise en charge des méthodes les plus populaires – WP 2FA prend en charge la plupart des méthodes populaires utilisées, notamment les applications d'authentification TOTP/HOTP, les e-mails, les messages texte, les notifications push et les codes de sauvegarde.
• Politiques à deux facteurs hautement configurables – vous bénéficiez d’une grande flexibilité pour contrôler les exigences à deux facteurs sur votre site. Par exemple, définir différentes règles pour différents rôles WordPress et accorder aux utilisateurs un délai de grâce pour mettre en place une authentification à deux facteurs.
• Étiquetage blanc complet – vous pouvez étiqueter en blanc chaque partie de l'interface, y compris le texte, les e-mails, les couleurs, les logos, etc.
• Tableaux de bord frontend – vous pouvez permettre aux utilisateurs de gérer leurs méthodes à deux facteurs depuis le frontend de votre site (en plus du tableau de bord WordPress).
• Conceptions soignées – WP 2FA a des conceptions professionnelles très soignées, ce qui n'est pas toujours le cas avec certains autres plugins d'authentification à deux facteurs WordPress.
• Intégrations – WP 2FA s'intègre à WooCommerce et à de nombreux plugins d'adhésion.

Inconvénients du WP 2FA

• Pas de support FIDO U2F – WP 2FA ne prend actuellement pas en charge FIDO U2F en tant qu'option à deux facteurs, ce qui signifie que vous ne pouvez pas utiliser de méthodes matérielles physiques comme Yubikey ou Google Titan.
• Le modèle de tarification par utilisateur peut être coûteux pour de nombreux utilisateurs . Si vous avez plus de 100 utilisateurs, le modèle de facturation de WP 2FA basé sur le nombre d'utilisateurs avec 2FA actif peut le rendre plus cher que d'autres solutions. Cependant, l’avantage est que WP 2FA peut être moins cher que d’autres solutions si vous n’avez qu’un petit nombre d’utilisateurs.

FAQ WP 2FA

Pour terminer notre revue WP 2FA, passons en revue quelques questions courantes que vous pourriez vous poser sur le plugin.

WP 2FA est-il gratuit ?

WP 2FA propose une version gratuite sur WordPress.org qui devrait fonctionner correctement pour l'authentification de base à deux facteurs.

WP 2FA prend-il en charge les applications d'authentification ?

WP 2FA fonctionne avec n'importe quelle application d'authentification prenant en charge les protocoles TOTP/HOTP, notamment Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator, etc.

WP 2FA prend-il en charge les codes de sauvegarde ?

WP 2FA permet aux utilisateurs de générer des codes de sauvegarde hors ligne. Les utilisateurs peuvent copier, imprimer ou envoyer les codes par courrier électronique.

WP 2FA prend-il en charge la vérification des e-mails ?

WP 2FA permet aux utilisateurs de recevoir leur code de vérification unique par e-mail. Pour garantir la fiabilité, vous devez vous assurer de configurer un service d'envoi WordPress SMTP afin que les e-mails parviennent dans les boîtes de réception des utilisateurs.

WP 2FA prend-il en charge la vérification des messages texte ?

La version premium de WP 2FA prend en charge la vérification par SMS/SMS. Pour alimenter ce service, il utilise une intégration avec Twilio.

WP 2FA prend-il en charge FIDO U2F (Yubikey) ?

WP 2FA ne prend pas en charge FIDO U2F pour le moment. Si vous souhaitez utiliser des clés matérielles physiques comme méthodes à deux facteurs, vous devrez choisir un autre plugin à deux facteurs.

Réflexions finales sur notre revue WP 2FA

Dans l’ensemble, WP 2FA offre un moyen très raffiné de configurer l’authentification à deux facteurs WordPress et de sécuriser votre site Web WordPress.

Je pense qu'il y a quelques domaines dans lesquels le plugin excelle :

• Excellente interface avec marque blanche – l’interface est plus conviviale et mieux conçue que la plupart des autres solutions à deux facteurs, permettant notamment aux utilisateurs de gérer les deux facteurs depuis le frontend. Vous pouvez également le mettre en marque blanche pour qu'il corresponde à votre marque afin de créer une expérience entièrement personnalisée.
• Politiques flexibles – cela vous offre une grande flexibilité pour créer une politique à deux facteurs qui répond aux besoins de votre organisation.
• Prend en charge plusieurs méthodes – il prend en charge un large éventail de méthodes, notamment le courrier électronique, les SMS, l'application d'authentification, les notifications push et les codes de sauvegarde à usage unique.

Il ne prend actuellement pas en charge FIDO U2F, ce n'est donc pas la meilleure option si vous souhaitez utiliser des clés matérielles physiques comme Yubikey. Mais, en dehors de cette limitation, je pense que c'est un excellent moyen de configurer l'authentification à deux facteurs WordPress.

Donc, si vous souhaitez utiliser des méthodes à deux facteurs comme les applications de courrier électronique, de SMS et/ou d'authentification, vous devez absolument y jeter un œil. Assurez-vous d'utiliser notre code promo WP 2FA pour économiser 20 % sur n'importe quelle licence.

Obtenez WP 2FA

Vous pouvez également associer WP 2FA avec le plugin WP Activity Log du même développeur pour protéger encore davantage votre site. Vous pouvez en savoir plus dans notre revue WP Activity Log et économiser avec notre coupon WP Activity Log.