Rendez votre site Web plus sécurisé avec l'authentification multifacteur
Publié: 2022-03-11Peut-être en avez-vous assez de mémoriser autant de mots de passe différents et vous supposez que votre hébergeur s'occupe de la sécurité de votre site Web. Mais je vous assure : si vous protégez et prenez soin de la sécurité de votre site Web, vous vous épargnerez des désagréments majeurs et des conséquences indésirables. Gardez à l'esprit qu'une faille de sécurité sur votre site Web ne vous affecte pas seulement vous et votre entreprise, mais elle peut également affecter vos clients et vous pouvez même vous retrouver avec des problèmes juridiques pour ne pas avoir pris les mesures de sécurité appropriées.
Pour vous aider à dormir un peu plus facilement (si c'est possible de nos jours), je vais vous expliquer comment vous pouvez rendre votre site WordPress plus sécurisé avec une authentification multi-facteurs.
Table des matières
- Qu'est-ce que l'authentification multifacteur (MFA)
- Pourquoi devrais-je ajouter MFA à mon site Web WordPress
- Comment mettre en œuvre la vérification en deux étapes
- Authentificateur Google
- Installer et activer un plugin pour 2FA
- Configurer le plug-in
- Ajouter le compte configuré à l'application mobile
- Conclusion
Qu'est-ce que l'authentification multifacteur (MFA)
Non seulement vous avez vu l'authentification multifacteur (MFA) dans de nombreux films, mais vous l'utilisez déjà pour confirmer les paiements en ligne avec votre carte de crédit ou en vous connectant à votre messagerie, entre autres. Il s'agit d'une méthode de contrôle d'accès informatique dans laquelle une personne n'obtient l'accès qu'après avoir présenté plus d'une preuve d'identité différente. Ces preuves ou facteurs d'authentification peuvent être divers :
- Un objet physique que la personne possède, comme une clé USB avec un identifiant unique, une carte de crédit, une clé, etc.
- Un secret que la personne connaît, comme un mot de passe, un code PIN, etc.
- Certaines caractéristiques biométriques de la personne, comme une empreinte digitale, l'iris, la voix, la vitesse de frappe, le modèle d'intervalle de frappe, etc.
Le cas de la combinaison de seulement deux facteurs est également connu sous le nom de «vérification en deux étapes» ou «authentification à deux facteurs» ou «2FA». Et l'idée est que l'authentification multifacteur sera toujours plus sécurisée qu'un simple nom d'utilisateur et mot de passe.
Pourquoi devrais-je ajouter MFA à mon site Web WordPress
L'une des méthodes de craquage des mots de passe est toujours une attaque par force brute. Cette attaque consiste, comme son nom l'indique, à tester brutalement les combinaisons possibles d'utilisateurs et de mots de passe. Ces types d'attaques sont menées par des botnets utilisant des algorithmes et des outils de plus en plus sophistiqués.
De nombreuses sociétés d'hébergement incluent déjà des pare-feu et d'autres outils pour empêcher de telles attaques. Même ainsi, il existe également d'autres recommandations qui peuvent aider à atténuer une faille de sécurité, comme forcer les utilisateurs à ajouter des mots de passe forts ou les forcer à les changer tous les 3 mois.
Mais l'ajout d'une authentification multifacteur à votre site Web le rend 100% sécurisé contre les attaques par force brute. Ce facteur supplémentaire et cette étape d'identification de la personne sont un échec et mat pour ce type de bot.
Comment mettre en œuvre la vérification en deux étapes
L'ajout d'une vérification en deux étapes signifie que nous devrons ajouter une étape de vérification supplémentaire à l'authentification habituelle de l'utilisateur et du mot de passe. Le plus simple est que chaque utilisateur ait une application d'authentification installée sur son téléphone qui affiche un code temporaire qui n'est valable que quelques secondes et que c'est celui-ci qu'il doit ajouter comme forme de vérification (en plus du mot de passe ).
Les applications mobiles les plus connues sont Google Authenticator, Authy, HENNGE OTP, FreeOTP ou SoundLogin (en cas d'authentification sonore), entre autres. Tous disponibles sous forme d'applications Android et iOS.
Voyons ci-dessous comment nous pouvons implémenter la vérification en deux étapes avec Google Authenticator. Notez que le processus serait très similaire avec l'une des applications susmentionnées.
Authentificateur Google
Google Authenticator est une application simple disponible sur Android et iOS et affiche simplement un code numérique à 6 chiffres qui change toutes les 30 secondes. C'est celui que vous devez utiliser après vous être connecté à votre WordPress ou à tout autre service où vous l'utilisez, comme votre service de messagerie, votre hébergement, votre cloud, vos réseaux sociaux, etc. Pour chaque compte, vous verrez un code et le temps restant jusqu'à ce qu'il soit actualisé.
Toutes les personnes qui vont accéder à votre WordPress en utilisant 2FA doivent télécharger l'application Google Authenticator sur leur mobile afin de vérifier leur identité avec ce système.
Installer et activer un plugin pour 2FA
Il existe plusieurs plugins disponibles qui vous permettent d'effectuer une authentification utilisateur en deux étapes, tels que Google Authenticator, Wordfence Login Security, Google Authenticator de miniOrange ou Two Factor Authentication. Voyons les étapes à suivre avec le plugin Google Authenticator.
Tout d'abord, depuis votre tableau de bord WordPress, cliquez sur « Ajouter un nouveau » plugin :
Trouvez le plugin que vous souhaitez installer, qui dans notre cas est "Google Authenticator", et cliquez sur "Installer" et "Activer :"
Configurer le plug-in
Après avoir activé le plugin, vous aurez la nouvelle option de paramètres Google Authenticator.
Dans la fenêtre de configuration de Google Authenticator, vous avez la possibilité d'indiquer si vous souhaitez que les utilisateurs eux-mêmes décident d'utiliser ou non la double authentification et les rôles que vous souhaitez activer.
Ensuite, dans le profil de chaque utilisateur qui a l'un des rôles marqués d'une double authentification, vous trouverez les options de configuration de Google Authenticator.
Vous pouvez indiquer si l'utilisateur doit avoir activé 2FA, si l'utilisateur a besoin de plus de temps pour se connecter, le nom du compte affiché dans l'application installée sur votre téléphone, un code secret, afficher le code QR et s'il faut autoriser l'ajout d'un mot de passe dans l'application.
Ajouter le compte configuré à l'application mobile
Maintenant, la première fois qu'une personne qui a été invitée à se connecter avec 2FA se connecte, la fenêtre suivante apparaîtra lui demandant de scanner son code QR sur son mobile et de confirmer le code généré qu'elle voit dans l'application.
Dans l'application Google Authenticator sur son mobile, l'utilisateur doit cliquer sur le bouton "+" en bas à droite de l'écran de l'application pour ajouter un nouveau compte, sélectionner pour scanner un code, et, après avoir scanné le code affiché par votre site WordPress , leur configuration sera prête.
Maintenant, tout ce que l'utilisateur a à faire est d'entrer le code qui apparaît dans l'application sur l'écran initial et la configuration est terminée.
La prochaine fois que l'utilisateur voudra accéder au site, il devra le faire en deux étapes : d'abord en entrant son nom d'utilisateur et son mot de passe, puis son code Google Authenticator.
Et c'est tout! Avec cela, vous aurez doublement assuré la sécurité de votre site web.
Conclusion
Maintenir la sécurité de votre site Web implique de suivre un ensemble de bonnes pratiques pour minimiser le risque d'être victime d'attaques. Bien que se protéger à 100% soit impossible, vous avez déjà vu qu'installer une double barrière de sécurité sur votre site internet est simple et gratuit , alors n'attendez pas d'avoir un problème quand vous savez qu'il vaut mieux prévenir que guérir !
Image en vedette de FLY:D sur Unsplash.