Authentification à deux facteurs : un guide pour les utilisateurs de WordPress
Publié: 2023-01-03Vous avez probablement rencontré un processus d'authentification de connexion en deux étapes dans les services bancaires en ligne et tous les sites qui nécessitent la plus haute sécurité pour leurs utilisateurs. Parce que WordPress prend en charge l'authentification à deux facteurs (2FA), vous pouvez avoir le même niveau de sécurité qu'une banque. Qu'il s'agisse de votre propre site WordPress ou de sites que vous créez pour des clients, une sécurité renforcée est fondamentale.
L'authentification à deux facteurs ajoute une couche de protection incroyablement importante que chaque propriétaire de site WordPress devrait sérieusement envisager d'adopter. Parce que 2FA rend impossible de nombreuses tentatives de piratage courantes, les pirates éviteront simplement les sites protégés par 2FA et ne prendront pas la peine d'essayer de s'introduire avec des méthodes dont ils savent qu'elles ne fonctionneront pas. Chaque site WordPress peut bénéficier de la couche de sécurité supplémentaire fournie par l'authentification à deux facteurs.
Pourquoi les mots de passe forts ne suffisent pas
Les cybermenaces présentent de sérieux risques pour vous et vos clients. Si un utilisateur non autorisé accède au tableau de bord d'administration de votre site, tout peut arriver. Vous pourriez perdre toutes vos données en un instant. Vous pourriez perdre le contrôle de votre site Web pendant un certain temps. Les criminels pourraient récolter les informations personnelles de vos utilisateurs. Vos utilisateurs ne seront pas contents, mais vous devrez les informer de ce qui s'est passé. La loi vous oblige à divulguer les violations de données d'identification personnelle.
Oui, il est toujours important d'exiger des mots de passe forts sur tous les comptes d'utilisateurs pour protéger votre site et ses utilisateurs. Cependant, un mot de passe fort n'offre pas à lui seul une protection suffisante. Les attaquants peuvent pénétrer votre site en devinant même des mots de passe forts ou en utilisant des mots de passe volés. C'est une réalité tellement courante aujourd'hui que les connexions traditionnelles basées sur un mot de passe ne suffisent pas en tant que couche de sécurité unique.
Les mots de passe forts n'offrent pas une protection suffisamment solide sans couches de sécurité supplémentaires. L'utilisation de l'authentification à deux facteurs pour tous vos comptes d'utilisateurs est une mesure de sécurité beaucoup plus efficace car elle ajoute la couche supplémentaire dont vous avez besoin pour sécuriser votre site et protéger vos clients. Cela ne veut pas dire que l'application de mots de passe forts n'est pas nécessaire. Vous devriez toujours le faire aussi - puis ajouter 2FA !
L'authentification à deux facteurs est relativement facile à mettre en place. Lorsque vous le faites, cela réduira considérablement le risque que des utilisateurs malveillants non autorisés obtiennent un accès administrateur à votre site WordPress. Gagnez, gagnez !
L'authentification à deux facteurs bloque les attaques par force brute
L'arrêt des attaques de connexion par force brute est un excellent exemple de la protection que l'authentification à deux facteurs ajoute à votre site WordPress. Les attaques par force brute sont une menace courante, mais l'authentification à deux facteurs les éliminera. Lors d'une attaque de connexion par force brute, les pirates testent rapidement de nombreux mots de passe courants et basés sur un dictionnaire par rapport à votre administrateur et à d'autres comptes d'utilisateurs. Parfois, les pirates testent de grandes listes de noms d'utilisateur, d'adresses e-mail et de combinaisons de mots de passe volés sur votre écran de connexion.
Les tests automatisés et scriptés de milliers de connexions illicites peuvent ralentir votre site ou le mettre hors ligne. Pour cette raison, les attaques de connexion par force brute ont souvent l'effet d'attaques par déni de service. Mais si vous et tous les utilisateurs de votre site avez activé l'authentification à deux facteurs, aucune de ces méthodes de force brute ne fonctionnera du tout . Aucun pirate ne voudra tenter des connexions par force brute sur votre site à grande échelle. Il n'y aura aucune possibilité de succès pour eux.
Ajouter une authentification à deux facteurs à votre site WordPress
Dans ce guide, nous discuterons des détails de 2FA. Vous apprendrez comment fonctionne l'authentification des utilisateurs sur la plateforme WordPress. Ensuite, nous expliquerons comment implémenter 2FA avec les plugins WordPress.
WordPress a-t-il une authentification à deux facteurs ?
Le noyau de WordPress n'a pas d'authentification à deux facteurs intégrée. Vous devez l'ajouter.
L'authentification à deux facteurs est une couche de sécurité supplémentaire que vous ajoutez à votre site avec un plugin WordPress et parfois un service externe. En d'autres termes, il s'appuie sur les fonctionnalités de base du compte d'utilisateur d'une installation WordPress par défaut. 2FA oblige votre site WordPress à exiger non seulement un mot de passe, mais également des informations supplémentaires pour vérifier l'identité de chacun de vos utilisateurs chaque fois qu'ils tentent de se connecter.
La vérification 2FA provient d'une source à laquelle un utilisateur autorisé du site peut accéder, comme :
- Un message texte, un appel ou une notification transmise à leur téléphone
- Un lien ou un code envoyé par e-mail
- Codes QR
L'authentification à deux facteurs est hautement sécurisée. Les attaquants malveillants et les pirates n'auront pas d'accès physique aux canaux et appareils externes de vos utilisateurs. Cela signifie que même s'ils sont capables de déchiffrer un mot de passe, ils ne pourront toujours pas obtenir un accès non autorisé à votre site sans une deuxième couche d'authentification. Pour entrer par effraction avec le mot de passe d'un utilisateur, il doit également avoir pénétré dans l'e-mail, l'ordinateur ou le téléphone d'un utilisateur. Cela peut arriver, mais est extrêmement rare par rapport aux attaques par force brute scriptées qui testent des millions de mots de passe chaque jour.
Ai-je besoin de 2FA pour mon site WordPress ?
L'exécution de l'authentification à deux facteurs empêchera de nombreux acteurs malveillants du monde en ligne de tenter même d'obtenir un accès non autorisé à votre site. Bien que ce ne soit pas strictement nécessaire, qui n'a pas besoin de cette protection et de cette tranquillité d'esprit ?
Si vous avez déjà eu votre site WordPress piraté ou entendu parler de quelqu'un qui l'a fait, alors vous savez à quelle vitesse il peut être jonché de liens de spam, de redirections et de code malveillant qui peuvent nuire immédiatement et irréparablement à votre réputation.
Pire encore, si vous exploitez un site de commerce électronique utilisant WooCommerce, un pirate informatique peut être en mesure d'accéder aux données des clients telles que les noms, adresses, numéros de téléphone, adresses e-mail et même les numéros de carte de crédit.
Si cela se produit, vous aurez du mal à sortir du pétrin.
WordPress 2FA est une deuxième ligne de défense qui empêche les mauvaises personnes d'entrer tout en garantissant que même si un mot de passe est compromis, les comptes resteront sécurisés et sécurisés tant que la deuxième couche de protection reste un verrou incassable pour un pirate.
En tant que propriétaire de site WordPress, comprenez que la fonctionnalité d'authentification à deux facteurs est 100% opt-in. Comme il ne s'agit pas d'une fonctionnalité essentielle, vous ne devez l'implémenter sur votre site que si vous le souhaitez. Il est entièrement gratuit et ajoute une couche de protection presque incassable qui atténuera de nombreux soucis concernant les piratages et les attaques.
Cela dit, 2FA est une approche simple de la sécurité du site WordPress que tout le monde devrait utiliser s'il ne l'utilise pas déjà ou même des méthodes de connexion sécurisées plus solides qui utilisent des clés d'authentification au lieu de mots de passe.
Les avantages de 2FA pour les sites WordPress avec plusieurs utilisateurs
Sur les pages de connexion WordPress standard non modifiées, vous et vos utilisateurs entrez simplement un nom d'utilisateur et un mot de passe pour accéder au site. Après la soumission des informations d'identification de connexion, si une combinaison de nom d'utilisateur et de mot de passe correspond à ce qui se trouve dans la base de données WordPress, l'utilisateur accède instantanément au back-end WordPress et à tous les privilèges basés sur les règles d'autorisation que vous avez appliquées.
WordPress a six rôles utilisateur prédéfinis :
- Super administrateur
- Administrateur
- Éditeur
- Auteur
- Donateur
- Abonné
Par défaut, ces rôles sont autorisés à effectuer des ensembles spécifiques de tâches sur votre site. Les tâches qu'un rôle peut effectuer sont appelées "Capacités".
La plupart des utilisateurs de votre site standard sont probablement dans le rôle d'abonné, qui a le moins de capacités. Cependant, vous pouvez avoir des administrateurs, des éditeurs et des auteurs supplémentaires qui accèdent régulièrement au back-end de votre site. Certains utilisateurs peuvent être bâclés avec leurs mots de passe, ils peuvent partager des comptes, et certains avec des privilèges spéciaux peuvent donner des privilèges à d'autres utilisateurs à votre insu. Vous pouvez oublier de supprimer des utilisateurs ou de rétrograder leurs privilèges lorsqu'ils ne sont plus actifs ou nécessaires. Toutes ces situations sont courantes et créent des opportunités pour les attaquants.
Si un pirate découvre un seul des noms d'utilisateur et mots de passe d'administrateur, il aura instantanément accès à l'ensemble de votre site avec tous les privilèges. C'est mauvais, évidemment, mais vous ne voulez pas non plus que vos abonnés soient piratés. Même dans ce cas, vous devrez signaler la violation, ce qui nuit à la confiance que vos utilisateurs ont pour vous et votre marque.
Comment l'authentification à deux facteurs sécurise les connexions des utilisateurs
L'authentification à deux facteurs empêche les pirates de s'introduire dans les comptes d'utilisateurs en vérifiant une deuxième fois l'identité d'un utilisateur à l'aide d'un e-mail, d'un SMS ou d'une application d'authentification. Au moment de la connexion, la deuxième méthode de vérification est activée. En conséquence, l'utilisateur devra confirmer sa connexion via l'un de ces canaux secondaires.
En termes simples, lorsque vous ou un autre utilisateur du site saisissez des données de connexion personnelles sur la page de connexion de votre site (un nom d'utilisateur et un mot de passe), une notification immédiate est envoyée à l'adresse e-mail ou au numéro de téléphone associé à l'utilisateur qui tente de se connecter. Normalement, cette notification de connexion comprendra un lien, un code QR ou un code PIN à usage unique pour permettre la poursuite de la tentative de connexion.
Pour accéder au site, les utilisateurs doivent suivre les instructions contenues dans l'e-mail ou le SMS. Il peut leur être demandé de cliquer sur un lien d'accès spécifique ou de saisir un code PIN.
Bien que cette étape supplémentaire ralentisse le processus de connexion, la sécurité supplémentaire dépasse de loin le risque de laisser votre site ouvert à de simples piratages de nom d'utilisateur et de mot de passe que les cybercriminels exécutent chaque jour sur le Web.
L'authentification à deux facteurs est-elle complètement sécurisée ?
Aucune mesure de sécurité n'est jamais infaillible à 100 %. Dans le monde du piratage, où il y a une volonté, les pirates trouveront un moyen. Si le pire devait arriver et que vous constatiez que votre site a été piraté, il est préférable d'exécuter un plugin de sauvegarde WordPress qui peut immédiatement restaurer votre site à un moment sûr avant une attaque.
Lorsque vous comparez 2FA aux protocoles de protection par mot de passe standard de WordPress, vous constaterez que l'authentification à deux facteurs est plus sécurisée. Le processus nécessite que vos utilisateurs (et vous) confirment chaque tentative de connexion à partir d'une source unique pour chaque utilisateur. Il s'agit généralement d'un téléphone ou d'un compte de messagerie privé. Cela signifie qu'un pirate ne peut accéder au fonctionnement interne d'un site WordPress protégé par 2FA que s'il a également accès aux appareils d'un utilisateur du site et à des informations de connexion externes. Parce que cela est extrêmement peu probable, l'ajout de 2FA rend votre site beaucoup moins susceptible d'être piraté via une connexion illicite.
Êtes-vous prêt à apprendre comment ajouter 2FA à WordPress pour protéger votre site Web et ses utilisateurs ? Si tel est le cas, lisez la suite pour savoir comment intégrer la fonctionnalité 2FA sur votre site et la faire fonctionner.
Comment activer l'authentification à deux facteurs dans WordPress ?
Selon l'hébergeur de votre site, vous pourrez peut-être activer la protection 2FA dans le cPanel ou le portail utilisateur de votre hôte.
Cependant, si votre hébergeur ne vous fournit pas de protection 2FA, vous pouvez facilement l'implémenter vous-même en utilisant les plugins WordPress.
Plugins d'authentification à deux facteurs WordPress
Vous trouverez ci-dessous quelques-uns des meilleurs plugins WordPress 2FA qui sécuriseront immédiatement votre site contre les attaques de connexion par script.
1. Authentification à deux facteurs de sécurité iThemes
À notre avis, la meilleure suite de sécurité de site WordPress tout compris disponible est iThemes Security Pro avec authentification à deux facteurs. Non seulement il sécurise votre site avec 2FA, mais il est livré avec des fonctionnalités de sécurité de site supplémentaires :
- Protection contre les attaques par force brute
- Détection de changement de fichier
- Détection d'erreur 404
- Application d'un mot de passe fort
- Bad Bot et blocage des spams
- Mode Absent
iThemes Security Pro élimine les conjectures de la sécurité de WordPress. Vous ne devriez pas avoir besoin d'être un professionnel de la sécurité pour utiliser un plugin de sécurité, donc iThemes Security Pro facilite la sécurisation et la protection de votre site Web WordPress même si vous n'avez pas beaucoup de connaissances techniques.
L'ajout d'une authentification à deux facteurs à l'aide du plugin de sécurité WordPress iThemes Security Pro est facile, même pour l'utilisateur le plus novice. Une fois installé et activé, les utilisateurs du site devront entrer un mot de passe ainsi qu'un code sensible au temps qui sera envoyé à un appareil secondaire.
Avantages, inconvénients et coûts
- Avantages d'iThemes Security Pro : Vous bénéficiez d'une protection de sécurité beaucoup plus importante que la seule authentification à deux facteurs. Encore mieux, l'option 2FA est robuste et facile à utiliser. Vous serez sûr de savoir que votre site est entièrement protégé contre les connexions malveillantes lorsque vous activez le plugin.
- Inconvénients d'iThemes Security Pro : Le plugin coûte plus cher que les autres options 2FA payantes, mais vous en avez plus pour votre argent.
- Coût d'iThemes Security Pro : Si vous n'avez besoin de sécuriser qu'un seul site, le coût du plugin est de 80 $ par an. Pour un maximum de dix sites, il en coûtera 127 $ par an. Pour un nombre illimité de sites, vous pouvez utiliser le plugin pour 199 $ par an. C'est un investissement qui en vaut la peine si l'on considère l'alternative.
2. Authentification à deux facteurs Rublon
Si vous recherchez un plugin d'authentification à deux facteurs facile à utiliser pour WordPress, jetez un œil au plugin Rublon Two-Factor Authentication. Le plugin Rublon 2FA sécurisera rapidement votre site contre toutes les connexions non autorisées sans aucun obstacle technique de votre côté.
Une fois que vous avez téléchargé et installé le plugin Rublon, la prochaine fois que vous tenterez de vous connecter à WordPress, vous devrez cliquer sur un lien de vérification qui sera envoyé à l'adresse e-mail de votre compte utilisateur WordPress. Ensuite, après avoir cliqué sur le lien pour vérifier votre identité, il vous sera demandé si vous souhaitez que le site se souvienne de votre appareil pour les futures connexions. Cela signifie que vous n'aurez pas besoin de vérifier votre identité à chaque fois que vous vous connectez, tant que vous utilisez le même appareil et le même navigateur chaque fois que vous accédez au site.
Si vous utilisez un autre appareil ou navigateur après la vérification, vous devrez simplement répéter le processus et enregistrer celui-ci également. Veillez simplement à ne jamais le faire sur un appareil auquel d'autres personnes ont accès !
La version gratuite du plugin Rublon 2FA est l'une des meilleures options pour les sites WordPress qui n'ont qu'un seul utilisateur . En passant à la version payante, ce plugin peut également être utilisé pour sécuriser les sites Web multi-utilisateurs.
Avantages, inconvénients et coûts
- Avantages de Rublon Two-Factor Authentication : Il s'agit principalement d'une intervention manuelle pour les administrateurs de site. Une fois que vous avez installé et activé le plugin, il ne nécessite aucune formation ou configuration. Configuré pour fonctionner immédiatement.
- Inconvénients de l'authentification à deux facteurs Rublon : il ne prend pas en charge les notifications push ou la vérification des messages texte. Pour cette raison, vous n'aurez qu'une vérification par e-mail pour 2FA.
- Coût de l'authentification à deux facteurs Rublon : La version personnelle sur un site Web de ce plugin est entièrement gratuite. Par conséquent, si vous utilisez un site multi-utilisateurs ou si vous avez plusieurs sites, vous devrez obtenir la version payante du plugin. Pour cela, contactez leur équipe commerciale pour un devis.
3. Authentification à deux facteurs Duo
L'authentification à deux facteurs Duo est l'un des plugins WordPress 2FA les plus avancés que vous puissiez trouver. Avec lui, vous pouvez configurer une authentification à deux facteurs basée sur les rôles des utilisateurs dans le tableau de bord WordPress.
Par exemple, vous pourrez exiger que les éditeurs et les auteurs utilisent le processus de connexion 2FA, mais les abonnés (qui ne peuvent en aucun cas accéder au tableau de bord d'administration) n'ont qu'à entrer leurs noms d'utilisateur et mots de passe pour accéder au site. Cette fonctionnalité pratique peut empêcher les utilisateurs de base d'être frustrés par le long processus d'authentification à deux facteurs.
Ce plugin vous fournira également plusieurs options de vérification d'utilisateur différentes, notamment :
- Un appel téléphonique automatisé
- Un message SMS avec un code PIN
- Une application mobile
Il s'agit d'un outil 2FA plus flexible que le plugin Rublon Two-Factor Authentication, qui ne propose que l'e-mail d'authentification à deux facteurs WordPress.
Avantages, inconvénients et coûts
- Avantages de l'authentification à deux facteurs Duo : Ce plugin d'authentification à deux facteurs WordPress prend en charge la configuration des rôles d'utilisateur et inclut une grande variété de méthodes de vérification de l'utilisateur. Pour cette raison, il est extrêmement polyvalent pour les sites WordPress.
- Inconvénients de l'authentification à deux facteurs Duo : Malheureusement, ce plugin ne prend pas en charge WordPress Multisite. Pour cette raison, cela peut être hors de question pour certains utilisateurs.
- Coût de l'authentification à deux facteurs Duo : Ce plugin est la solution gratuite parfaite si vous avez dix utilisateurs ou moins qui se connectent régulièrement à votre site. Cependant, si vous en avez plus de dix, vous pouvez augmenter la limite en payant 3 $ par mois pour chaque utilisateur supplémentaire.
4. Google Authenticator - L'authentification à deux facteurs de Google pour WordPress
L'authentification à deux facteurs de Google pour WordPress est également une option à considérer pour la mise en œuvre de 2FA sur votre site WordPress.
Google Authenticator vous offre une belle variété de méthodes de vérification qui protégeront votre site contre les connexions malveillantes non autorisées, y compris les e-mails, les codes QR et les notifications push.
Tout comme le Duo Two-Factor Authenticator, vous pourrez utiliser ce plugin pour configurer des règles 2FA spécifiques pour des rôles d'utilisateur WordPress particuliers. Cette fonctionnalité fait de l'authentification à deux facteurs de Google une arme puissante pour WordPress dans la lutte contre les attaques de piratage.
Vous pouvez configurer Google Authenticator pour exiger un nom d'utilisateur, un mot de passe et un facteur de vérification supplémentaire. Ou vous pouvez configurer le plugin pour n'exiger qu'un nom d'utilisateur et un facteur supplémentaire, sans mot de passe nécessaire.
Avantages, inconvénients et coûts
- Avantages de Google Authenticator : Ce plugin prendra en charge des rôles d'utilisateur spécifiques en ce qui concerne 2FA et est livré avec une grande variété de méthodes pour vérifier les utilisateurs de votre site, y compris les SMS, les codes QR, les notifications push et les appels téléphoniques automatisés.
- Inconvénients de Google Authenticator : La version que Google propose gratuitement est relativement limitée dans les fonctionnalités que vous serez autorisé à utiliser.
- Coût de Google Authenticator : La version gratuite offre une authentification à deux facteurs pour un seul utilisateur. Vous pourrez mettre à niveau pour plusieurs utilisateurs à partir de 15 $ par an.
Est-il temps de déployer l'authentification à deux facteurs sur votre site WordPress ?
N'oubliez pas que votre site WordPress n'est sécurisé que dans la mesure où votre page de connexion le permet. Le plus souvent, restreindre l'accès à un nom d'utilisateur et à un mot de passe ne suffit pas.
En mettant en œuvre 2FA, vous pourrez protéger votre site, vos visiteurs, vos utilisateurs et vos clients contre les attaques malveillantes par force brute.
Lorsque vous complétez un bon système de sauvegarde avec une authentification à deux facteurs, vous prenez des mesures fondamentales pour sécuriser votre site.
Dan Knauss est le généraliste du contenu technique de StellarWP. Il est écrivain, enseignant et pigiste travaillant en open source depuis la fin des années 1990 et avec WordPress depuis 2004.