Authentification WordPress 2FA : la vérité sur cet élément essentiel de la sécurité du site

Publié: 2023-06-12

Alors que 2FA est une solution simple sur le front-end et le back-end, il se passe beaucoup de choses sous le capot. C'est un moyen supplémentaire fantastique d'ajouter une couche de sécurité supplémentaire à un site et permettra aux utilisateurs de contribuer à la sécurité de votre site et de leurs informations.

Pour ce didacticiel, nous parlerons de 2FA - en particulier de l'authentification WordPress 2FA. Tout au long, nous verrons ce que c'est, votre choix de mots de passe, comment implémenter 2FA sur votre site, et bien plus encore.

Qu'est-ce que 2FA (et ce qu'il peut vous aider à réaliser)

En un mot, l'authentification à deux facteurs est une mesure de sécurité qui fournit une couche de protection supplémentaire au-delà de vos identifiants de connexion habituels. Avec 2FA, un utilisateur doit fournir une deuxième information, souvent un code numérique - un mot de passe à usage unique basé sur le temps (TOTP) :

Une invite frontale demandant un code SMS 2FA

Les informations supplémentaires que vous verrez généralement sont un code numérique qui expire après un court laps de temps :

D'un point de vue technique, 2FA nécessite deux formes d'authentification des utilisateurs. Le premier « facteur » est une information connue de l'utilisateur, comme un mot de passe. Le deuxième facteur est quelque chose que l'utilisateur possède, comme un jeton ou un code qui est envoyé à un appareil. Même si le mot de passe d'un utilisateur est connu, vous aurez toujours besoin de ce deuxième facteur pour vérifier et authentifier la session.

Cependant, les méthodes modernes incluent des informations telles qu'une empreinte digitale. Quoi qu'il en soit, le concept clé est que vous fournirez une information à laquelle personne d'autre n'aura accès. Si ces informations correspondent à ce qu'on vous demande de fournir, vous obtiendrez l'accès dont vous avez besoin.

2FA et WordPress

2FA devient encore plus pertinent en ce qui concerne les connexions des utilisateurs WordPress ; le système de gestion de contenu (CMS) est la plate-forme de site Web numéro un sur le marché. Cela est en partie dû à sa sécurité de base stellaire. Cependant, une plateforme aussi populaire peut devenir une cible de sécurité.

Par exemple, en 2021, Sucuri a réparé près de 50 000 sites piratés. La majorité était la faute de vulnérabilités dans des plugins et des thèmes obsolètes. De plus, les attaques par force brute peuvent décimer les réseaux de sites. Wordfence rapporte une récente attaque de botnet qui a frappé des millions de sites Web WordPress.

Ces deux exemples montrent comment une erreur d'utilisateur peut entraver votre sécurité WordPress, surtout si vous ne vous tenez pas au courant des mises à jour des plugins et des thèmes. Cependant, l'utilisation de 2FA est un moyen efficace de protéger votre site WordPress contre les attaques, de responsabiliser vos utilisateurs, etc.

Une deuxième forme d'authentification empêchera non seulement les mauvais acteurs d'accéder à vos comptes, mais vous permettra de travailler à distance avec une plus grande sécurité. L'ensemble de votre base d'utilisateurs sera également responsable de sa propre sécurité, ce qui rend l'ensemble de votre site plus sûr.

Dans l'ensemble, 2FA est un moyen crucial d'empêcher l'accès non autorisé aux informations sensibles, de renforcer la confiance des utilisateurs et de se conformer partiellement aux directives de sécurité des données. C'est une mesure de travail et de sécurité vitale, en particulier pour les plates-formes populaires telles que WordPress. Cela signifie également que votre choix de mot de passe est moins gênant. Cependant, il s'agit d'un sujet complexe qui nécessite plus de profondeur.

Comment un mauvais choix de mot de passe vous causera du stress

Chaque année, de nombreux organes de presse et sites publient une liste de mots de passe médiocres, et la liste se ressemble à chaque tournant. Par exemple, Tom's Guide montre certains des mots de passe les plus courants mais les plus faibles pour les utilisateurs finaux :

  • qwerty
  • 123456
  • mot de passe

Cependant, les utilisateurs administrateurs et back-end ont également du mal à utiliser des mots de passe faibles et dangereux. Par exemple, admin , root et guest figurent tous sur la liste en position haute. En fait, le mot de passe administrateur est plus inquiétant si l'on considère que le rôle d'utilisateur administrateur par défaut de WordPress a également le nom d'utilisateur "admin".

Quoi qu'il en soit, ces mots de passe peuvent être déchiffrés presque en quelques secondes à l'aide de techniques de force brute et d'outils automatisés. Cependant, combiné à une solution telle que Melapress Login Security, vous pouvez vous assurer qu'un utilisateur créera un mot de passe fort et protégera également votre site en utilisant 2FA.

Étant donné que l'utilisateur doit authentifier ses informations via une application ou une technologie tierce, il s'agit d'un moyen important de réduire le risque d'accès non autorisé. De plus, vous pouvez renforcer et renforcer vos politiques de mots de passe solides et empêcher également les violations de données et autres cyberattaques.

Bien que 2FA soit un moyen fantastique d'assurer la responsabilité des utilisateurs et de renforcer un point faible de la sécurité de votre site, ce n'est pas le seul. Ensuite, nous verrons comment vos autres dispositions fonctionnent avec 2FA pour fournir un service encore meilleur.

Comment les emplacements 2FA accompagnent votre provision de sécurité actuelle

2FA n'est pas une tactique de sécurité unique. Au lieu de cela, il se faufile dans votre offre de sécurité globale en tant que complément. En tant que tel, vous et vos utilisateurs devrez toujours adhérer aux implémentations de sécurité typiques :

  • Utilisez des mots de passe forts. Vous voudrez choisir quelque chose de long, car cela augmentera le temps qu'il faut pour craquer. Bien que 2FA ne repose pas sur le besoin de mots de passe forts, il est toujours recommandé de faire tout ce que vous pouvez pour sécuriser vos identifiants de connexion. Melapress Login Security est idéal pour cette tâche.
  • Effectuez des mises à jour fréquentes du logiciel. Pour WordPress, cela inclut les plugins, les thèmes et les fichiers principaux. Plus tard, nous discuterons des plugins d'authentification WordPress 2FA, et ceux-ci sont très importants pour se tenir à jour.

Pour aborder un peu plus les mots de passe, combiner des mots de passe forts avec 2FA peut garantir que vous seul pouvez accéder à un compte. Par exemple, une connexion Wi-Fi non sécurisée sur un lieu de travail local pourrait compromettre votre mot de passe. Cependant, vous devrez toujours fournir la deuxième forme d'authentification pour accéder au compte.

Un mot de passe plus fort qui est presque insensible au piratage ne perturbera pas non plus les ressources de votre serveur. En effet, vous n'aurez pas plusieurs tentatives de connexion (et de potentielles requêtes 2FA) à partir d'un nombre potentiellement important d'adresses IP.

Vous pouvez aller encore plus loin et combiner 2FA avec une protection dédiée contre la force brute. Ce concept dépasse le cadre de cet article, mais il existe de nombreux plugins de sécurité WordPress (tels que Wordfence ou Jetpack Security) qui peuvent fournir une solution robuste.

Choisir le "format" 2FA qui vous convient

L'un des avantages de l'authentification à deux facteurs est la flexibilité de sa mise en œuvre. Vous avez quatre façons distinctes d'utiliser 2FA :

  • Une méthode SMS, basée sur le texte.
  • Authentification par courriel.
  • Applications dédiées, telles que Authy, Sentinel, Duo et bien d'autres.
  • Notifications push.

Chacun d'entre eux atteint le même résultat de différentes manières, mais ils ne sont pas tous égaux. Décomposons chacun à son tour, ainsi que les avantages et les inconvénients.

SMS

La méthode 2FA par défaut pour de nombreux services en ligne consiste à envoyer un code d'authentification à un appareil mobile par SMS. Vous devrez entrer votre numéro de téléphone dans un champ spécifique, qui enverra un code limité dans le temps.

Un SMS affichant un code à deux facteurs pour authentifier une connexion

Les avantages ici incluent le besoin d'aucune autre application tierce pour vous aider à authentifier votre connexion, et l'immense facilité d'utilisation à configurer et à utiliser. Cependant, les SMS présentent de graves inconvénients. Tout d'abord, vous devrez transmettre davantage de vos informations personnelles sur le Web (votre numéro de téléphone) afin de procéder à une vérification.

Il y a quelques points à garder à l'esprit lorsque vous choisissez 2FA basé sur SMS. Premièrement, les frais de réseau prélevés par l'opérateur de réseau pour la livraison de SMS. Deuxièmement, les messages SMS ne sont pas cryptés et sont vulnérables à l'échange de carte SIM. Même ainsi, il peut offrir une meilleure protection aux utilisateurs qui ne sont peut-être pas aussi avertis sur le plan technologique.

Notifications par email

Les notifications par e-mail sont similaires aux méthodes d'authentification par SMS. C'est ici que vous entrerez une adresse e-mail sur la page de connexion, qui recevra ensuite un code ou un jeton pour authentifier votre session.

Recevoir une notification par e-mail pour authentifier une session de connexion.

L'authentification 2FA par e-mail est facile et simple à utiliser - vous n'aurez besoin d'accéder à votre boîte de réception que pour valider votre connexion.

Si l'e-mail n'est pas crypté, il peut devenir vulnérable à une attaque « machine-in-the-middle » ou similaire. Cependant, vous pouvez prendre des mesures pour sécuriser vos e-mails WordPress et éviter les risques généralement associés aux e-mails non cryptés.

Notifications push

Les notifications push cherchent à combler le fossé entre l'authentification par e-mail et par SMS. Cela implique de recevoir une notification sur un smartphone que vous devrez approuver avant de vous connecter à un compte. Apple est une entreprise qui utilise cette méthode pour configurer des appareils de confiance dans son écosystème.

Une notification push sur un appareil Apple.
Une notification push sur un appareil Apple.

Cette méthode est également pratique et aussi facile à utiliser que les e-mails et les SMS. Un autre avantage est qu'il ne repose souvent pas du tout sur des mots de passe, des codes ou des jetons. Il s'agit d'un élément fantastique de l'expérience utilisateur (UX) qui peut rendre les comptes plus sûrs sans pratiquement aucune réflexion ni travail pour l'utilisateur.

Cependant, l'approche présente encore des inconvénients. Parce qu'une notification push est si facile à approuver, un utilisateur occupé pourrait le faire sans le vouloir. Certaines études suggèrent que la durée d'attention d'un utilisateur diminue en fonction du plus grand nombre de notifications qu'il reçoit, ce qui pourrait s'avérer être un problème.

À cette fin, il est important d'éduquer les utilisateurs sur la sécurité appropriée des comptes. Les notifications push inattendues ne doivent jamais être approuvées et les demandes fréquentes doivent être signalées pour une enquête plus approfondie.

Utiliser une application

La façon typique de booster votre implémentation 2FA est d'utiliser une application. Il y en a beaucoup : Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator et presque d'innombrables autres.

L'application Sentinel s'affiche sur un écran d'iPhone.
L'application Sentinel s'affiche sur un écran d'iPhone.

Ces applications généreront un code unique pour chaque site toutes les 30 secondes que vous saisirez sur le site Web en question pour vérifier et authentifier la connexion. Il est considéré comme l'une des approches les plus sûres. Cependant, tout comme les notifications push, vous aurez toujours besoin d'appareils compatibles et d'un accès Internet pour utiliser l'application.

Quel format 2FA choisir

Avoir 2FA est une meilleure option que de ne pas avoir 2FA. Bien que certaines méthodes, telles que les applications 2FA, soient plus sécurisées que d'autres, nous devons également reconnaître que notre base d'utilisateurs peut être très diversifiée.

Vous souhaiterez également réduire la barrière à l'entrée et vous assurer que les utilisateurs sont à l'aise avec 2FA. À cette fin, plus vous pourrez offrir d'options à vos utilisateurs, mieux ce sera, car cela vous aidera à vous assurer que votre implémentation 2FA est un succès retentissant.

Présentation de WP 2FA : la meilleure façon d'implémenter l'authentification WordPress 2FA

Il existe de nombreux plugins WordPress d'authentification à deux facteurs disponibles. Par exemple, miniOrange et l'authentification à deux facteurs offrent un large éventail de fonctionnalités et bénéficient du soutien de nombreux utilisateurs satisfaits.

Cependant, le plugin WP 2FA offre les fonctionnalités, le support et le coût pour en faire votre solution numéro un. C'est un excellent moyen d'ajouter l'authentification à deux facteurs à votre site Web WordPress.

Le logo WP 2FA.
Le logo WP 2FA.

Nous vous encourageons à consulter les spécifications de la version gratuite, mais avec l'édition premium, vous bénéficiez de toutes les fonctionnalités dont vous avez besoin :

  • Vous pouvez choisir parmi plusieurs méthodes 2FA différentes, en fonction de vos besoins et de ceux de vos utilisateurs.
  • Vous pouvez personnaliser vos politiques 2FA. Cela implique des éléments tels que rendre 2FA obligatoire, offrir un délai de grâce, et bien plus encore.
  • Les utilisateurs n'ont pas besoin d'accéder au tableau de bord WordPress. Vous pouvez proposer une authentification de connexion via le frontal de votre site.
  • Il existe également de nombreuses intégrations de services tiers, comme avec Twillo et Authy. Cela vous permet de fournir d'autres méthodes d'authentification aux utilisateurs.

En ce qui concerne le prix, WP 2FA offre une valeur immense. Par exemple, la licence WP 2FA Starter coûte 29 $ par an. Cela vous permet d'installer la version complète de WP 2FA sur autant de sites Web que nécessaire et d'offrir une authentification de connexion à cinq utilisateurs. Il existe des plans flexibles pour augmenter la limite d'utilisateurs et l'ensemble de fonctionnalités.

Encore mieux, utiliser WP 2FA est un jeu d'enfant. Ensuite, nous vous montrerons comment.

Comment utiliser WP 2FA pour renforcer la sécurité du site de votre utilisateur

WP 2FA possède toutes les caractéristiques et fonctionnalités dont vous aurez besoin pour implémenter l'authentification WordPress 2FA sur votre site. De plus, il est simple à configurer et à utiliser. Le processus d'installation ressemble beaucoup à n'importe quel autre plugin WordPress gratuit. Vous pouvez le trouver en utilisant la barre de recherche sur l'écran Plugins > Add New :

Trouver le plugin WP 2FA dans le tableau de bord WordPress.
Trouver le plugin WP 2FA dans le tableau de bord WordPress.

À partir de là, cliquez sur les boutons Installer maintenant et Activer , puis attendez que WordPress termine le processus d'installation. À ce stade, vous êtes prêt à configurer 2FA sur votre site Web WordPress.

1. Configurer WP 2FA à l'aide de l'assistant de configuration

WP 2FA peut effectuer pour vous tout le gros du travail lié à l'authentification WordPress 2FA. L'assistant de configuration passe par quatre étapes jusqu'à la fin en fonction de différentes stratégies et méthodes de mise en œuvre.

L'assistant de configuration commence par une page de bienvenue et vous devrez cliquer sur le bouton Commençons pour continuer :

L'assistant de configuration WP 2FA.

Les deux premières étapes examinent les méthodes 2FA que vous souhaitez implémenter. Vous utiliserez les cases à cocher pour ajouter une 2FA basée sur une application et une 2FA par e-mail à votre site. La version premium du plugin inclut des méthodes supplémentaires que vous pouvez également sélectionner.

Choisir les méthodes 2FA dans l'assistant de configuration.

Une fois que vous avez cliqué pour continuer, vous pouvez également fournir à vos utilisateurs des codes de secours au cas où ils auraient besoin de configurer 2FA avec une autre application ou un autre appareil. La version premium de WP 2FA vous permet d'offrir plus d'options d'authentification alternatives.

Le troisième écran de l'assistant de configuration vous permet de choisir pour qui vous appliquez 2FA. Il y a trois boutons radio ici pour sélectionner tous les utilisateurs, aucun utilisateur et des utilisateurs et rôles spécifiques :

Choisir à qui appliquer les politiques 2FA dans l'assistant de configuration.

Notez que vous verrez des options supplémentaires si vous choisissez Tous les utilisateurs ou Uniquement pour des utilisateurs et des rôles spécifiques . Ceux-ci vous permettront de spécifier les utilisateurs à exclure ou les rôles à inclure dans le cadre de votre politique.

Ajout de rôles d'utilisateur à une stratégie 2FA dans l'assistant de configuration.

Une fois que vous avez choisi Tout terminé , vous verrez une invite pour configurer WP 2FA pour votre propre compte d'utilisateur. Le processus est presque terminé.

2. Configurez WP 2FA pour votre compte utilisateur

Après avoir configuré l'authentification WordPress 2FA, vous pouvez configurer 2FA pour votre propre compte d'utilisateur.

Les options disponibles incluront les méthodes mises à disposition dans l'assistant de configuration. Certaines méthodes, telles que les SMS et les notifications Push, nécessiteront une configuration supplémentaire car elles nécessitent des fournisseurs de services tiers pour fonctionner. Dans cet exemple, nous utiliserons la méthode d'application 2FA TOTP.

Si vous n'avez pas encore d'application 2FA, en télécharger une devrait être votre première étape. Il y a beaucoup de choix et WP 2FA offre une compatibilité universelle. La principale fonctionnalité dont vous aurez besoin est de scanner le code QR depuis le tableau de bord WordPress à l'aide de votre application :

Le code QR WP 2FA dans le back-end WordPress.

Une fois que vous aurez exécuté l'assistant, vous pourrez utiliser l'authentification WordPress 2FA pour votre site.

En résumé

L'authentification à deux facteurs est l'un des moyens les meilleurs et les plus conviviaux de sécuriser un compte en ligne. Il repose sur la vérification à l'aide d'un jeton ou d'un code que vous obtenez d'un appareil que vous possédez. Ainsi, sans ce code, vos comptes sont en sécurité, même si votre mot de passe est compromis.

Le plugin WP 2FA vous permet d'implémenter l'authentification WordPress 2FA en quelques minutes sans avoir besoin de connaissances techniques. L'assistant de configuration vous guide tout au long du processus et vous avez

Alors que la version gratuite de WP 2FA est complète, la version premium de 2FA en offre plus. Les licences commencent à partir de 29 $ par an et chacune vous permet de configurer cinq utilisateurs pour votre site.

Partenaire d'hébergement de l'agence

BionicWP

Liens d'amis

    En cas d'infraction, veuillez nous contacter, nous serons supprimés dans les 3 jours. Email:

    © 2024 Copyright www.wpade.com. All Rights Reserved.