Authentification à deux facteurs et WordPress

Publié: 2022-08-26

L'authentification à deux facteurs (2FA) est une mesure de sécurité qui demande à un utilisateur de fournir une information qu'il est le seul à connaître avant de se connecter à un service.

Vous pouvez voir 2FA sous différents noms tels que Multi-Factor Authentication (MFA), Dual-Factor Authentication ou 2-Step Verification. 2FA est largement utilisé, en particulier dans les situations où la sécurité est particulièrement importante, comme pour les services bancaires en ligne.

L'importance de 2FA

Vous avez peut-être entendu parler d'un type d'attaque en ligne appelé « attaque par force brute ». Celles-ci sont trop courantes et impliquent un bot automatisé qui essaie de deviner le nom d'utilisateur et le mot de passe d'un utilisateur sur un site Web. Des tentatives de connexion répétées sont effectuées jusqu'à ce que l'accès soit obtenu. Ces types d'attaques sont relativement faciles à atténuer en verrouillant l'accès à une page de connexion en cas de tentatives répétées et infructueuses.

Mais que se passe-t-il si le bot "a de la chance" et parvient à se connecter avant qu'un nombre prédéfini de tentatives infructueuses ne soit atteint ? Ou, plus probablement, comment les utilisateurs qui ont volé des identifiants de connexion peuvent-ils empêcher les connexions malveillantes aux sites Web et aux applications ? Ce dernier est un problème particulier avec à peine une journée sans qu'une entreprise de premier plan ne signale une violation de données qui peut ou non avoir compromis certaines des données de ses clients.

Un moyen plus robuste de s'assurer que vous et vous seul pouvez vous connecter à un site Web/une application/un compte consiste à utiliser un système appelé authentification à deux facteurs.

Comment fonctionne l'authentification à deux facteurs ?

L'authentification à deux facteurs fonctionne en demandant à l'utilisateur d'entrer non seulement son nom d'utilisateur et son mot de passe lors de la connexion, mais également une deuxième information générée séparément et qui variera continuellement. Cela se présente généralement sous la forme d'un code à 6 chiffres envoyé par SMS au téléphone mobile de l'utilisateur. L'idée derrière cela est que seul l'utilisateur authentique aura accès à cet appareil, contrecarrant ainsi les tentatives de connexion qui sont entreprises par la force brute ou à la suite d'une violation de données qui révèle les noms d'utilisateur et les mots de passe.

Depuis la création de 2FA, les applications d'authentification sont devenues plus répandues. Au lieu d'utiliser des messages SMS pour envoyer aux utilisateurs des codes d'accès à usage unique, une application installée sur les appareils de l'utilisateur génère à la place des codes aléatoires. Ceci est reconnu comme étant encore plus sûr en tant que méthode d'authentification car il élimine la possibilité qu'un message SMS soit intercepté ou qu'un numéro de mobile soit cloné ou usurpé.

Options de l'application d'authentification

Il existe de nombreuses excellentes applications d'authentification à deux facteurs qui peuvent être utilisées pour générer les codes de connexion requis.

Si vous avez un appareil Android, vous pouvez choisir entre Google Authenticator, Microsoft Authenticator, Twilio Authy, Cisco Duo Mobile, FreeOTP et bien d'autres.

Sur iOS 15, certaines des applications les plus populaires sont Google Authenticator, Twilio Authy, OTP auth, Step Two, Microsoft Authenticator, FreeOTP et l'authentificateur intégré iOS.

Sous Windows, vous pouvez utiliser les applications d'authentification WinAuth et Twilio Authy, entre autres.

Sur macOS, certaines des options sont la deuxième étape, l'authentification OTP (version payante uniquement) et Twilio Authy.

Authentification à deux facteurs sur votre site WordPress

Il n'y a pas que les sites Web bancaires qui peuvent bénéficier de 2FA… votre propre site Web WordPress le peut aussi ! Les pirates adorent cibler à peu près n'importe quel CMS et WordPress ne fait pas exception. L'utilisation du bon fournisseur d'hébergement et la mise à jour de votre site Web peuvent grandement contribuer à contrecarrer toute tentative de piratage. L'ajout de 2FA à votre site Web WordPress rend encore plus difficile l'accès à votre site pour les utilisateurs non autorisés.

Hébergez votre site web avec Pressidium

GARANTIE DE REMBOURSEMENT DE 60 JOURS

VOIR NOS FORFAITS

Parce qu'il s'agit de WordPress, vous ne manquerez pas d'excellents plugins qui peuvent vous aider à configurer 2FA rapidement et facilement. Jetons un coup d'œil à quelques-uns.

Le plug-in WP 2FA

Authentification à deux facteurs, plugin WordPress : Le plugin WP 2FA

Le plugin WP 2FA - Two-factor Authentication est une solution populaire. Une fois que vous avez installé et activé le plugin WP 2FA, vous verrez cet écran :

Authentification à deux facteurs, plugin WordPress : L'assistant du plugin WP 2FA

Suivez l'assistant, il vous guidera à travers la configuration de toutes les options nécessaires et plus encore :

  • Les principales méthodes 2FA parmi lesquelles vous permettrez aux utilisateurs de choisir.
  • Les options indiquant si vous souhaitez forcer 2FA sur tous ou certains utilisateurs ou rôles.
  • La période de grâce pendant laquelle les utilisateurs devront configurer 2FA.
  • La configuration de l'authentification 2FA.

Ignorez l'assistant et vous pouvez trouver tous ces paramètres dans le menu du plugin et la section supplémentaire qui est ajoutée au bas de l'écran d'administration de votre profil (sous Utilisateurs> Profil).

Authentification à deux facteurs, plugin WordPress : les paramètres d'administration du plugin WP 2FA

Le plugin vous permet également de choisir si vous souhaitez que toutes les données liées à 2FA soient supprimées de la base de données lors de la désinstallation du plugin.

Le plugin à deux facteurs

Le plugin Two-Factor développé par Plugin Contributors est un plugin convivial et rapide à configurer.

Il ajoute une section sous Utilisateurs > Votre profil, où vous pouvez activer les méthodes d'authentification et sélectionner celle qui sera principale. Il existe des configurations disponibles pour les codes d'authentification par e-mail, le mot de passe à usage unique basé sur le temps (TOTP), les clés de sécurité FIDO U2F et les codes de vérification de sauvegarde.

Les options du plugin à deux facteurs

Le plugin propose également une liste de crochets d'action et de filtre qui peuvent être utiles pour les développeurs.

Le plug-in Google Authenticator

Le plugin Google Authenticator est un autre plugin 2FA populaire qui peut être utilisé pour améliorer la sécurité de votre site WordPress. Ce plugin entièrement gratuit offre une grande variété d'options d'authentification à deux facteurs, y compris les SMS et, bien sûr, l'utilisation de l'application Google Authenticator. Très peu de temps ou d'efforts sont nécessaires pour obtenir cette configuration. Lorsque vous activez le plugin, vous verrez des options à l'écran que vous pouvez configurer sous Paramètres > Google Authenticator.

Les paramètres de Google Authenticator

Choisissez simplement les rôles auxquels le 2FA sera appliqué et enregistrez les paramètres. Plutôt facile.

2FA – Le tableau de bord Pressidium

Pour mieux protéger vos sites Web WordPress, vous pouvez choisir d'activer 2FA pour votre connexion au tableau de bord. Consultez notre article de la base de connaissances sur cette fonctionnalité.

Authentification à deux facteurs Pressidium

Conclusion

Pour les sites Web importants, 2FA devrait maintenant être considéré comme obligatoire. Si vous avez eu la possibilité d'ajouter 2FA à l'un de vos comptes mais que vous avez choisi de ne pas le faire, cela vaut peut-être la peine de réfléchir à nouveau ! Pour les sites Web WordPress, l'activation de la connexion 2FA est assez simple. Avec peu à perdre, pourquoi ne pas faire en sorte qu'il soit encore plus difficile pour un pirate informatique de gâcher votre journée (enfin, votre site Web au moins !).