Comment sécuriser votre mot de passe WordPress? Ou mieux … comment sécuriser les mots de passe de chaque personne qui a accès votre site WordPress ? Voilà une question effrayante, n’est-ce pas? Alors que nous espérons que vous suivez toutes les meilleures pratiques de mot de passe, cela ne change pas le fait que les mots de passe les plus courants dans le monde sont encore « 123456 » et « password« .
Pour lutter contre la propension des mots de passe faibles, vous pouvez utiliser quelque chose que l’on appele : authentification à deux facteurs. C’est une méthode commune pour ceux qui se soucient de la sécurité de connexion. Parmi ceux qui l’utilisent on peut compter Google, les banques, les universités, et … les propriétaires de sites WordPress!
Dans ce tutoriel, je vais examiner brièvement l’authentification à deux facteurs et vous dire pourquoi c’est important. Ensuite, je vais vous montrer étape par étape comment ajouter l’authentification à deux facteurs sur WordPress afin que vous puissiez protéger votre blog et protéger les comptes de vos utilisateurs.
Qu’est-ce que l’authentification à deux facteurs ?
L’authentification à deux facteurs, aussi connu comme l’authentification en deux étapes, est une stratégie pour améliorer la sécurité des connexions en obligeant les utilisateurs à entrer à la fois un mot de passe et un code, généralement envoyé par SMS.
Essentiellement, l’accès à votre compte nécessite une combinaison de quelque chose que vous « connaissez » (votre mot de passe) et quelque chose que vous « avez » (votre téléphone). Alors que les pirates pourraient être en mesure d’obtenir votre mot de passe, il est peu probable qu’ils soient en mesure de voler votre téléphone cependant.
Pourquoi avez-vous besoin d’authentification à deux facteurs pour WordPress?
Selon un sondage auprès des propriétaires de sites piratés WordPress de WordFence, les attaques par force brute ont été la deuxième comme la méthode la plus populaire de piratage, de vol de mot de passe. Ces attaques devraient être une préoccupation très réelle pour les utilisateurs de WordPress.
Par exemple, en Avril 2013 seul, 90.000 sites WordPress ont été les victimes d’une attaque par force brute avec les noms d’utilisateurs et mots de passe communs.
Bien qu’il existe un certain nombre de méthodes pour vous protéger contre les attaques par force brute et le vol de mot de passe (sécurisation wp-login.php , en ajoutant des limites de tentative de connexion, en utilisant des mots de passe uniques, etc.), l’authentification à deux facteurs est une autre excellente solution pour vous protéger.
Comment configurer l’authentification à deux facteurs sur WordPress
Pour configurer l’authentification à deux facteurs sur WordPress, vous pouvez utiliser un plugin freemium appelé « Google Authenticator ». Je sais qu’il y a un certain nombre d’autres plugins d’authentification à deux facteurs disponibles ( d’ailleurs c’est pas la première fois qu’on fait un tutoriel sur l’authentification à deux facteurs) :
Etape 1: Installez le plugin Google Authenticator
Pour commencer, vous devez installer et activer le plugin. Il est répertorié dans le répertoire de plugins wordpress.org, de sorte que vous pouvez l’installer directement à partir de votre tableau de bord en allant vers « plugins > Ajouter Nouveau » :
Vous remarquerez qu’il y a deux plugins qui porte le même nom. Nous avons déjà fait un tutoriel pour le plugin « Google Authenticator ». Assurez-vous donc d’installer le bon plugin. En outre, vous pouvez toujours vous référer au tutoriel de l’autre plugin si vous optez pour celui-là.
Étape 2: Activer le plugin et créer un compte miniOrange
Une fois que vous activez le plugin, vous devez créer un compte miniOrange afin de continuer:
Une fois que vous soumettez les informations de compte, miniOrange enverra un OTP (mot de passe unique) à l’adresse email que vous avez utilisé. Cet OTP vérifie votre adresse email. Entrez simplement l’OTP et cliquez sur « Validate OTP »:
Si vous éprouvez des difficultés à trouver l'email, voici ce à quoi il devrait ressembler :
Une fois que vous entrez dans le bureau, le plugin vous amène vers une page qui ressemble un tableau avec une grille de prix. Ne vous inquiétez pas! Comme je l’ai dit, Google Authenticator est 100% gratuit pour un utilisateur. Sauf si vous souhaitez une version premium, ce qui suppose bien évidemment plus d’option. Mais pour ce tutoriel, nous allons ignorer cela en cliquant simplement sur « Ok got it ».
Étape 3: Configurer les questions de sécurité pour une connexion alternative
Avant de parler des autres méthodes d’authentification à deux facteurs, c’est une bonne idée de suivre l’invite du plugin qui vous demande de mettre en place des questions de sécurité. Ces questions veillent à ce que si vous perdez votre téléphone, vous serez toujours en mesure d’accéder à WordPress avec ces questions.
Vous n’êtes pas tenu de compléter cette étape – c’est une option qui pourra vous sauver la vie plus tard.
Vous pouvez accéder aux questions de sécurité soit en cliquant sur l’invite « Click here to configurer your security questions » :
Choisissez deux questions, créez une question personnalisée, et entrez les réponses respectives de ces trois questions. Ensuite, cliquez sur Enregistrer.
Étape 4: Configuration de l’authentification à double facteurs
Vous êtes maintenant prêt à mettre en place vos méthodes d’authentification à deux facteurs ! Au final, Google Authenticator offre ces méthodes:
- Smartphone OTP App – choisir des applications Google, miniOrange ou Authy. Vous avez des méthodes au choix.
- SMS – obtenir un OTP par SMS. Vous aurez 10 SMS gratuits, après vous devrez prendre un abonnement premium.
- Anotification Push – Vous pouvez obtenir une notification push sur votre téléphone.
- QR code – scanner un code QR avec l’application miniOrange. C’est semblable à une clef.
- Appel téléphonique – recevoir un appel téléphonique avec un OTP (premium uniquement).
- Email – activé automatiquement lorsque vous avez vérifié l'email de votre compte sur l’étape précédente.
Je vais vous montrer comment mettre en place deux des méthodes les plus populaires – message texte et téléphone intelligent pour recevoir l’OTP en utilisant l’application Google Authenticator.
Comment faire pour configurer l’authentification du message texte:
Tout d’ abord, aller à l’onglet « Two-Factor Setup ». Ensuite, cliquez sur OTP par SMS:
Entrez votre numéro de téléphone, y compris le code du pays approprié. Ensuite, cliquez sur Vérifier:
Après avoir cliqué sur vérifier, vous devriez obtenir un SMS OTP avec 6 chiffres. Entrez simplement l’OTP dans le champ et cliquez sur « Validate OTP ». C’est tout!
Comment configurer l’authentification sur l’application du SmartPhone :
Pour l’authentification de l’application, vous pouvez choisir parmi l’une des trois applications énumérées ci-dessus. Parce que Google est le plus populaire, je vais vous montrer comment le configurer en utilisant l’application « Google Authenticator ».
Commencez en cliquant sur l’option « Google Authenticator » dans le l’onglet « Two-Factor Setup »:
Ensuite, sélectionnez la marque de vore smartphone. Une fois que vous sélectionnez un type de smartphone, le plugin vous donnera un code QR à scanner :
Pour analyser le code, vous devez télécharger et installer le logiciel « Google Authentifiction ». Dans l’application, cliquez sur « Commencer la configuration ». Ensuite, cliquez sur « Numériser un code barre »:
Une fois que vous avez scanné le code barre sur votre écran, vous verrez 6 chiffres. Il suffit d’entrer ce code pour authentifier votre compte. Notez cependant que les 6 chiffres OTP vont constamment changer. Vous devez toujours entrer le code le plus récent.
Une fois que vous ajoutez le code « OTP » et cliquez sur « Vérifier et Enregistrer », vous aurez terminé!
Étape 5: Test de votre authentification à deux facteurs
Chaque fois que vous faites un changement, c’est toujours une bonne idée de vérifier que tout fonctionne normalement
Pour ce faire, ouvrez une nouvelle fenêtre Incognito et essayez de vous connecter à votre compte WordPress. Dans un premier temps, vous devez simplement voir votre écran normal de connexion sur WordPress. Mais après avoir entré votre nom d’utilisateur et votre mot de passe, vous devriez avoir à compléter une étape de plus pour vous connecter :
Si vous entrez le bon code « OTP », vous serez redirigé vers votre tableau de bord.
Juste pour le plaisir, vous pouvez délibérément entrer un OTP invalide pour vérifier que le plugin fonctionne. En cas d’échec, vous devrez voir une page similaire à ce qui suit :
C’est tout pour ce tutoriel, j’espère qu’il vous permettra d’ajouter la connexion à double facteur sur votre blog WordPress.
Une vrai merde de Google !
Tuu crée ton compte, tu rentre ton login, mdp aprés l’inscription, ca te dit en anglais que ton email ou ton mot de passe n’est pas valable, ca te renvois vers leur site pour demander le mot de passe, ensuite ca te dit que tu n’est pas inscrit !
POar compte tu t’inscris sur leur site, tu recois un mail avec un identifiant, et via leur site ca fonctionne, mais quand tu rentre les mémes identifiant sur le plugin, ca te dit « mot de passe ou email incorrect »
Grrrrrrrrrrrrrrr que ca me pompe le systeme !
En plus, rien n’est en francais
Bonjour et merci pour ce tuto très bien détaillé et qui est d’actualité quand à la protection des sites et de leurs utilisateurs.
J’ai tellement rencontré de problèmes d’intrusions malveillantes sur mon site que je suis près à essayer ce système qui me semble convenir parfaitement.
Toutefois, serait il possible de me dire si cette authentification à deux facteurs fonctionne uniquement pour les administrateurs ou si il est possible de l’intégrer à l’ensemble des membres et utilisateurs du site ?
Dans l’affirmative, pouvez-vous m’expliquer comment cela fonctionne pour les membres ?
Comment peuvent ils mettre en place ce dispositif sur leurs comptes depuis le site ?
Il serait peut être judicieux d’aborder ce sujet dans un autre tuto ou à la suite de celui-ci.
Je vous remercie à l’avance pour vos réponses et dans l’attente, mes bien cordiales salutations.
Alain
Vous pouvez lire ce tutoriel https://blogpascher.com/tutoriel-wordpress/comment-ajouter-une-authentification-a-double-facteur-sur-wordpress.
Il s’applique à l’ensemble des membres d’un site.
Merci.