Comment ajouter une authentification à deux facteurs à WordPress
Publié: 2021-02-09Les sites Web exécutant WordPress sont souvent attaqués. Pourquoi, juste le nombre de tentatives de connexion par force brute peut être énorme. Si vous voulez voir à quel point, installez un plugin de sécurité qui bloque ces tentatives de connexion. Vous pourriez être choqué par le grand nombre de bots essayant de s'introduire sur votre site.
Ce qui est vraiment surprenant, c'est que même les sites avec un trafic relativement faible ne sont pas à l'abri de ce phénomène. Les robots ne se soucient pas de la taille de votre site Web, mais plutôt du logiciel qu'il exécute.
Ce n'est pas la faute de WordPress, en soi. Sa popularité en fait la plus grande cible pour les acteurs néfastes. De la même manière que Windows porte la cible pour les virus et les logiciels malveillants lorsqu'il s'agit d'ordinateurs personnels. Lorsque vous êtes l'option la plus populaire, vous êtes susceptible de faire face à la plupart des agressions.
Pour les responsables de la maintenance de ces sites Web, il est obligatoire d'être proactif en matière de sécurité. Et l'une des étapes les plus simples que nous puissions prendre consiste à ajouter une authentification à deux facteurs.
Explorons ce qu'est l'authentification à deux facteurs et examinons quelques plugins qui vous aideront à ajouter cette fonctionnalité avec un minimum d'effort.
Deux couches valent mieux qu'une
L'authentification à deux facteurs (2FA) devient une norme dans un certain nombre d'industries. Tout, des services bancaires en ligne aux sociétés de médias sociaux, le recommande pour une sécurité accrue.
En un mot, il s'agit d'une mesure qui va au-delà d'un nom d'utilisateur et d'un mot de passe standard - d'où le nom "deux facteurs". Cela oblige les utilisateurs à prendre des mesures supplémentaires pour vérifier leur identité.
L'action supplémentaire peut varier selon le système. Il peut s'agir de saisir un code de sécurité alphanumérique généré de manière aléatoire, de résoudre une simple équation mathématique, d'obliger un utilisateur à scanner un code QR avec son appareil mobile ou de vérifier une image précédemment choisie. La biométrie, comme les empreintes digitales ou la rétine, est également une possibilité, bien qu'elle ne soit pas encore largement utilisée sur le Web.
Bien que cela rende le processus de connexion de l'utilisateur plus laborieux, cela ajoute également une couche de sécurité cruciale. C'est un compromis qui vaut la peine d'être fait. Et la technologie s'améliore. Certains systèmes se souviendront de votre appareil afin que deux facteurs ne soient requis que lorsqu'une tentative de connexion provient d'un gadget non reconnu.
L'essentiel est que deux facteurs rendent plus difficile pour un bot ou un autre utilisateur non autorisé de pénétrer de force dans votre site Web et de causer des dommages.
Plugins d'authentification à deux facteurs pour WordPress
Maintenant que nous en savons un peu plus sur ce qu'est l'authentification à deux facteurs et pourquoi nous voudrions l'utiliser, il est temps de l'intégrer à notre site Web WordPress. Heureusement, le processus est simple, grâce à plusieurs plugins disponibles.
Voici quelques-unes des meilleures options disponibles :
Deux facteurs
Bien qu'officiellement toujours un plugin bêta, Two-Factor fait une chose et le fait plutôt bien. Il vous permet de choisir parmi une variété de méthodes d'authentification directement depuis votre profil d'utilisateur WordPress. Le plugin vous enverra un code de sécurité par e-mail, utilisera des mots de passe temporels, FIDO Universal 2nd Factor, etc. Il est encore en développement, alors recherchez des fonctionnalités plus pratiques à venir.
Authentification à deux facteurs
L'authentification à deux facteurs est une option plus raffinée et flexible. Il inclut la prise en charge de l'application populaire Google Authenticator, la numérisation de code QR et la possibilité d'exiger des rôles spécifiques pour utiliser la procédure de vérification supplémentaire. La version premium offre même une intégration pour les connexions frontales, ce qui est utile si vous gérez un site d'adhésion.
Jet pack
Oui, Jetpack est la suite de plugins qui essaie de faire un peu de tout. Donc, si vous recherchez uniquement une fonctionnalité à deux facteurs, cela ne vaut probablement pas la peine de l'installer uniquement pour cela. Mais si vous faites partie des millions qui l'ont déjà installé, leur fonction Protect est activée par défaut. Il aide à bloquer les tentatives de force brute, mais inclut également un CAPTCHA basé sur les mathématiques qui est inclus dans le formulaire de connexion de votre site. C'est l'une des méthodes les plus conviviales, à condition de connaître un peu les mathématiques !
Google Authenticator - Authentification à deux facteurs WordPress (2FA)
Ce plugin ajoute 2FA à n'importe quel champ de connexion, y compris le front-end. Mais ne vous laissez pas tromper par son nom, il fonctionne avec bien plus que Google Authenticator. Vous pouvez également utiliser LastPass Authenticator, les notifications push et les questions de sécurité, entre autres. En plus de la version gratuite, il existe des versions premium et des add-ons qui offrent plus de fonctionnalités. Il s'intègre également à de nombreux plugins populaires.
Authentification à deux facteurs Keyy
Keyy cherche à reprendre là où le service innovant Clef s'est arrêté. Clef (qui n'est plus avec nous) permettait aux utilisateurs de se connecter en scannant un motif sur leur écran avec leur appareil mobile. Keyy fait à peu près la même chose et vous oblige à télécharger une application pour utiliser le service. Cela élimine le besoin pour les utilisateurs d'entrer complètement leurs mots de passe, ce qui pourrait être une bonne chose. Notez simplement que ce plugin en est à ses débuts, il peut donc y avoir quelques « aspérités ».
Wordfence Security - Pare-feu et analyse des logiciels malveillants
Wordfence est l'un des plugins de sécurité les plus utilisés et offre une suite complète de différentes protections. Mais pour nos besoins, parlons de sa fonctionnalité à deux facteurs. Il est maintenant disponible dans la version gratuite du plugin et a été complètement remanié. Comme d'autres sur cette liste, il prend en charge les applications d'authentification basées sur TOPT, comme Google Authenticator. Il existe également une option pour ajouter RECAPTCHA à votre formulaire de connexion. Il convient également de noter la possibilité d'exiger 2FA pour des rôles d'utilisateur spécifiques et de permettre au système de se souvenir des appareils jusqu'à 30 jours.
Un moyen simple de renforcer la sécurité
Lorsqu'il s'agit de sécuriser votre site Web WordPress, chaque petite amélioration peut faire une différence positive. La mise en œuvre de l'authentification à deux facteurs rendra d'autant plus difficile pour un attaquant l'accès au back-end de votre site.
Encore mieux est la facilité avec laquelle cette fonctionnalité peut être ajoutée. N'importe lequel des plugins ci-dessus peut augmenter votre protection gratuitement et avec un minimum d'effort de votre part. Choisissez votre favori et éloignez les mauvais acteurs.