Devenez votre propre Webmaster

Activer l'authentification à deux facteurs sur WordPress

Je vous propose une suite d'articles qui va vous permettre de protéger votre site WordPress, bien au delà de ce que fontla plupart des administrateurs de sites Internet.

Plus d'1/3 des sites sur Internet utilisent WordPress. Mais savez vous que chaque jour, 60.000 sites wordpress sont piratés.

Je vous propose de voir comment protéger votre site WordPress afin de ne pas faire parti des 22 millions de sites piratés chaque année.

Dans mon ancienne vie, j'ai été cryptographe pour les systèmes de sécurités des opérateurs téléphoniques et les banques. En gros, j'étais un pirate employé par les entreprises pour tester leurs sécurités. Croyez-moi quand je vous dit, que lorsque vous croyez votre site protégé, il ne l'ai pas.

Dans ce premier tutoriel, nous allons commencer par protéger l'accès de l'administration de votre site par une connexion à deux facteurs (2FA).

Qu'est ce que le 2FA et pourquoi l'utiliser

De nos jours, nous utilisons de plus en plus Internet pour réaliser toutes nos opérations bancaires, nos impots, nos factures, nos opérations boursières, ... La plupart des sites sensibles proposent maintenant une double authentifications, voir une triple authentifications. Vous devez vous identifier avec un couple utilisateur/mot de passe, suivit d'un code envoyé par SMS, ou d'un code Google, ...

WordPress n'est pas réellement sécurisé. Par défaut, vous accédez via le répertoire wp-admin, à une fenêtre de connexion où on vous demande un nom d'utilisateur et un mot de passe. Il faut espérer au moins que vous n'ayez pas créer l'utilisateur "Admin" ou un nom d'utilisateur ressemblant à votre nom ou prénom ou encore votre nom de domaine comme nom de super user.

Nous verrons dans un autre article, comment éviter que les personnes sachent où ce trouvent votre page de connexion. En attendant commençons par activer la double authentifications (2FA).

La double authentifications va vous permettre non seulement de devoir saisir un mot de passe et un nom d'utilisateur pour vous connecter, mais en plus de devoir saisir un code qui vous sera, soit envoyé par mail ou sms, soit généré par une application de façon dynamique.

Il faut savoir que 16,1% de sites piratés le sont par des attaques par force brute (1 attaque sur 6). L'attaques par force brute est simple, c'est une méthode utilisée en cryptanalyse pour trouver un mot de passe. Il s'agit de tester, une à une, toutes les combinaisons possibles. Elle est extrêmement facile à mettre en place automatiquement par des robots qui pilonneront votre site pour ce connecter en testant des millions de noms d'utilisateurs avec des millions de mots de passe.

Avec un code supplémentaire qui est modifié à chaque connexion et pour un temps restreint, ce genre d'attaque devient quasi impossible.

L'avantage est que même si le couple utilisateur/mot de passe, est stocké dans votre base de données et donc a risque élevé, le second code est généré par une application tiers qui ne se trouve pas au même endroit, par exemple sur votre portable. Du coup il faudrait au pirate de posséder aussi votre portable pour ce connecter à votre compte.

Les plugins 2FA pour WordPress

Il existe plusieurs plugins, je vous en propose ici le nom de 4 surent, mis à jour récemment et reconnus fiables :

Dans ce tutoriel, je vais vous montrer comment utiliser "Google Authentificator". C'est une application qui a fait ces preuves et qui est créé par un grand groupe Google, dont la sécurité est une priorité. Avec ce plugin et l'application Google authenticator qui sera installé sur votre téléphone, vous aurez une seconde sécurité avec un code générer chaque minute.

Etape 1 — installer Google Authentificator - wordpress twoFactor Authentication (2FA)

  • Commencez par vous connecter à WordPress avec l'utilisateur administrateur (selon le nom que vous avez choisi lors de l'installation de votre site).
  • Rendez-vous dans le menu "Extensions / Ajouter".
  • Dans le champs de recherche en haut à droite saisissez "Google Authentificator - wordpress twoFactor Authentication (2FA)" (regardez bien le logo à droite pour être certain de bien choisir la bonne application).
  • Cliquez sur le bouton "Installer", puis "Activer"
  • Prenez votre téléphone portable et/ou votre tablette Android ou Mac et installez l'application "Google Authenticator".

Etape 2 — Paramétrer le plugin

1 - Pour paramétrer le plugin rendez-vous sur dans menu "miniOrange 2 factor" qui à apparu dans le menu de droite de votre administration après l'activation du plugin.

Vous pouvez suivre le tour d'explication que propose le plugin (en anglais) ou cliquez simplement sur le bouton "End Tour".

2 - cliquez sur la division "Google Authentiticator"

3 - Sélectionnez "Google Authenticator" dans la partie en haut à gauche de la fenêtre du plugin qui vient de s'ouvrir.

4 - Lancez l'application "google Authenticator" sur votre portable ou votre tablette

5 - Cliquez sur le bouton rouge avec le symbole "+" de l'application sur votre portable qui va vous demander si vous souhaitez "Scanner un code barre" ou "Saisir une clé fournie".

6 - Si vous choisissez de saisir une "clé fournie", modifiez le texte du champ "Choose the account name to be configured in the apps" [en rouge sous le schéma dessous] et sauvegardez le nom (choisissez un code d'au moins 6 caractères). Puis saisissez le code que vous venez de sauvegarder dans l'application sur votre portable

Si vous choisissez "Scanner un code barre" votre portable va allumer sa caméra. Placez là devant de QCode de la page du plugin [Partie en bleue sur le schéma juste dessus].

Puis le plugin va vous demander de faire un test. Saisissez le code à 6 chiffres que vous propose l'application sur votre portable pour vérifier si tout est bien paramétré :

Vous pouvez tester de nouveau le résultat en cliquant sur le bouton bleu en haut de la page du plugin "Test Authentication Method". Une fenêtre s'ouvre et vous demande de saisir le code à 6 chiffre que l'application sur votre portable modifie chaque minute. Si le test est concluant, activez le prompt 2FA pour WP en cliquant la case "Enable 2FA prompt on the WP Login Page"

7 - Déconnectez-vous de WordPress et reconnectez vous en saisissant votre utilisateur, votre mot de passe et le code à 6 chiffres que vous propose l'application "google authenticator" sur votre portable.

Et voilà vous venez d'augmenter un petit peu la sécurité de votre site.

Etape 4 — Si vous perdez votre portable, comment désactiver la double identifications

Il peut arriver que vous perdiez votre portable ou que vous ayez un problème quelconque, dans ce cas vous n'aurez plus accès à votre code d'authentification. Vous avez deux possibilités :

  • Soit vous avez sauvegardé le QCode et/ou la clé fournie par l'application, dans ce cas vous pourrez réinstaller l'application "Google Authenticator" sur un autre support Android ou Mac et suivre de nouveau les points 5 & 6.
  • Soit vous pouvez désactiver le plugin grâce à une application SFTP comme "filezilla". Connectez vous via sftp au serveur de votre site (utilisateur et mot de passe fourni normalement par votre hébergeur). Rendez-vous dans le répertoire "wp-content/plugins" et renommez le répertoire du plugin "miniorange-2-factor-authentication" avec le nom que vous souhaitez. WordPress désactivera automatiquement le plugin, ce qui vous permettra de vous reconnecter de nouveau avec uniquement le couple "utilisateur/mot de passe". Pour réactiver le plugin il suffira de renommer de nouveau le répertoire du plugin en "miniorange-2-factor-authentication".

Conclusion

Si vous passez à la version standard ou prenium du plugin, vous pourrez activer cette authentification pour plusieurs des utilisateurs. Il existe d'autres plugins permettant d'utiliser la double connexion. Personnellement j'ai développé mon propre plugin, mais tout le monde n'a pas la capacité de le faire.

Dans le prochains articles, nous verrons comment continuer à protéger votre site WordPress.

Posts Similaires
Améliorer votre référencement SEO avec vos flux RSS

Utilisez efficacement les flux RSS pour améliorer le référencement du site de votre entreprise. Les syndications bien gérés peuvent vous aider à améliorer votre place sur Google.

Ajouter des shortcodes à votre site WordPress

Créez vos propre shortcodes si vous souhaitez pouvoir ajouter des éléments graphiques comme des div ou des boutons ou encore des formulaires de saisie dans vos pages Wordpress.

Les plugins indispensables pour optimiser un site WordPress

Cet article vous présente les plugins Wordpress indispensables pour optimiser les données SEO et les performances de votre site Wordpress. Même sans connaissance particulière ces plugins vous simplifieront la vie.

A propos de

Consultant en informatique et concepteur de sites Internet.

Il a travaillé pendant plus de quinze ans pour une multinationale dans le secteur de l'ingénierie Informatique.

Durant ces années, il a participé à des projets sur les systêmes de facturation et la conception des sites Internet de différentes Banques et opérateurs téléphonique à travers le monde

Senior Analyst Programmer/Team Leader, il a participé et dirigé des projets sur les plus gros clusters d'Europe.

Il habite à Paris, en ile de France .

Le Blog :

2 commentaires pour "Activer l'authentification à deux facteurs sur WordPress"
  • C' ça le Net
    Commentaire 17600

    Merci pour l'astuce, je ne connaissais pas du tout. C'est impeccable !

    • C' ça le Net
      Commentaire 17880

      Personnellement, en ayant les compétences et n'ayant que peu de confiance dans le fait d'installer un plugin pour amplifier ma sécurité, (mon côté cryptographe qui revient toujours), j'ai développé moi-même mon plugin :)