Nous prenons la sécurité très au sérieux chez Kinsta, c’est pourquoi nous offrons l’authentification à deux facteurs pour tous nos clients d’hébergement WordPress. Rien ne pourrait être pire que quelqu’un qui pirate l’accès de tous vos sites ! Cette fonctionnalité est disponible dans notre tableau de bord MyKinsta et nous vous recommandons fortement d’en profiter. Aujourd’hui, nous allons nous pencher sur l’importance de l’authentification à deux facteurs sur WordPress, sur le fonctionnement de notre fonction 2FA et sur une excellente façon gratuite de configurer l’authentification à deux facteurs pour votre site WordPress lui-même.

Pourquoi l’authentification à deux facteurs est importante

Si vous jetez un coup d’oeil aux principales plateformes CMS telles que Joomla !, Drupal, et Magento, WordPress est en tête avec plus de 62.7% de part de marché. En raison de sa popularité, cela signifie aussi qu’il est attaqué plus que les autres. On ne peut pas vraiment dire qu’une plateforme est plus sûre que l’autre. Principalement plus d’attaques se produisent en raison du simple volume de sites dessus.

Une autre raison est due aux propriétaires de sites Web non qualifiés. WordPress a toujours été génial parce que presque tout le monde peut le prendre et commencer à l’utiliser, mais cela signifie aussi qu’il y a beaucoup de débutants qui laissent les portes de derrière grandes ouvertes en ne le patchant pas, en ne verrouillant pas tout avec les bonnes permissions, etc.

WordFence a interrogé un grand nombre de propriétaires de sites WordPress en 2016 et leur a demandé de répondre à la question suivante : « Si vous savez comment votre site a été compromis, veuillez décrire comment les attaquants y ont eu accès. » 61,5% ont répondu qu’ils ne savaient pas comment l’attaquant avait piraté leur site Web.

Ils ont également mené une autre enquête pour voir ce que les attaquants font avec les sites WordPress compromis. Comme vous pouvez le constater, 25 % sont généralement mis hors ligne ou modifiés. C’est probablement l’une des pires choses qui pourrait arriver si vous dirigez une entreprise WordPress. C’est pourquoi vous devez commencer par mettre en place des mesures de sécurité, pas après.

Ce que font les attaquants de WordPress
Ce que font les attaquants de WordPress

Il y a plusieurs façons de verrouiller un site WordPress, une simple modification consiste à changer votre URL de connexion WordPress. Cela réduira instantanément le nombre de tentatives de connexion échouées que vous avez sur votre site WordPress à partir de robots et de scripts scrutant constamment le Web à la recherche d’un moyen d’entrer. Mais l’une des choses les plus importantes est de simplement choisir un mot de passe complexe.

Ça a l’air plutôt facile, non ? Eh bien, consultez la liste annuelle 2018 de SplashData des mots de passe les plus populaires volés tout au long de l’année (classés par ordre de popularité).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

C’est exact ! Le mot de passe le plus populaire est « 123456 », suivi d’un étonnant « password ». C’est une des raisons pour lesquelles chez Kinsta, nous forçons l’utilisation d’un mot de passe complexe pour la connexion à votre wp-admin (comme vous pouvez le voir ci-dessous sur notre processus d’installation en un clic).

Forcer la génération de mots de passe sécurisés
Forcer la génération de mots de passe sécurisés

La sécurité commence par l’essentiel. Google a quelques bonnes recommandations sur la façon de choisir un mot de passe fort. Et l’une de leurs recommandations est de permettre l’authentification à deux facteurs.

L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais d’une deuxième méthode. Il s’agit généralement d’un texte (SMS), d’un appel téléphonique ou d’un mot de passe unique basé sur le temps (TOTP). Dans la plupart des cas, ceci est 100% efficace pour prévenir les attaques par force brute sur votre site WordPress. Pourquoi ? Parce qu’il est presque impossible que l’attaquant ait à la fois votre mot de passe et votre téléphone portable.

Pour en savoir plus sur la façon d’activer l’authentification à deux facteurs de WordPress, lisez ce qui suit.

Authentification à deux facteurs chez Kinsta

Ici, chez Kinsta, nous prenons la sécurité des utilisateurs très au sérieux. Pour aider nos clients à protéger leurs comptes MyKinsta et leurs sites WordPress, nous offrons un support 2FA basé sur l’Authenticateur.

Par rapport à la méthode 2FA traditionnelle basée sur les SMS qui envoie des codes de connexion par SMS, notre méthode basée sur l’Authenticator utilise des codes générés dynamiquement dans Google Authenticateur, 1Password et d’autres applications 2FA. Cela signifie que votre configuration 2FA est protégée contre les attaques de sécurité de base comme l’échange de cartes SIM.

Nous vous recommandons d’activer la méthode 2FA pour tous vos services Internet qui la prennent en charge. Pour activer l’authentification à deux facteurs dans MyKinsta, consultez notre article sur la base de connaissances.

Activer l’authentification à deux facteurs sur WordPress

Maintenant que vous avez sécurisé votre tableau de bord Kinsta, vous pouvez également activer l’authentification à deux facteurs sur votre site WordPress. Nous recommandons l’un des deux plugins suivants.

Authentification à deux facteurs

Le plugin WordPress d’Two Factor Authentication est développé par les mêmes auteurs de UpdraftPlus, le plugin de sauvegarde populaire. Il supporte les protocoles standard TOTP + HOTP (Google Authenticator, Authy, et bien d’autres). Il existe une version gratuite et une version premium.

Plugin WordPress d'authentification à deux facteurs
Plugin WordPress d’authentification à deux facteurs

Il compte actuellement plus de 10 000 installations actives avec une note de 4,5 étoiles sur 5 et comprend les caractéristiques suivantes :

  • QR Codes graphiques pour faciliter la numérisation mobile
  • Prise en charge des formulaires de connexion WooCommerce et Affiliates-WP
  • Compatible avec le Multisite WordPress (le plugin doit être activé au niveau du réseau)
  • Codes d’urgence et agencements de designs premium (version premium)

Google Authenticator

Si vous recherchez une solution totalement gratuite, le plugin WordPress Google Authenticator fonctionne parfaitement. Note : Cela signifie cependant que vous serez en train d’utiliser deux applications différentes. Vous pouvez déterminer laquelle est la plus efficace pour votre environnement. Si vous voulez rester avec une seule application, la mise à niveau vers leur premier plan pourrait être la voie à suivre. Nous utiliserons Google Authenticator gratuit dans cet exemple.

Le plugin Google Authenticator a plus de 30 000 installations actives avec une note de 4,5 étoiles sur 5. C’est complètement gratuit et vous pouvez le configurer pour un nombre illimité d’utilisateurs. La plupart des autres plugins d’authentification, vous remarquerez qu’ils ont des limitations en place à moins que vous ne mettiez à niveau vers un plan payant. Vous pouvez télécharger le plugin Google Authenticator à partir du référentiel WordPress ou en le recherchant dans votre tableau de bord WordPress sous « Ajouter » extensions.

Une fois installé, vous pouvez cliquer sur votre profil utilisateur, le marquer comme actif et créer une nouvelle clé secrète ou scanner le QR Code.

Paramètres de Google Authenticator
Paramètres de Google Authenticator

Vous pouvez ensuite utiliser l’une des applications Authenticator gratuites de votre téléphone :

Après avoir activé cette option, il vous faudra votre mot de passe normal pour vous connecter, ainsi que le code de l’application Google Authenticator sur votre téléphone. Vous remarquerez un champ supplémentaire qui apparaît maintenant sur votre page de connexion WordPress. De plus, ce plugin est entièrement compatible avec le plugin que nous vous avions recommandé pour changer votre URL de connexion WordPress.

Connexion Google Authenticator WordPress
Connexion Google Authenticator WordPress

Et c’est tout ! Vous avez maintenant une authentification à deux facteurs sur votre compte Kinsta et sur votre site WordPress.

Résumé

Nous sommes ravis d’offrir l’authentification à deux facteurs aux clients de Kinsta, car c’est l’une de nos fonctionnalités les plus demandées. Sécuriser vos sites Web WordPress devient un peu plus facile ! N’oubliez pas de consulter notre guide plus avancé sur la sécurité de WordPress pour voir comment vraiment verrouiller votre site.

Vous avez des questions sur le fonctionnement de l’authentification à deux facteurs pour WordPress ? N’hésitez pas à nous laisser un commentaire ci-dessous ou à ouvrir un ticket de support depuis votre tableau de bord MyKinsta.

QR Code est une marque déposée de DENSO WAVE INCORPORATED aux États-Unis et dans d’autres pays.

Brian Jackson

Brian a une grande passion pour WordPress, l'utilise depuis plus de dix ans et développe même quelques plugins de qualité. Brian aime les blogs, les films et les randonnées. Connectez avec Brian sur Twitter.