Nous prenons la sécurité très au sérieux chez Kinsta, c’est pourquoi nous offrons l’authentification à deux facteurs pour tous nos clients d’hébergement WordPress. Rien ne pourrait être pire que quelqu’un qui pirate l’accès de tous vos sites ! Cette fonctionnalité est disponible dans notre tableau de bord MyKinsta et nous vous recommandons fortement d’en profiter. Aujourd’hui, nous allons nous pencher sur l’importance de l’authentification à deux facteurs sur WordPress, sur le fonctionnement de notre fonction 2FA et sur une excellente façon gratuite de configurer l’authentification à deux facteurs pour votre site WordPress lui-même.

Pourquoi l’authentification à deux facteurs est importante

Si vous jetez un coup d’oeil aux principales plateformes CMS telles que Joomla !, Drupal, et Magento, WordPress est en tête avec plus de 60% de part de marché. En raison de sa popularité, cela signifie aussi qu’il est attaqué plus que les autres. On ne peut pas vraiment dire qu’une plateforme est plus sûre que l’autre. Principalement plus d’attaques se produisent en raison du simple volume de sites dessus.

Une autre raison est due aux propriétaires de sites Web non qualifiés. WordPress a toujours été génial parce que presque tout le monde peut le prendre et commencer à l’utiliser, mais cela signifie aussi qu’il y a beaucoup de débutants qui laissent les portes de derrière grandes ouvertes en ne le patchant pas, en ne verrouillant pas tout avec les bonnes permissions, etc.

WordFence a interrogé un grand nombre de propriétaires de sites WordPress en 2016 et leur a demandé de répondre à la question suivante : « Si vous savez comment votre site a été compromis, veuillez décrire comment les attaquants y ont eu accès. » 61,5% ont répondu qu’ils ne savaient pas comment l’attaquant avait piraté leur site Web. 

Ils ont également mené une autre enquête pour voir ce que les attaquants font avec les sites WordPress compromis. Comme vous pouvez le constater, 25 % sont généralement mis hors ligne ou modifiés. C’est probablement l’une des pires choses qui pourrait arriver si vous dirigez une entreprise WordPress. C’est pourquoi vous devez commencer par mettre en place des mesures de sécurité, pas après.

Ce que font les attaquants de WordPress

Ce que font les attaquants de WordPress

Il y a plusieurs façons de verrouiller un site WordPress, une simple modification consiste à changer votre URL de connexion WordPress. Cela réduira instantanément le nombre de tentatives de connexion échouées que vous avez sur votre site WordPress à partir de robots et de scripts scrutant constamment le Web à la recherche d’un moyen d’entrer. Mais l’une des choses les plus importantes est de simplement choisir un mot de passe complexe.

Ça a l’air plutôt facile, non ? Eh bien, consultez la liste annuelle 2017 de SplashData des mots de passe les plus populaires volés tout au long de l’année (classés par ordre de popularité).

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou

C’est exact ! Le mot de passe le plus populaire est « 123456 », suivi d’un étonnant « password ». C’est une des raisons pour lesquelles chez Kinsta, nous forçons l’utilisation d’un mot de passe complexe pour la connexion à votre wp-admin (comme vous pouvez le voir ci-dessous sur notre processus d’installation en un clic).

Forcer la génération de mots de passe sécurisés

Forcer la génération de mots de passe sécurisés

La sécurité commence par l’essentiel. Google a quelques bonnes recommandations sur la façon de choisir un mot de passe fort. Et l’une de leurs recommandations est de permettre l’authentification à deux facteurs.

La sécurité commence par l'essentiel. Utilisez l'authentification à deux facteurs et des mots de passe forts ! Ils sont là pour une raison. Cliquez pour Tweet

L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais d’une deuxième méthode. Il s’agit généralement d’un texte (SMS), d’un appel téléphonique ou d’un mot de passe unique basé sur le temps (TOTP). Dans la plupart des cas, ceci est 100% efficace pour prévenir les attaques par force brute sur votre site WordPress. Pourquoi ? Parce qu’il est presque impossible que l’attaquant ait à la fois votre mot de passe et votre téléphone portable.

Pour en savoir plus sur la façon d’activer l’authentification à deux facteurs de WordPress, lisez ce qui suit.

Authentification à deux facteurs chez Kinsta

L’authentification à deux facteurs comporte en fait deux parties. Il y a d’abord votre compte et/ou tableau de bord que vous avez chez votre hébergeur. Si quelqu’un y accède, il pourrait changer vos mots de passe, supprimer vos sites Web, modifier vos enregistrements DNS et toutes sortes de choses horribles. Nous avons maintenant une authentification à deux facteurs disponible pour tous les clients sous votre tableau de bord MyKinsta.

Nous nous sommes également associés à Authy qui a une longue expérience dans les solutions d’authentification sécurisées pour les grandes entreprises telles que CloudFlare, Twitch, Coinbase, et SendGrid. Ils ont des applications de bureau et mobiles pour chaque plateforme, y compris les extensions de navigateur.

CloudFlare dit qu’Authy a « créé une application belle, simple et élégante qui implémente le TOTP. » – Techcrunch

Pour l’activer, cliquez simplement sur « Paramètres » dans votre tableau de bord MyKinsta et cliquez en bas sur le bouton « Activer l’authentification à deux facteurs ».

Activer l'authentification à deux facteurs dans MyKinsta

Activer l’authentification à deux facteurs dans MyKinsta

Vous serez alors invité à entrer votre numéro de téléphone portable. Cliquez sur « Envoyer ».

Configurer l'authentification à deux facteurs

Configurer l’authentification à deux facteurs

Deux options pour se reconnecter

Lorsqu’il s’agit de vous reconnecter, vous avez deux options différentes.

Option 1 : SMS via un appareil mobile

La première option consiste à recevoir un SMS (texte) via votre appareil mobile. La prochaine fois que vous vous connecterez à votre tableau de bord MyKinsta, cliquez sur « Demander un nouveau code » et un code unique sera envoyé à votre appareil mobile.

Demander un nouveau code

Demander un nouveau code

Option 2 : Authy

La deuxième option est d’utiliser une application gratuite appelée Authy. L’avantage d’utiliser Authy est qu’ils ont des applications pour tous les appareils, y compris votre bureau, mobile, et même une extension de navigateur. Pour configurer ceci, vous devez installer l’application Authy sur votre appareil mobile ou via votre navigateur. Lancez-la ensuite et vous devrez confirmer votre numéro de téléphone. Vous pouvez lui demander de vous appeler ou de vous envoyer un message texte à l’aide de la vignette d’enregistrement.

Configurer l'application Authy

Configurer l’application Authy

La prochaine fois que vous vous connecterez à votre tableau de bord MyKinsta, la fenêtre suivante vous demandera d’entrer votre code d’authentification.

Code Authy

Code Authy

Lancez simplement votre application Authy et elle générera un code temporaire que vous pourrez entrer. Si vous utilisez l’extension du navigateur, il devrait s’afficher automatiquement.

Authy MyKinsta

Authy MyKinsta

Et c’est tout. Vous pouvez dormir tranquille en sachant que votre compte Kinsta est beaucoup plus sécurisé !

Vous avez des problèmes de temps d'indisponibilité et de WordPress ? Kinsta est la solution d'hébergement conçue pour vous faire gagner du temps ! Découvrez nos fonctionnalités

Activer l’authentification à deux facteurs sur WordPress

Maintenant que vous avez sécurisé votre tableau de bord Kinsta, vous pouvez également activer l’authentification à deux facteurs sur votre site WordPress. Nous recommandons l’un des deux plugins suivants.

Authentification à deux facteurs

Le plugin WordPress d’Two Factor Authentication est développé par les mêmes auteurs de UpdraftPlus, le plugin de sauvegarde populaire. Il supporte les protocoles standard TOTP + HOTP (Google Authenticator, Authy, et bien d’autres). Il existe une version gratuite et une version premium.

Plugin WordPress d'authentification à deux facteurs

Plugin WordPress d’authentification à deux facteurs

Il compte actuellement plus de 7 000 installations actives avec une note de 4,5 étoiles sur 5 et comprend les caractéristiques suivantes :

  • QR Codes graphiques pour faciliter la numérisation mobile
  • Prise en charge des formulaires de connexion WooCommerce et Affiliates-WP
  • Compatible avec le Multisite (le plugin doit être activé au niveau du réseau)
  • Codes d’urgence et agencements de designs premium (version premium)

Google Authenticator

Si vous recherchez une solution totalement gratuite, le plugin WordPress Google Authenticator fonctionne parfaitement. Note : Cela signifie cependant que vous serez en train d’utiliser deux applications différentes. Vous pouvez déterminer laquelle est la plus efficace pour votre environnement. Si vous voulez rester avec une seule application, la mise à niveau vers leur premier plan pourrait être la voie à suivre. Nous utiliserons Google Authenticator gratuit dans cet exemple.

Le plugin Google Authenticator a plus de 30 000 installations actives avec une note de 4,5 étoiles sur 5. C’est complètement gratuit et vous pouvez le configurer pour un nombre illimité d’utilisateurs. La plupart des autres plugins d’authentification, vous remarquerez qu’ils ont des limitations en place à moins que vous ne mettiez à niveau vers un plan payant. Vous pouvez télécharger le plugin Google Authenticator à partir du référentiel WordPress ou en le recherchant dans votre tableau de bord WordPress sous « Ajouter » extensions.

Une fois installé, vous pouvez cliquer sur votre profil utilisateur, le marquer comme actif et créer une nouvelle clé secrète ou scanner le QR Code.

Paramètres de Google Authenticator

Paramètres de Google Authenticator

Vous pouvez ensuite utiliser l’une des applications Authenticator gratuites de votre téléphone :

Après avoir activé cette option, il vous faudra votre mot de passe normal pour vous connecter, ainsi que le code de l’application Google Authenticator sur votre téléphone. Vous remarquerez un champ supplémentaire qui apparaît maintenant sur votre page de connexion WordPress. De plus, ce plugin est entièrement compatible avec le plugin que nous vous avions recommandé pour changer votre URL de connexion WordPress.

Connexion Google Authenticator WordPress

Connexion Google Authenticator WordPress

Et c’est tout ! Vous avez maintenant une authentification à deux facteurs sur votre compte Kinsta et sur votre site WordPress.

Résumé

Nous sommes ravis d’offrir l’authentification à deux facteurs aux clients de Kinsta, car c’est l’une de nos fonctionnalités les plus demandées. Sécuriser vos sites Web WordPress devient un peu plus facile ! N’oubliez pas de consulter notre guide plus avancé sur la sécurité de WordPress pour voir comment vraiment verrouiller votre site.

Vous avez des questions sur le fonctionnement de l’authentification à deux facteurs pour WordPress ? N’hésitez pas à nous laisser un commentaire ci-dessous ou à ouvrir un ticket de support depuis votre tableau de bord MyKinsta.