Nous prenons la sécurité très au sérieux chez Kinsta, c’est pourquoi nous offrons l’authentification à deux facteurs pour tous nos clients d’hébergement WordPress. Rien ne pourrait être pire que quelqu’un qui pirate l’accès de tous vos sites ! Cette fonctionnalité est disponible dans notre tableau de bord MyKinsta et nous vous recommandons fortement d’en profiter. Aujourd’hui, nous allons nous pencher sur l’importance de l’authentification à deux facteurs sur WordPress, sur le fonctionnement de notre fonction 2FA et sur une excellente façon gratuite de configurer l’authentification à deux facteurs pour votre site WordPress lui-même.

Pourquoi l’authentification à deux facteurs est importante

Si vous jetez un coup d’oeil aux principales plateformes CMS telles que Joomla !, Drupal, et Magento, WordPress est en tête avec plus de 37.6% de part de marché. En raison de sa popularité, cela signifie aussi qu’il est attaqué plus que les autres. On ne peut pas vraiment dire qu’une plateforme est plus sûre que l’autre. Principalement plus d’attaques se produisent en raison du simple volume de sites dessus.

Une autre raison est due aux propriétaires de sites Web non qualifiés. WordPress a toujours été génial parce que presque tout le monde peut le prendre et commencer à l’utiliser, mais cela signifie aussi qu’il y a beaucoup de débutants qui laissent les portes de derrière grandes ouvertes en ne le patchant pas, en ne verrouillant pas tout avec les bonnes permissions, etc.

WordFence a interrogé un grand nombre de propriétaires de sites WordPress en 2016 et leur a demandé de répondre à la question suivante : « Si vous savez comment votre site a été compromis, veuillez décrire comment les attaquants y ont eu accès. » 61,5% ont répondu qu’ils ne savaient pas comment l’attaquant avait piraté leur site Web.

Ils ont également mené une autre enquête pour voir ce que les attaquants font avec les sites WordPress compromis. Comme vous pouvez le constater, 25 % sont généralement mis hors ligne ou modifiés. C’est probablement l’une des pires choses qui pourrait arriver si vous dirigez une entreprise WordPress. C’est pourquoi vous devez commencer par mettre en place des mesures de sécurité, pas après.

Ce que font les attaquants de WordPress

Ce que font les attaquants de WordPress

Il y a plusieurs façons de verrouiller un site WordPress, une simple modification consiste à changer votre URL de connexion WordPress. Cela réduira instantanément le nombre de tentatives de connexion échouées que vous avez sur votre site WordPress à partir de robots et de scripts scrutant constamment le Web à la recherche d’un moyen d’entrer. Mais l’une des choses les plus importantes est de simplement choisir un mot de passe complexe.

Ça a l’air plutôt facile, non ? Eh bien, consultez la liste annuelle 2018 de SplashData des mots de passe les plus populaires volés tout au long de l’année (classés par ordre de popularité).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

C’est exact ! Le mot de passe le plus populaire est « 123456 », suivi d’un étonnant « password ». C’est une des raisons pour lesquelles chez Kinsta, nous forçons l’utilisation d’un mot de passe complexe pour la connexion à votre wp-admin (comme vous pouvez le voir ci-dessous sur notre processus d’installation en un clic).

Forcer la génération de mots de passe sécurisés

Forcer la génération de mots de passe sécurisés

La sécurité commence par l’essentiel. Google a quelques bonnes recommandations sur la façon de choisir un mot de passe fort. Et l’une de leurs recommandations est de permettre l’authentification à deux facteurs.

La sécurité commence par l'essentiel. Utilisez l'authentification à deux facteurs et des mots de passe forts ! Ils sont là pour une raison. 🔒Click to Tweet

L’authentification à deux facteurs implique un processus en deux étapes dans lequel vous avez besoin non seulement de votre mot de passe pour vous connecter, mais d’une deuxième méthode. Il s’agit généralement d’un texte (SMS), d’un appel téléphonique ou d’un mot de passe unique basé sur le temps (TOTP). Dans la plupart des cas, ceci est 100% efficace pour prévenir les attaques par force brute sur votre site WordPress. Pourquoi ? Parce qu’il est presque impossible que l’attaquant ait à la fois votre mot de passe et votre téléphone portable.

Pour en savoir plus sur la façon d’activer l’authentification à deux facteurs de WordPress, lisez ce qui suit.

Authentification à deux facteurs chez Kinsta

Here at Kinsta, we take user security very seriously. To help our customers protect their MyKinsta accounts and WordPress sites, we offer Authenticator-based 2FA support.

Compared to the traditional SMS-based 2FA method which sends login codes via text message, our Authenticator-based method uses dynamically-generated codes in Google Authenticator, 1Password, and other 2FA apps. This means your 2FA configuration is protected against basic security attacks like SIM swapping.

We recommend enabling 2FA for all of your Internet services that support it. To enable two-factor authentication in MyKinsta, check out our knowledgebase article.

Activer l’authentification à deux facteurs sur WordPress

Maintenant que vous avez sécurisé votre tableau de bord Kinsta, vous pouvez également activer l’authentification à deux facteurs sur votre site WordPress. Nous recommandons l’un des deux plugins suivants.

Authentification à deux facteurs

Le plugin WordPress d’Two Factor Authentication est développé par les mêmes auteurs de UpdraftPlus, le plugin de sauvegarde populaire. Il supporte les protocoles standard TOTP + HOTP (Google Authenticator, Authy, et bien d’autres). Il existe une version gratuite et une version premium.

Plugin WordPress d'authentification à deux facteurs

Plugin WordPress d’authentification à deux facteurs

Il compte actuellement plus de 10 000 installations actives avec une note de 4,5 étoiles sur 5 et comprend les caractéristiques suivantes :

Google Authenticator

Si vous recherchez une solution totalement gratuite, le plugin WordPress Google Authenticator fonctionne parfaitement. Note : Cela signifie cependant que vous serez en train d’utiliser deux applications différentes. Vous pouvez déterminer laquelle est la plus efficace pour votre environnement. Si vous voulez rester avec une seule application, la mise à niveau vers leur premier plan pourrait être la voie à suivre. Nous utiliserons Google Authenticator gratuit dans cet exemple.

Vous avez des problèmes de temps d'indisponibilité et de WordPress ? Kinsta est la solution d'hébergement conçue pour vous faire gagner du temps ! Découvrez nos fonctionnalités

Le plugin Google Authenticator a plus de 30 000 installations actives avec une note de 4,5 étoiles sur 5. C’est complètement gratuit et vous pouvez le configurer pour un nombre illimité d’utilisateurs. La plupart des autres plugins d’authentification, vous remarquerez qu’ils ont des limitations en place à moins que vous ne mettiez à niveau vers un plan payant. Vous pouvez télécharger le plugin Google Authenticator à partir du référentiel WordPress ou en le recherchant dans votre tableau de bord WordPress sous « Ajouter » extensions.

Une fois installé, vous pouvez cliquer sur votre profil utilisateur, le marquer comme actif et créer une nouvelle clé secrète ou scanner le QR Code.

Paramètres de Google Authenticator

Paramètres de Google Authenticator

Vous pouvez ensuite utiliser l’une des applications Authenticator gratuites de votre téléphone :

Après avoir activé cette option, il vous faudra votre mot de passe normal pour vous connecter, ainsi que le code de l’application Google Authenticator sur votre téléphone. Vous remarquerez un champ supplémentaire qui apparaît maintenant sur votre page de connexion WordPress. De plus, ce plugin est entièrement compatible avec le plugin que nous vous avions recommandé pour changer votre URL de connexion WordPress.

Connexion Google Authenticator WordPress

Connexion Google Authenticator WordPress

Et c’est tout ! Vous avez maintenant une authentification à deux facteurs sur votre compte Kinsta et sur votre site WordPress.

Résumé

Nous sommes ravis d’offrir l’authentification à deux facteurs aux clients de Kinsta, car c’est l’une de nos fonctionnalités les plus demandées. Sécuriser vos sites Web WordPress devient un peu plus facile ! N’oubliez pas de consulter notre guide plus avancé sur la sécurité de WordPress pour voir comment vraiment verrouiller votre site.

Vous avez des questions sur le fonctionnement de l’authentification à deux facteurs pour WordPress ? N’hésitez pas à nous laisser un commentaire ci-dessous ou à ouvrir un ticket de support depuis votre tableau de bord MyKinsta.


Si vous avez aimé cet article, alors vous allez adorer la plateforme d’hébergement WordPress de Kinsta. Accélérez votre site Web et obtenez le support 24/7 de notre équipe de vétérans de WordPress. Notre infrastructure propulsée par Google Cloud met l’accent sur la mise à l’échelle automatique, la performance et la sécurité. Laissez-nous vous montrer la différence de Kinsta ! Découvrez nos plans