Comment activer la double authentification sur votre site WordPress ?

Un identifiant + un mot de passe. Se connecter à l’interface d’administration de WordPress est très simple… à condition de se souvenir de ces deux éléments.

Si l’on se place du côté de la personne ou du robot malveillant qui souhaite accéder à votre site, la donne est tout aussi simple.

S’ils trouvent votre identifiant et votre mot de passe, ils deviendront maîtres à bord, sans votre permission…

On est ici dans un scénario catastrophe, mais malheureusement, cela n’arrive pas qu’aux autres. Pour vous prémunir, il peut être très judicieux d’activer la double authentification sur WordPress. 

Si vous ne connaissez pas encore cette méthode de protection, ou que vous souhaitez la mettre en place, cet article va tout vous expliquer. 

Après l’avoir lu, vous saurez pourquoi utiliser l’authentification à deux facteurs, et comment l’activer sur votre installation WordPress de deux façons différentes (à chaque fois avec une extension). 

Qu’est-ce que la double authentification ?

Fonctionnement de la double authentification

La double authentification est une méthode de sécurisation d’un compte utilisateur. Sur WordPress, elle permet de protéger l’accès à l’interface d’administration (back office) en ajoutant une couche de protection supplémentaire à l’authentification par mot de passe.

Voici comment cela fonctionne : 

1. Dans un premier temps, vous entrez votre identifiant et votre mot de passe sur la page de connexion à l’administration. C’est ce que vous avez normalement l’habitude de faire dès que vous voulez accéder à votre site WordPress.
2. Dans un second temps, vous allez devoir vous identifier une seconde fois pour pouvoir accéder à l’admin, grâce à un appareil ou à un service en votre possession. Cela peut par exemple être un smartphone sur lequel vous validerez la tentative de connexion en entrant un code.

Voilà pourquoi on parle de double authentification : pour vous connecter à WordPress, vous devez vous identifier deux fois.

Le gros plus de cette méthode, c’est que si jamais on vous pirate votre mot de passe, cela ne suffira pas pour accéder à votre compte.
Si la personne ou le robot malveillant ne possède pas autre chose vous appartenant pour s’identifier (ex : votre appareil mobile), il ou elle ne pourra pas se connecter.

D’ailleurs, c’est un service que vous avez sûrement déjà utilisé dans votre quotidien. De nombreux sites célèbres s’en servent, à l’image de Google, Facebook ou Paypal. 

C’est aussi le cas de votre banque. Pour valider un paiement (surtout pour des sommes élevées), on vous réclame la plupart du temps de le valider sur votre application bancaire, sur laquelle vous devez vous connecter. 

Plusieurs appellations sont utilisées pour évoquer la double authentification. On parle aussi d’identification à deux facteurs, d’authentification à deux facteurs, voire de 2FA (pour two factor authentication, la traduction anglaise de cette méthode de sécurisation).

Quelles sont les méthodes proposées comme second facteur d’authentification ?

Avant de poursuivre, faisons un point rapide sur les méthodes d’identification qui pourront vous être proposées lors de la deuxième étape d’identification. 

Ce deuxième facteur peut prendre plusieurs formes, telles que :

• un code de sécurité envoyé par SMS ou par e-mail ; 
• une application d’authentification (ex : Google Authenticator) qui génère un code de sécurité à usage unique, valide uniquement durant un laps de temps déterminé ; 
• une clé USB Token, à insérer dans le port USB de votre ordinateur ; 
• une notification push ; 
• une empreinte digitale ou un scan de rétine. 

Pourquoi activer la double authentification sur WordPress ?

Si l’authentification à double facteur ajoute une étape supplémentaire au processus de connexion, elle a quand même un gros avantage : elle rend l’accès à votre interface d’administration beaucoup plus sécurisé.

En utilisant cette méthode : 

• vous limitez les attaques par force brute (brute force attack, en anglais). Lorsqu’elles se produisent, des robots (bots) se rendent sur la page de connexion de votre site WordPress, puis tentent de découvrir l’identifiant et le mot de passe du compte administrateur de votre site en testant des combinaisons différentes, afin d’en prendre le contrôle. Si jamais ils y parviennent, la double authentification les empêchera d’accéder à votre admin WordPress ;
• vous renforcez la sécurité de votre compte administrateur. Même si vous utilisez un mot de passe faible type 123456 ou doudou – ne faites pas ça -, vous disposerez d’une mesure de protection supplémentaire grâce au deuxième facteur d’authentification ; 
• vous réduisez les risques de piratage et protégez mieux certaines données confidentielles (informations personnelles, données bancaires de vos clients si vous vendez sur une boutique WooCommerce). 

C’est plus clair ? Penchons-nous à présent sur la pratique. Découvrez comment mettre en place la double authentification sur WordPress en quelques minutes.

Comment activer l’authentification à deux facteurs sur WordPress ?

Avant toute chose, je vous recommande de sauvegarder votre site. En cas de problème, vous pourrez vous retourner et le restaurer facilement. Pour cela, activez par exemple l’extension UpdraftPlus. Ou servez-vous du module de sauvegarde d’un outil de maintenance comme WP Umbrella (lien aff) ou ManageWP. 

Quelles sont les options à votre disposition ?

Pour activer la double authentification sur WordPress, le moyen le plus simple et le plus rapide consiste à vous servir d’une extension. En la matière, il y a deux possibilités. 

Vous pouvez tout d’abord opter pour une extension dédiée à la double authentification sur WordPress. Le répertoire officiel WordPress en dénombre des dizaines. 

Parmi les plus populaires (plus de 5 000 installations actives), vous rencontrerez par exemple : 

• Two-Factor (70K+ installations actives) ; 
• WP 2FA – Two-factor authentication for WordPress (60K+ installations actives) ; 
• Google Authenticator (30K+ installations actives) ; 
• Two Factor Authentication (20K+ installations actives) ; 
• miniOrange’s Google Authenticator (20K+ installations actives) ;
• Duo TwoFactor Authentication (8K+ installations actives).

L’autre option en la matière consiste à profiter d’une fonctionnalité de double authentification proposée par un plugin de sécurité généraliste comme SecuPress, iThemes Security ou Wordfence Security. 

Découvrez maintenant leur mise en place concrète dans le détail. 

Comment activer la double authentification sur WordPress avec l’extension WP 2FA ?

Si vous désirez vous servir d’une extension dédiée à la double authentification sur WordPress, le plugin WP 2FA est un recours fiable et efficace pour plusieurs raisons : 

• il s’agit du plus populaire, juste derrière Two-Factor. Et contrairement à ce dernier, WP 2FA permet d’instaurer l’authentification à double facteur pour tous les utilisateurs (avec Two-Factor, chaque utilisateur devra la configurer lui-même) ; 
• il fait partie des mieux notés ; 
• il est fréquemment mis à jour ; 
• il est facile à utiliser et à prendre en main (même si son interface n’est pas traduite en français) ; 
• plusieurs méthodes de seconde authentification sont proposées : e-mail, SMS, application d’authentification, code de récupération etc. ;
• il est développé et maintenu par une entreprise spécialiste de la sécurité sur WordPress : WP White Security propose aussi l’excellent plugin WP Activity Log ;
• vos utilisateurs peuvent paramétrer l’authentification à deux facteurs sans se connecter à l’administration. Il leur est possible de le faire depuis l’interface front, ce qui est très pratique pour les clients d’une boutique en ligne (WP 2FA s’intègre à WooCommerce), un espace membres etc.

Sans transition, voyez comment le paramétrer tout de suite en quelques étapes rapides.

Étape 1 : Installer et activer l’extension WP 2FA

Dans un premier temps, installez puis activez l’extension sur votre interface d’administration WordPress. Pour cela, dirigez-vous dans le menu Extensions > Ajouter.

Étape 2 : Sélectionner une méthode d’authentification pour vos utilisateurs

Une fois l’extension activée, un assistant de configuration va se lancer automatiquement sur votre écran. Cliquez sur le bouton bleu « Let’s get started » (« Commencer ») pour démarrer :

On vous invite alors à choisir une méthode d’authentification pour vos utilisateurs. Vous disposez de deux options pour le second facteur d’authentification :

• l’usage d’une application comme Google Authenticator ou Authy ; 
• l’envoi d’un code par e-mail. Dans ce cas, WP 2FA recommande d’activer l’extension WP Mail SMTP pour améliorer la délivrabilité des e-mails envoyés par WordPress.

Si vous souhaitez proposer ces deux options à vos utilisateurs, laissez les deux cases cochées.

Sinon, décochez la case de votre choix si vous ne voulez pas proposer telle ou telle méthode d’authentification. Cliquez sur « Continue Setup » pour poursuivre la configuration :

Juste après, vous pouvez aussi choisir d’envoyer un code de sauvegarde (backup code) utilisable seulement une fois, au cas où la méthode précédente d’authentification (par une appli ou par e-mail) ne fonctionne pas. 

Pour cela, laissez la case « Backup codes » cochée, puis cliquez sur « Continue Setup » :

Étape 3 : Définir quels rôles utilisateurs profiteront de la double authentification sur WordPress

Lors de la troisième étape, WP 2FA vous invite à choisir qui va bénéficier de la double authentification sur votre site WordPress. Trois options sont proposées : 

• Tous les utilisateurs (« All users ») : dans ce cas, tout le monde devra s’authentifier deux fois pour pouvoir se connecter, quel que soit son rôle utilisateur (administrateur, auteur, éditeur, contributeur et abonné) ; 
• Certains utilisateurs et/ou rôles définis (« Only for specific users and roles »). Ici, vous pouvez restreindre l’usage de l’authentification à deux facteurs à certains utilisateurs et rôles ;
• Appliquer la double authentification à aucun utilisateur (« Do not enforce on any users »). Dans ce cas, chaque utilisateur sera libre de l’activer ou non.

Passez à la suite en cliquant sur « Continue Setup » :

Étape 4 : Configurer un délai de grâce

Si vous choisissez d’imposer la double authentification à tous ou certains de vos utilisateurs, vous pouvez leur donner la possibilité de configurer l’authentification à deux facteurs dans un certain délai (grace period).

WP 2FA permet soit : 

• d’imposer immédiatement à vos utilisateurs de configurer la double authentification (« Users have to configure 2FA straight away ») ; 
• de définir un délai de configuration (« Give users a grace period to configure 2FA ») qui se paramètre en jours ou en heures.

Si vous décidez de mettre en place un délai de configuration, vous devrez choisir ce qui se passera si l’utilisateur n’est pas passé à l’action durant le délai imparti : 

• soit il ne pourra plus accéder au tableau de bord ou à sa page utilisateur (« Do not let them access the dashboard/ user page ») jusqu’à ce qu’il configure la double identification sur WordPress ; 
• soit le compte de l’utilisateur sera bloqué (« Block the user »). Seul un admin pourra le débloquer.

Terminez en cliquant sur « All done » (« Terminé ») :

Étape 5 : Choisir la méthode de double identification sur WordPress pour votre compte utilisateur

La dernière étape consiste à configurer la double authentification pour votre compte utilisateur. Pour cela, cliquez sur le bouton « Configure 2FA Now » :

Une fenêtre en surbrillance va alors s’ouvrir sur votre écran en vous demandant de choisir quelle méthode d’authentification vous souhaitez utiliser : 

• l’authentification via une application (« One-time code via 2FA app »). Il s’agit de la méthode que je vais choisir ici ; 
• l’authentification par email (« One-time code via email »).

Étape 6 : Générer un code d’authentification sur une application d’authentification à deux facteurs

Pour vous authentifier via une application, il faut en choisir une. WP 2FA est compatible avec les applications suivantes : 

• Google Authenticator ; 
• Authy ;
• Microsoft Authenticator ; 
• Duo ;
• LastPass ;
• FreeOTP ;
• Okta.

Pour les besoins de ce test, je vais me baser sur Google Authenticator, qui est sûrement le plus célèbre. 

Téléchargez cette application sur votre smartphone. Ouvrez-la, puis scannez le QR code proposé par le plugin WP 2FA sur votre interface d’administration. Lorsque c’est fait, cliquez sur le bouton « I’m ready » (« Je suis prêt »). 

Entrez ensuite le code généré par l’application Google Authenticator, et pensez à valider en cliquant sur le bouton correspondant (« Validate & Save ») :

Étape 7 : Se connecter à WordPress

Pour vérifier que tout fonctionne correctement, déconnectez-vous de votre interface d’administration WordPress. 

Sur la page de connexion à l’admin, entrez votre identifiant et votre mot de passe, comme d’habitude. Si tout va bien, on vous demandera alors de renseigner un code à usage unique généré par l’application que vous utiliserez.

Dans le cas de Google Authenticator, il s’agit d’un code à 6 chiffres qui se régénère toutes les 30 secondes.

Et voilà, c’est tout bon, voilà votre site beaucoup mieux sécurisé, félicitations !

Vous pouvez aussi personnaliser le texte de l’e-mail qui vous enverra un code d’authentification (si vous choisissez cette méthode dans les réglages de l’extension), via le menu WP 2FA > Settings > Emails & Templates. Enfin, il est aussi possible de changer le texte qui s’affiche sur la page de connexion au moment de devoir taper votre code d’authentification. Par défaut, tout est en anglais. Cependant, vous pouvez traduire ça en français dans le menu WP 2FA > Settings > White labeling.

Comment activer l’authentification à deux facteurs avec un plugin de sécurité généraliste ?

Si vous avez appliqué le processus de mise en place de la double authentification sur WordPress chez vous, vous avez dû constater que les étapes étaient relativement simples. 

Par contre, peut-être avez-vous jugé sa mise en œuvre un peu longue. Il faut dire que l’extension WP 2FA propose de multiples options de configuration, ce qui peut faire un peu traîner les choses. 

Si vous souhaitez aller un peu plus vite – mais vous disposerez sûrement de moins d’options de réglages – , une autre voie est empruntable.

Il s’agit de l’usage d’une extension de sécurité généraliste. La plupart d’entre elles proposent une option pour activer la double authentification sur votre site WordPress. 

WPMarmite a consacré un tutoriel détaillé à trois des plus célèbres d’entre elles, dans lequel vous trouverez comment configurer la double identification. Il s’agit des plugins suivants : 

• Wordfence Security (dès la version gratuite). Si vous ne souhaitez pas profiter de toutes les fonctionnalités proposées par Wordfence, sachez qu’il propose aussi un plugin moins fourni en options et plus léger (Wordfence Login Security), avec lequel il est possible d’activer la double authentification ; 
• iThemes Security (dès la version gratuite) ;
• SecuPress propose aussi le double facteur d’Authentification (2FA), mais seulement dans sa version Pro. SecuPress propose une méthode intéressante en la matière : le Passwordless. Pour se connecter, l’utilisateur n’a pas besoin d’entrer son mot de passe. Il a juste à renseigner son adresse e-mail sur la page de connexion à WordPress, puis il recevra un e-mail contenant un lien unique, qui permettra de se connecter une seule fois.

Si vous optez pour l’usage d’une extension de sécurité généraliste, n’activez pas en même temps un plugin dédié à l’authentification à deux facteurs comme WP 2FA ou l’un de ses concurrents. Cela ferait contre-emploi et vous vous exposerez à des risques d’incompatibilité. 

Conclusion

La double authentification sur WordPress représente un moyen efficace de renforcer la sécurité de votre site. Elle permet par exemple de mieux le protéger contre les attaques par force brute. 

Tout au long de ces lignes, vous avez découvert deux méthodes principales pour l’activer sur votre installation WordPress : 

1. Avec un plugin dédié comme WP 2FA.
2. Grâce à une extension de sécurité généraliste comme Wordfence, iThemes Security ou SecuPress.

Malgré tout, ne comptez pas seulement sur l’authentification à double facteur pour protéger votre site. Pensez par exemple à utiliser des mots de passe forts, ainsi qu’une extension anti-spam comme Akismet. 

N’hésitez pas également à consulter la série de vidéos Le Point Sécu sur la chaîne YouTube de WPMarmite, pour dénicher de nombreux conseils et astuces en matière de sécurité. 

Avez-vous mis en place la double identification sur votre site ? Si oui, quel retour d’expérience pouvez-vous nous partager ? Donnez votre opinion aux lecteurs de WPMarmite en publiant un commentaire.