Les vacances approchent, ou sont déjà là pour certains d’entre vous, et qui dit vacances, dit généralement éloignement de l’ordinateur avec lequel vous vous connectez d’habitude à votre site WordPress.
Compte tenu que vous êtes prévoyant, vous avez intégré dans le fichier .htaccess de votre site le code que je vous indiquait dans l’article 5 étapes pour sécuriser votre site avec .htaccess. Ce qui vous permet d’être la seule personne autorisée à accéder à votre console d’administration.
Une bonne sécurité, mais dans le cas qui nous occupe, à savoir votre déplacement pour cas de force majeure, vos vacances, vous ne pourrez plus accéder au back-end de votre site.
Alors comment faire, pour effectuer les mises à jour, poster de nouveaux articles, répondre aux commentaires, bref comment assurer le suivi de votre site WordPress, si vous êtes en déplacement? C’est ici qu’intervient…
L’ authentification à deux facteurs
De plus en plus de sites utilisent l »authentification à deux facteurs pour améliorer leur sécurité. Prenons un exemple, Google veut mon numéro de téléphone portable pour confirmer mon identité avant que je puisse me connecter à Gmail. Et c’est une bonne idée.
Vous avez certainement entendu de piratage aux informations? La sécurité (ou l’absence de celle-ci) est un problème réel, et alors que nous ne pouvons pas empêcher le piratage à grande échelle, nous pouvons augmenter notre arsenal de sécurité pour protéger notre site et nos informations.
Qu’est-ce que l’authentification à deux facteurs?
Comme son nom l’indique, l’authentification à deux facteurs est un processus qui nécessite deux phases d’authentification avant de vous connecter à un site. De nombreux sites connus utilisent ce système, d’une manière ou d’une autre, parmi ces sites, il y a bien entendu Google, créateur d’un plugin dont nous reparlerons plus loin, mais aussi Twitter, Facebook, Amazon, etc.
L’exemple le plus répendu de l’authentification à deux facteurs, nécessite d’entrer votre nom d’utilisateur et un mot de passe comme d’habitude, mais avant de vous connecter, vous devez passer par une seconde étape de vérification de votre identité sur votre téléphone portable ou une tablette, généralement via une application dédiée.
Cependant, il existe plusieurs autres types d’authentification à deux facteurs sur le marché. Par exemple, vous pouvez être amené à saisir un numéro d’identification personnel spécifique (PIN) en plus de votre nom d’utilisateur et du mot de passe, ou vous pourriez avoir besoin de confirmer un motif visuel spécifique avant de pouvoir accéder au site. Beaucoup de banques utilisent cette forme d’authentification.
Bien que l’authentification à deux facteurs peut sembler être quelque chose de nouveau, loin de là. Toutefois appliquer ce système au login de sites Internet est plus ou moins récent.
Pourquoi en ai-je besoin?
Comme je l’ai mentionné plus haut, l’authentification à deux facteurs ajoute une couche de sécurité supplémentaire dans un monde où le piratage est devenu banal. En bref, vous en avez besoin parce que vous avez besoin de protéger vos informations personnelles et votre site contre toutes sortes de personnes mal intentionnées, et il y en a!
Les attaques par force brute sont plus fréquentes et, sauf si votre site est bien sécurisé, il y a beaucoup de chances qu’un jour prochain un pirate perce vos défenses, vole vos informations, télécharge des logiciels malveillants, et/ou effectue toute une série d’autres actes malveillants.
L’authentification à deux facteurs complique le piratage, et à moins que vous ayez un site de grande envergure, la plupart des pirates et les robots vont abandonner, assez rapidement, s’ils n’arrivent pas à entrer en peu de temps.
Quel plugin utiliser pour mettre en place l’authentification à deux facteurs
Nombreux sont ceux qui sont encore réticents à sauter le pas, j’en faisais partie, parce que l’amélioration de la sécurité de votre site, rend le processus de connexion plus long et un plus complexe. Il ne faut guère plus de temps, mais c’est le facteur temps qui est mis en cause. Vous pouvez toujours choisir de « rester connecté » pour réduire le nombre de fois que vous aurez à passer par la double d’authentification, si c’est une préoccupation majeure pour vous.
Voyons à présent, les différents plugin disponibles pour installer l’authentification à deux facteurs sur votre site.
Rublon Account Security
Rublon Account Security est un plugin simple d’utilisation. Après l’avoir activé, vous avez terminé. Vos utilisateurs n’ont rien à installer ou à configurer et il n’y a pas besoin de formation ou de codes ponctuels. Une fois l’identité des utilisateurs confirmées sur un appareil, ils peuvent se connecter à tous les services Web en entrant seulement leur mot de passe WordPress.
Lors de la première connexion, vous devez confirmer votre identité en cliquant sur le lien que vous recevrez par e-mail. Votre prochaine connexion, à partir du même appareil, ne nécessitera que votre mot de passe WordPress. Pour plus de sécurité, l’application mobile Rublon scanne un code Rublon pour confirmer votre identité.
Traditionnellement les solutions d’authentification à deux facteurs demande d’entrer un mot de passe unique à chaque fois que l’on veut se connecter. Voilà pourquoi les gens ne les aiment pas. Rublon est différent. Avec Rublon, vous confirmez votre identité en cliquant simplement sur un lien ou en scannant un code Rublon. C’est tout!
Two Factor Authentication
Two Factor Authentication, créé par les auteurs de UpdraftPlus, un plugin de backup bien connu, utilise le principe du mot de passe unique, tout comme Google Authenticator, Authy, et d’autres, afin de pouvoir vous connecter à votre site WordPress.
Ce mot de passe n’est valable qu’un certain temps, mais il peut être remplacé par un QR code, le plugin demandant au navigateur d’afficher des images à partir du site Google Api Chart (https://chart.googleapis.com).
Duo Two-Factor Authentication
Le plugin Duo Two-Factor Authentication de Duo Security, simplifie l’installation de l’authentification à deux facteurs sur votre site WordPress, grâce à une configuration minimale.
Voilà comment il fonctionne:
- Installer et activer le plugin sur votre site WordPress
- Téléchargez une application sur votre smartphone.
- Etablissez la liste des utilisateurs (ou les rôles d’utilisateurs) de votre site qui nécessitent l’authentification à deux facteurs.
Du côté utilisateur, l’interaction avec Duo est assez transparente. Après avoir tapé votre nom d’utilisateur et votre mot de passe, vous êtes redirigé vers un écran qui vous présente plusieurs options pour vérifier votre identité.
Par exemple, vous pouvez opter pour confirmer l’application mobile. Une fois que vous aurez sélectionné cette option, un avis apparaît sur votre téléphone et tout ce que vous avez à faire est de cliquer sur « Valider ».
Une autre option vous permet d’utiliser un mot de passe unique généré par l’application mobile ou envoyé à votre téléphone via un SMS. D’autres options existent, parmi lesquelles un rappel téléphonique et l’utilisation d’un code d’authentification généré par un jeton matériel.
Google Authenticator
Une autre option pour l’authentification à deux facteurs, pour votre site WordPress, est Google Authenticator . Ce plugin ajoute la puissance de l’application Google Authenticator à votre site WordPress.
Beaucoup de gens utilisent déjà cette application sur leurs smartphones pour activer l’authentification à deux facteurs sur d’autres applications et sites web comme Gmail et Amazon, il serait donc judicieux de tirer parti de ce plugin.
Avec ce plugin, vous pouvez ajouter l’authentification à deux facteurs aux utilisateurs individuels, administrateurs, ou à des rôles utilisateurs spécifiques. Il y a une fonction mot de passe intégrée à l’application, mais elle rend l’application moins sûre, ce qui signifie que votre site WordPress sera plus faillible.
Il vaut mieux conserver le protocole d’authentification par défaut, pour garder un plus haut niveau de sécurité.
Clef
Clef est mon plugin préféré, en ce qui concerne l’authentification à deux facteurs. Ce plugin a une approche unique qui semble intimidante au premier abord, mais qui est sacrément facile à utiliser.
Une fois le plugin installé et l’application Clef installée sur votre téléphone, il vous suffit d’aller à l’écran « wp-admin » de votre site et de sélectionner le bouton « Ouvrir une session avec votre téléphone »
Vous serez invité à synchroniser la « Vague Clef » avec l’application. La Vague est un code à barres en mouvement qui apparaît à la fois sur l’écran de votre ordinateur et dans l’application. Votre téléphone va utiliser l’appareil photo intégré pour synchroniser la vague. Cela permet de vérifier votre identité sans jamais avoir à taper votre mot de passe.
Plutôt malin, n’est ce pas?
La configuration à mettre en place est minime, vous devez choisir un code PIN dans l’application et vous connecter à vos comptes WordPress. A partir de là, le procédé est simple. Il suffit d’utiliser le journal avec l’option téléphone et vous serez connecté automatiquement à votre site.
Vous pouvez utiliser ce plugin pour vous connecter à l’ensemble de vos sites WordPress. Et lorsque vous avez terminé, vous pouvez vous déconnecter de tous les sites à la fois.
Two Factor Auth
Si vous êtes à la recherche d’une solution simple, Two Factors Auth pourrait bien être celui qui vous conviendra. Il fonctionne en créant un mot de passe que vous devez entrer durant une période donnée avant de devenir invalide. Ces mots de passe sont généralement envoyés à votre adresse e-mail.
Il fonctionne également avec des applications tierces telles que Google Authenticator, pour une couche supplémentaire de sécurité. Il vous permet de vous connecter en utilisant un code fourni par l’application. En général, c’est un moyen simple pour améliorer la sécurité de votre site, sans avoir à perdre de temps dans la configuration.
Two-Factor Authentication – Clockwork SMS
Comme son nom l’indique, Two Factor Authentication – Clockwork SMS, fonctionne en envoyant un code par SMS sur votre téléphone mobile, lorsque vous essayez de vous connecter à votre site WordPress.
Vous pouvez l’activer pour des rôles utilisateurs spécifiques ou des utilisateurs individuels, si vous le souhaitez. Vous aurez besoin d’un compte Clockwork SMS pour utiliser ce plugin, cependant, il n’est pas totalement gratuit. Cela signifie qu’il y a une taxe à payer, mais vous pourriez trouver que cela en vaut la peine, car il n’est pas nécessaire d’ajouter une application externe à votre smartphone.
Authy Two Factor Authentication
Authy fournit deux solutions d’authentification sur de nombreuses plates-formes, mais il a aussi un plugin gratuit pour WordPress, que vous pouvez utiliser.
Une fois installé sur votre site, il vous suffit de vous inscrire pour obtenir gratuitement une clé API sur le site Authy. Entrez la clé API dans les paramètres du plugin et vous êtes prêt. Votre identité est vérifiée par le biais d’un message texte envoyé sur votre téléphone mobile.
Authy Two Factor Authentication offre assez peu de fonctionnalités. Vous pouvez, par exemple:
- laisser le choix, aux utilisateurs, d’opter pour l’authentification à deux facteurs
- en tant qu’administrateur, vous pouvez les forcer à l’utiliser
- vous pouvez forcer certains rôles spécifiques à l’utiliser
Plus loin…
Comme vous l’avez probablement remarqué, je ne vous ai parlé que des plugin qui n’ont qu’une seule fonctionnalité, à savoir l’authentification à deux facteurs. Il existe toutefois quelques plugin de sécurité plus complets, qui incluent cette fonctionnalité.
Parmi ces plugin, iThemes Security Pro, la version payante du plugin iThemes Security, comprend entre autres fonctionnalités supplémentaires, l’authentification à deux facteurs qui, curieusement, travaille en collaboration avec Google Authenticator. Vous devez donc avoir cette application installée sur votre téléphone, et vous pourrez la configurer avec iThemes Security Pro.
Vous vous connectez en utilisant votre nom d’utilisateur et votre mot de passe habituel et êtes invité à entrer un code de vérification que Google Authenticator génère automatiquement. Ce code ne fonctionne que pour une seule connexion et change après 30 secondes.
L’autre plugin de sécurité à intégrer l’authentification à deux facteurs s’appelle Wordfence.
Wordfence est un plugin de sécurité robuste qui intègre une grande variété de fonctionnalités pour sécuriser votre site et son contenu. Par exemple, il effectue des contrôles réguliers pour s’assurer que votre site n’est pas infecté. Il promet également de rendre votre site jusqu’à 50 fois plus rapide (je ne l’ai pas testé).
L’authentification à deux facteurs est incluse, et nécessite l’utilisation d’un smartphone, selon la description de plugin, susceptible de recevoir des SMS, ce qui le différencie d’un processus de connexion standard. Attention toutefois, l’authentification à deux facteurs n’est disponible que pour la version Premium.
Conclusion
L’authentification à deux facteurs est de plus en plus importante pour les propriétaires de sites WordPress. Elle fournit une couche de sécurité supplémentaire, plus que nécessaire en ce moment. Soyons direct, les pirates ne dorment jamais! Il y aura toujours quelqu’un qui essaiera de pénétrer sur votre site pour une raison ou une autre. Mieux vaut être préparé que de rester les bras croisés et espérer que cela ne se produise pas.
Si vous avez des questions, n’hésitez pas à les poser dans les commentaires, et si vous connaissez une solution que je n’aurai pas cité, je suis tout ouïe!
Si cet article vous a été utile, n’hésitez pas à le partaget pour en faire profiter plus de monde. Merci!
Crédit photo bannière: twobee via Freedigitalphotos.net
Publié à l'origine le : 8 juillet 2015 @ 12 h 13 min