Avez-vous remarqué que des sites populaires comme Facebook et Google vous demandent d’ajouter l’authentification à deux facteurs pour améliorer la sécurité ?
Eh bien, vous pouvez désormais ajouter l’authentification à deux facteurs à votre site WordPress. Cela garantit une sécurité maximale pour votre site WordPress et tous ses utilisateurs/utilisatrices inscrits.
Dans cet article, nous allons vous afficher comment ajouter l’authentification à deux facteurs pour WordPress à l’aide d’une extension et d’une application d’authentification.
Pourquoi ajouter l’authentification à deux facteurs dans WordPress ?
L’une des astuces les plus courantes utilisées par les pirates informatiques est l’attaque par force brute. Lors d’une de ces attaques, ils utilisent des scripts automatisés qui tentent de deviner le bon identifiant et le bon mot de passe afin de pouvoir se connecter à votre site WordPress.
Une attaque par force brute bien réussie peut permettre à des pirates d’accéder à la zone d’administration de votre site. Ils peuvent alors installer des logiciels malveillants, voler des informations sur les utilisateurs/utilisatrices et supprimer tout ce qui se trouve sur votre site.
L’un des moyens les plus simples de protéger votre site WordPress contre les mots de passe volés est d’ajouter l’authentification à deux facteurs (2FA). Avec ce réglage, vous devrez à la fois saisir votre mot de passe et un code secondaire (provenant d’une appli, d’un e-mail ou d’un SMS) pour vous connecter à votre site.
Ainsi, même si quelqu’un a saisi/saisie votre mot de passe, il devra saisir un code de sécurité à partir de votre téléphone pour y accéder.
Qu’est-ce qu’une application d’authentification ?
Il existe de multiples façons de configurer la connexion en 2 étapes dans WordPress. Cependant, la méthode la plus sûre et la plus simple consiste à utiliser une application d’authentification.
Une application d’authentification est une application pour smartphone qui génère un mot de passe temporaire à usage unique pour les comptes que vous y enregistrez.
En gros, l’appli et votre serveur utilisent une clé secrète pour chiffrer les informations et générer des codes à usage unique que vous pouvez utiliser comme deuxième calque de protection.
De nombreuses applications sont disponibles gratuitement :
- L’application la plus populaire est Google Authenticator, mais ce n’est pas le meilleur choix. En effet, si vous perdez votre téléphone, il n’y a aucun moyen de récupérer vos comptes, sauf si vous créez une copie de sauvegarde à l’avance.
- Nous vous recommandons d’utiliser Authy car il s’agit d’une application facile à utiliser et gratuite qui vous permet également d’enregistrer vos comptes sur le cloud dans un format chiffré. De cette façon, si vous perdez votre téléphone, alors vous pouvez simplement saisir votre mot de passe principal pour restaurer tous vos comptes.
- D’autres gestionnaires de mots de passe, comme LastPass et 1Password, sont tous dotés de leur propre version d’un authentificateur. Ils sont meilleurs que Google Authenticator car ils vous permettent de restaurer les clés.
Pour les besoins de ce tutoriel, nous utiliserons Authy. Vous pouvez suivre notre tutoriel en utilisant une autre application si vous le souhaitez puisqu’elles fonctionnent toutes de la même manière.
Ceci étant dit, voyons comment ajouter 2FA dans WordPress. Cliquez simplement sur les liens ci-dessous pour passer à la méthode que vous préférez :
Voyons maintenant comment ajouter facilement et gratuitement la vérification à deux facteurs à votre écran de connexion WordPress.
Méthode 1 : Ajout d’une authentification à deux facteurs à l’aide de WP 2FA
Cette méthode est facile et recommandée pour toutes les utilisatrices/utilisateurs. Elle est flexible et vous permet d’appliquer l’authentification à deux facteurs pour tous les utilisateurs/utilisatrices.
Tout d’abord, vous devez installer et activer le plugin WP 2FA – Authentification à deux facteurs. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’une extension WordPress.
Une fois activé, l’assistant de configuration WPA 2FA se lancera automatiquement. Sinon, vous pouvez visiter la page Utilisateurs/utilisatrices » Votre profil et défiler vers le bas jusqu’à la section ‘WP 2FA Réglages’.
Cliquer sur le bouton « Configurer l’authentification à deux facteurs (2FA) » permet de lancer l’assistant de configuration.
L’assistant de configuration de WP 2FA
Cliquez simplement sur le bouton « Premiers pas » pour commencer à configurer l’extension.
Sur la page suivante, il vous sera demandé de choisir une méthode d’authentification.
Il existe deux facultatifs :
- Code à usage unique généré par l’application 2FA de votre choix (recommandé)
- Code à usage unique envoyé par e-mail
Nous vous recommandons de choisir l’authentification via la méthode 2FA app (TOTP), car elle est plus sûre et plus fiable.
Une fois que vous avez fait votre choix, vous pouvez cliquer sur le bouton « Continuer la configuration » pour passer à la page suivante de l’assistant de configuration.
Il vous sera demandé quelles méthodes 2FA alternatives vous souhaitez que vos utilisateurs/utilisatrices utilisent en cas d’échec de la méthode 2FA principale, par exemple s’ils perdent leur téléphone.
Sur l’offre gratuite, seule la méthode du code de sauvegarde sera disponible. Si vous souhaitez plus de méthodes alternatives de 2FA, alors vous devrez mettre à niveau vers WP 2FA Premium.
Il suffit de cliquer sur le bouton « Continuer la configuration » pour passer à la page suivante.
Sur cette page, vous pouvez rendre la connexion à deux facteurs obligatoire pour certains ou tous les utilisateurs/utilisatrices. Nous vous le recommandons, en particulier si vous gérez un site WordPress multi-utilisateurs, comme un site d’adhésion.
Si vous souhaitez appliquer l’option 2FA à tous les utilisateurs de votre site, il vous suffit de sélectionner l’option « Tous les utilisateurs » et de cliquer sur « Poursuivre la configuration ».
Désormais, tous vos utilisateurs/utilisatrices seront nécessaires pour utiliser 2FA.
Cependant, il y a peut-être des utilisateurs/utilisatrices sur votre site que vous ne voulez pas forcer à utiliser 2FA. La page suivante vous permet de saisir les identifiants ou les rôles compte de ces membres de l’équipe.
Une fois que vous avez fait cela, cliquez sur le bouton « Continuer la configuration » pour accéder à une page où vous pouvez décider dans quel délai vos utilisateurs/utilisatrices doivent commencer à utiliser 2FA.
Vous pouvez leur demander de commencer tout de suite ou leur accorder un délai de grâce de trois jours, par exemple, pour qu’ils aient le temps de configurer les choses. Il vous suffit de cliquer sur l’option que vous souhaitez utiliser sur votre site.
Si vous souhaitez accorder un délai de grâce, vous pouvez choisir le nombre d’heures ou de jours. Le réglage par défaut de 3 jours convient à la plupart des sites.
Il existe également des facultatifs sur ce qu’il faut faire après la fin du délai de grâce si certains utilisateurs/utilisatrices n’ont pas configuré 2FA. Vous pouvez soit les laisser entrer mais leur interdire l’accès au Tableau de bord, soit les empêcher de se connecter. Pour la plupart des sites, la première option sera la meilleure.
Une fois que vous avez fait votre choix, vous pouvez cliquer sur » Tout est fait » pour quitter l’assistant de configuration. Félicitations, vous avez défini l’authentification à deux facteurs sur votre site !
L’écran de fin de configuration s’affiche avec un message de félicitations. Vous verrez également un bouton qui vous permettra de configurer 2FA pour votre propre compte utilisateur. Cliquez sur le bouton « Configurer 2FA maintenant ».
Configuration de l’authentification à deux facteurs pour votre propre compte utilisateur
Un nouvel assistant de configuration démarre pour vous aider à configurer l’authentification à deux facteurs pour votre propre compte utilisateur. Les autres utilisateurs/utilisatrices de votre site seront invités à faire de même.
La première chose à faire est de choisir la méthode 2FA que vous souhaitez utiliser. Vous devriez voir l’option d’un code à usage unique via une appli d’authentification. Vous pouvez également voir d’autres options en fonction des choix que vous avez faits pendant l’assistant de configuration.
Il suffit de choisir l’option » Code à usage unique via l’appli 2FA « , puis de cliquer sur le bouton » Étape par étape « .
L’extension affiche alors un code QR et un code texte.
Vous devez scanner le code QR à l’aide d’une application d’authentification. Vous pouvez également saisir manuellement le code texte dans l’application.
Vous devrez maintenant prendre votre appareil mobile et ouvrir l’appli d’authentification de votre choix. Les captures d’écran ci-dessous utilisent Authy, mais d’autres applications fonctionnent de la même manière.
Tout d’abord, cliquez sur le bouton » + » ou » Ajouter un compte » dans votre appli d’authentification.
L’appli demandera alors le droit d’accéder à l’appareil photo de votre téléphone.
Vous devez autoriser ce droit, puis appuyer sur le bouton « Scanner le code QR » afin de pouvoir scanner le code QR affiché sur la page des droits de l’extension sur votre ordinateur.
Une fois que l’appli reconnaît le code QR, elle commence automatiquement à enregistrer le compte.
Ensuite, vous pouvez modifier le logo et le pseudonyme par défaut du compte. Lorsque vous êtes prêt, appuyez sur le bouton « Enregistrer ».
L’appli authentificateur va maintenant enregistrer le compte de votre site.
Ensuite, il commencera à afficher un mot de passe à usage unique. Vous devrez le saisir dans les Réglages de l’extension sur votre ordinateur.
Vous devez maintenant revenir à votre ordinateur.
Dans l’assistant de configuration du plugin, cliquez sur le bouton « Je suis prêt » pour continuer.
L’extension vous demandera alors de vérifier votre mot de passe à usage unique.
Il suffit de taper le code de votre application mobile dans le champ » Code d’authentification » avant qu’il n’expire.
Ensuite, vous devez cliquer sur le bouton « Valider et enregistrer » pour finaliser la configuration.
Ensuite, vous aurez l’option de générer et d’enregistrer une liste de codes de sauvegarde. Ces codes peuvent être utilisés au cas où vous n’auriez pas accès à votre téléphone.
Vous devez cliquer sur le bouton « Générer une liste de codes de sauvegarde ».
Les codes de sauvegarde sont générés et affichés.
Vous pouvez télécharger ces codes de sauvegarde dans un endroit sûr de votre ordinateur, les imprimer et les mettre en lieu sûr, ou vous les envoyer par e-mail. Confirmez-les dans un endroit accessible si vous n’avez pas votre téléphone.
Ensuite, vous pouvez cliquer sur le bouton « Je suis prêt, fermer l’assistant » pour quitter l’assistant de configuration.
Utiliser l’authentification à deux facteurs pour se connecter
La prochaine fois que vos utilisateurs/utilisatrices se connecteront, ils verront une notification leur indiquant qu’ils doivent définir l’authentification à deux facteurs, ainsi que la date limite à la fin du délai de grâce.
Ils peuvent cliquer sur un bouton pour configurer 2FA maintenant ou choisir de recevoir un rappel lors de leur prochaine connexion.
Lorsqu’ils cliquent sur le bouton « Configurer 2FA maintenant », ils suivent les mêmes étapes que lorsque vous avez défini 2FA pour votre propre compte utilisateur dans la section précédente.
Lorsqu’ils se connectent après avoir configuré l’authentification à deux facteurs, ils verront l’écran de connexion de WordPress comme d’habitude. Cependant, lorsqu’ils saisiront leur identifiant et leur mot de passe, un deuxième écran s’affichera, leur demandant le code de leur appli d’authentification.
Ils devront saisir le code à partir de l’application sur leur téléphone avant de pouvoir être connectés. Ils peuvent également saisir un code de sauvegarde s’ils n’ont pas leur téléphone sur eux.
Cela rend votre site plus sûr. Si un pirate apprend le nom d’utilisateur et le mot de passe d’un de vos utilisateurs/utilisatrices, il ne pourra pas se connecter à moins d’avoir également accès à son téléphone.
Astuce : Si votre site WordPress utilise une page de formulaire de connexion personnalisée, alors vous pouvez également créer une page personnalisée où les utilisateurs/utilisatrices peuvent gérer leurs réglages d’authentification à deux facteurs sans accéder à la zone d’administration de WordPress.
Méthode 2 : Ajout d’une authentification à deux facteurs Utilisation de l’authentification à deux facteurs
Cette méthode est moins flexible car elle ne vous permet pas d’appliquer les connexions à deux facteurs pour tous les utilisateurs/utilisatrices. Chaque utilisateur/utilisatrice devra le définir de son côté et pourra le désactiver à partir de son profil. Réglages, c’est une méthode rapide et facile si vous voulez juste configurer 2FA pour votre propre compte.
Tout d’abord, vous devez installer et activer l’extension Two-Factor. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’une extension WordPress.
Une fois activé, vous devez vous rendre sur la page » Utilisateurs/utilisatrices » et défiler jusqu’à la section « Options à deux facteurs ».
À partir de là, vous devez choisir une option de connexion à deux facteurs. L’extension vous permet d’utiliser l’e-mail, une application d’authentification et les méthodes de clés de sécurité FIDO U2F.
Nous vous recommandons d’utiliser la méthode de l’application d’authentification. Il suffit de scanner le code QR à l’écran à l’aide d’une app d’authentification comme Google Authenticator, Authy ou LastPass Authenticator.
Une fois que vous avez scanné le code QR, l’appli vous affiche un code de vérification que vous devez saisir dans les options du plugin et cliquer sur le bouton » Envoyer « .
L’extension va maintenant définir la clé secrète. Vous pouvez réinitialiser cette clé à tout moment à partir de la page des Réglages pour numériser à nouveau le code QR.
N’oubliez pas de cliquer sur le bouton « Mettre à jour le profil » au bas de la page pour enregistrer vos réglages.
Désormais, à chaque fois que vous vous connecterez à votre site WordPress, il vous sera demandé de saisir le code d’authentification généré par l’appli sur votre téléphone.
FAQ sur l’authentification à deux facteurs (2FA) dans WordPress
Voici quelques réponses aux questions les plus fréquemment posées sur l’utilisation de la connexion en deux étapes dans WordPress.
1. Comment puis-je me connecter avec 2FA si je n’ai pas accès à mon téléphone ?
Si vous utilisez une app d’authentification avec une option de sauvegarde dans le cloud comme Authy, alors vous pouvez également installer l’app sur votre ordinateur portable.
Cela vous permet d’accéder aux codes d’authentification même lorsque vous n’avez pas votre téléphone avec vous. Cela vous permet également de restaurer facilement vos clés secrètes lorsque vous achetez un nouveau téléphone.
De nombreuses applications d’authentification vous permettent également de générer des codes de sauvegarde. Ces codes peuvent être utilisés comme codes d’accès uniques lorsque vous n’avez pas accès à votre téléphone.
2. Comment se connecter sans aucun code à partir de mon appli authenticator ?
Si vous n’avez pas accès à votre téléphone, à votre ordinateur portable ou à vos codes de sauvegarde, vous pouvez uniquement vous connecter en désactivant l’extension 2FA.
Vous pouvez consulter notre guide sur la façon de désactiver toutes les extensions WordPress lorsque vous ne pouvez pas accéder à la zone d’administration.
Une fois que vous aurez désactivé tous les plugins, vous désactiverez également le plugin d’authentification à deux facteurs, et vous pourrez vous connecter à votre site WordPress. Une fois connecté, vous pouvez réactiver les extensions et réinitialiser la configuration de l’authentification à deux facteurs.
3. Dois-je protéger le dossier d’administration de WordPress par un mot de passe ?
La sécurité des sites web fonctionne mieux lorsque vous disposez de plusieurs calques de sécurité pour protéger votre site, en commençant par les bases comme l’utilisation du HTTPS et un hébergeur WordPress sécurisé.
La vérification à deux facteurs sécurise votre connexion WordPress, mais vous pouvez la rendre encore plus sûre en protégeant le répertoire d’administration de WordPress par un mot de passe. Cela signifie que les utilisateurs/utilisatrices ne pourront pas accéder à votre page de connexion s’ils ne saisissent pas d’abord un identifiant et un mot de passe.
Guides d’experts sur la protection de la connexion WordPress
Maintenant que vous savez comment ajouter la vérification à 2 facteurs sur WordPress, vous pouvez consulter d’autres articles liés à la sécurisation des connexions sur WordPress.
- Comment et pourquoi limiter les tentatives de connexion sur WordPress ?
- Comment ajouter une URL de connexion personnalisée dans WordPress (étape par étape)
- Comment ajouter un CAPTCHA dans le formulaire de connexion et d’inscription de WordPress
- Comment ajouter des questions de sécurité à l’écran de connexion de WordPress
- Comment désactiver les conseils de connexion dans les messages d’erreur de connexion de WordPress ?
- Comment protéger par mot de passe votre répertoire d’administration WordPress (wp-admin)
- Comment limiter l’accès par IP à votre fichier wp-login.php dans WordPress
- Comment ajouter une connexion sans mot de passe dans WordPress avec Magic Links
- Comment protéger votre site WordPress des attaques par force brute (Brute Force)
Nous espérons que cet article vous a aidé à ajouter la vérification à 2 facteurs pour la connexion WordPress. Vous pouvez également consulter notre guide sur la façon d’obtenir un certificat SSL gratuit pour votre site WordPress ou notre choix d’experts des meilleures extensions de sécurité WordPress.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Felix says
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed says
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support says
There are different ways that sites are targeted but in the long run it is random.
Administrateur
Jiří Vaněk says
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support says
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Administrateur
Jiří Vaněk says
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch says
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support says
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Administrateur
Skye says
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai says
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support says
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Administrateur
MuZa says
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support says
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Administrateur
Lisa Smith says
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support says
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Administrateur
Harman says
You can simply do it via wordpress.com.
Anna Walton says
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support says
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Administrateur
Patrick Bartkus says
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.