Activer la double authentification sur WordPress

par | 29 Oct 2021 | Entreprise en ligne, WordPress

La double authentification sur WordPress renforce la sécurité de votre site de manière significative. Nous allons examiner les types d’attaques dont elle vous protège et comment l’installer et l’activer sur votre site.

 

 

1. L’authentification unique par mot de passe est une faiblesse de votre site

L’équipe de sécurité de WordPress a déclaré : “le maillon le plus faible de la sécurité de tout ce que vous faites en ligne est votre mot de passe”. Si vous avez la chance de n’avoir jamais eu l’un ou l’autre de vos mots de passe compromis, ce n’est probablement qu’une question de temps. Vous l’aurez compris, c’est presque Halloween et j’ai décidé de vous faire (très) peur.

L’attaque par force brute demeure la technique la plus largement employée pour pirater des sites WordPress. Elle est entièrement automatisée avec pour but de trouver des combinaisons d’identifiants de connexion et mots de passe pour s’introduire sur votre site.

Le choix des combinaisons n’est pas hasardeux. Bien au contraire, de nombreuses analyses sont réalisées depuis des années sur les bases de données volées pour déterminer comment les gens choisissent leurs mots de passe. Par conséquent, les pirates se servent des identifiants les plus utilisés et les combinent avec les mots de passe les plus courants. D’après l’une de ces analyses, le mot de passe le plus commun est 123456, ce qui semble un peu fou !

Les mots de passe seuls ne constituent pas un moyen d’identification suffisamment sécurisé
Les mots de passe seuls ne constituent pas un moyen d’identification suffisamment sécurisé

 
Ces brèches de données ont fourni des renseignements précieux aux pirates, évidemment, mais aussi aux expert.e.s de la sécurité informatique qui peuvent désormais pousser les utilisateur.rice.s à créer des mots de passe forts. Par ailleurs, sans gestionnaire de mots de passe, il est bien difficile de se souvenir de tous ses mots de passe et réemployer les mêmes reste plus souvent la règle que l’exception.

Voici le scénario le plus classique qui se produit régulièrement. Un site lambda est victime d’une brèche de données discrète, mais efficace. Vous avez créé un compte sur celui-ci avec le mot de passe ou une de ses variantes que vous utilisez partout. Personne ne se rend compte de ce vol durant quelques mois. Pendant ce temps, les données collectées sont vendues au plus offrant dans les coins sombres du net.

Ensuite, les mots de passe contenus dans la brèche sont décryptés. Soit ils étaient mal cryptés ou mal stockés par le site lambda, soit les pirates réussissent à déchiffrer les plus simples, ces fameux mots de passe que tout le monde emploie. Ensuite, commencent les attaques par force brute sur les sites les plus intéressants à pirater, notamment vos comptes Paypal, bancaires, sites e-commerces et autres.

Ces mêmes techniques sont également exploitées sur votre site WordPress. Si vous ou vos utilisateur.rice.s ne créez pas des mots de passe difficiles, les chances d’être piraté.e.s augmentent de jour en jour. Maintenant que le décor est planté, examinons les solutions qui s’offrent à vous pour renforcer la sécurité de votre site.

 

2. Qu’est-ce que la double authentification ou l’authentification à deux facteurs

La double authentification ou authentification à deux facteurs est, comme son nom l’indique, une façon de vous identifier qui tire parti de deux étapes distinctes. Pour être efficace, il faut que les deux procédés soient sécurisés et ne puissent pas être piratés de la même façon ou en même temps. Ainsi, deux mots de passe différents à saisir l’un à la suite de l’autre pour s’identifier n’offriraient pas d’avantage parce qu’ils présentent les mêmes faiblesses. Il y a trois techniques pour vous authentifier : ce que vous avez, ce que vous êtes et ce que vous savez.

 

2.1 Ce que vous avez

Vos appareils servent à la double authentification WordPress sécurisée
Votre téléphone peut servir à la double authentification WordPress sécurisée

 
Cette méthode, sans doute l’une des mieux adoptées actuellement, consiste à utiliser un appareil que vous possédez. Par exemple, vous recevez un message texte SMS ou une notification sur votre téléphone ou vous disposez d’une application qui génère un code à six chiffres. Étant donné que nous avons très souvent nos téléphones à portée de main, cette solution paraît la plus facile à mettre en place pour la majorité d’entre nous.

Ce procédé présente donc l’avantage d’être simple et facile. Cependant, le moyen peut être plus ou moins sécurisé. En effet, les messages SMS, qui ne sont pas cryptés, peuvent être interceptés relativement facilement. Par conséquent, leur sécurité dépend de nombreux facteurs, dont le service de téléphonie par lequel ils transitent.

Les codes à six chiffres générés par une application sont plus difficiles (mais pas impossibles) à pirater. C’est pourquoi, sur WordPress, ce système est sans doute le plus largement employé. Vous pouvez aussi recevoir un code par email dont la sécurité dépendra alors de votre moyen de connexion à votre boîte de réception et si les emails sont cryptés ou non.

Enfin, une technique de plus en plus utilisée, notamment par Google, est l’envoi d’un message à un autre appareil sur lequel vous êtes déjà connecté.e. Vous recevez alors une notification sur votre téléphone Android vous demandant de confirmer que c’est bien vous qui tentez de vous connecter à votre compte Google depuis un ordinateur.

 

2.2 Ce que vous êtes

Vos données biométriques peuvent être volées
Vos données biométriques peuvent être volées

 
Vous vous servez peut-être de cette méthode quotidiennement pour déverrouiller votre téléphone. Il s’agit de vous identifier grâce à des données biométriques ou des caractéristiques physiques qui, par définition, vous sont propres. Pensez, par exemple, à une empreinte digitale, votre ADN et même votre comportement.

Ces techniques présentent de nombreux avantages qui, à mon sens, sont tous invalidés par leur inconvénient principal. En effet, le fichier sur lequel se trouve votre empreinte digitale peut être volé et, par conséquent, cette dernière est compromise à vie. Vous ne pourrez pas la changer, à l’inverse d’un mot de passe, et si vous continuez de l’utiliser, le procédé ne peut plus être considéré comme sécurisé.

La sécurité du fichier informatique dépend de nombreux facteurs, mais bien souvent elle repose sur l’infrastructure et le sérieux de l’entreprise ou de l’institution qui recourt à ces données. Vous l’aurez peut-être deviné, mais des données biométriques ont déjà été volées par le passé, sans que personne ne s’en rende compte pendant des mois.

Imaginez un vol de données sur les serveurs qui conservent les informations des passeports ou cartes d’identité biométriques. Toutes ces données deviendraient inutilisables pour une authentification sécurisée. En toute logique, ce scénario finira par se produire suffisamment souvent pour que les données biométriques deviennent tout simplement obsolètes.

 

2.3 Ce que vous savez

Les mots de passe sont un exemple de ce que vous savez
Les mots de passe sont un exemple de ce que vous savez

 
Nous avons déjà abordé les mots de passe, mais les questions de sécurité constituent également quelque chose que vous savez ou dont vous avez la connaissance. Je ne reviens pas sur la faiblesse des mots de passe, mais sachez que les questions de sécurité peuvent, elles aussi, être compromises.

Par exemple, si un site vous demande de confirmer votre identité en répondant à une question personnelle, telle que le nom de jeune fille de votre mère ou grand-mère, le nom de votre premier animal de compagnie ou encore votre plat préféré, un pirate pourrait facilement trouver la réponse à ces questions en scrutant vos profils sur les réseaux sociaux ou les commentaires que vous laissez ici et là. C’est ce qu’on appelle l’ingénierie sociale et avec le nombre de données que nous partageons volontairement sur internet, elle a de beaux jours devant elle.

 

3. Quelle méthode de double authentification choisir ?

Actuellement, la double authentification par une application générant un code à six chiffres reste la plus sécurisée et sans doute la moins pénible à utiliser. Il existe de nombreuses applications qui génèrent des codes, les plus connues étant Google Authenticator, Authy, Duo, ou encore LastPass.

Certaines d’entre elles offrent une sauvegarde, d’autres pas, notamment Google Authenticator. Par conséquent, si vous perdez l’accès à votre appareil ou que votre téléphone est volé, vous perdrez également l’accès aux comptes sur lesquels la double authentification est activée.

Cela dit, il existe d’autres moyens de récupérer l’accès à vos comptes, même si votre application dispose d’une fonctionnalité de sauvegarde. La plupart des sites et applications sur lesquels vous configurez l’authentification en deux étapes vous proposeront de télécharger des codes de récupération à usage unique. En cas de perte ou de vol de votre appareil, vous pourrez employer ces codes. Il est donc recommandé de les imprimer et de les conserver en lieu sûr.

Notez que la double authentification, bien que renforçant la sécurité de votre site, présente l’inconvénient de devoir accomplir une étape supplémentaire, c’est le principe, avant de pouvoir accéder à votre site. Vous devrez donc choisir si vous forcez les utilisateurs à la configurer ou non. À l’avenir, nous disposerons sans doute de systèmes différents qui faciliteront l’usage de l’authentification à deux ou plusieurs facteurs.

 

4. Comment configurer la double authentification dans WordPress

Pour configurer la double authentification, il vous faudra installer une extension ou configurer votre extension de sécurité existante. En effet, WordPress ne possède pas une authentification en deux étapes par défaut.

Toutes les extensions de double authentification permettent de configurer les rôles d’utilisateur.rice tenus d’employer ce système. Je vous recommande chaudement de forcer tous les comptes administrateurs à l’utiliser, ceux-ci étant les plus sensibles.

 

4.1 WP 2FA : simple et efficace

WP2 FA est une des extensions WordPress qui permet une authentification à deux facteurs
WP2 FA est une des extensions WordPress qui permet une authentification à deux facteurs

 
Cette extension permet de configurer différents systèmes et dispose notamment d’une compatibilité avec plusieurs applications de génération de codes. Vous pouvez également exploiter la technique d’envoi d’un code par email, mais veillez à ce que votre installation WordPress expédie correctement les emails. Il est recommandé d’installer une extension supplémentaire, telle que WP Mail SMTP, pour assurer l’envoi effectif d’emails.

 

4.2 Wordfence : version complète ou version Login Security

Wordfence dispose d’une application plus légère pour la sécurité des connexions
Wordfence dispose d’une application plus légère pour la sécurité des connexions

 
Si vous utilisez déjà Wordfence, que je recommande comme extension de sécurité, elle dispose d’une protection complète des connexions à WordPress. Vous pouvez donc configurer une double authentification à l’aide d’une application de génération de codes et télécharger des codes de récupération.

Mais si vous ne souhaitez pas installer la version complète, Wordfence offre également une extension plus légère qui propose uniquement les fonctionnalités de protection des connexions. Vous pouvez donc l’activer en complément de votre extension de sécurité.

Mentionnons également les extensions suivantes qui sont recommandées par WordPress et que vous pouvez tester et installer si vous le souhaitez :
miniOrange
Two Factor
Two Factor Authentication

 

5. Conclusion

Vous l’aurez compris, la double authentification WordPress peut vous éviter de nombreux problèmes, même en choisissant les systèmes les moins sécurisés. J’espère vous avoir fait suffisamment peur pour que vous passiez à l’action en activant cette méthode pour renforcer un peu plus la sécurité de votre site WordPress.

Dites-moi dans les commentaires si vous utilisez déjà un procédé d’authentification en deux étapes et, si oui, lequel.

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Réservez votre audit SEO gratuit et recevez un rapport personnalisé sur la santé de votre site web