Comment ajouter l’authentification multifacteurs à WordPress ?
Sommaire
I. Présentation
Dans ce tutoriel, nous allons voir comment ajouter l'authentification multifacteurs (MFA) à WordPress pour apporter une couche de sécurité supplémentaire. Le plug-in gratuit WP 2FA sera utilisé.
Pour renforcer la sécurité du formulaire de connexion WordPress, il y a plusieurs solutions et la bonne nouvelle c'est qu'elles sont cumulables. D'une part, vous pouvez mettre en place un plug-in pour bannir les adresses IP qui effectue des attaques par brute force, et d'autre part, vous pouvez mettre en place l'authentification multifacteurs sur votre site WordPress. De cette façon, il faudra saisir un code pour s'authentifier, en plus de l'habituel mot de passe.
Nous allons voir comment installer et configurer l'extension WP 2FA. Elle est totalement gratuite et va permettre de :
- Définir un deuxième facteur d'authentification, avec un code reçu par e-mail ou généré sur une application (Microsoft Authenticator, Google Authenticator, FreeOTP, etc.)
- Forcer l'activation du MFA sur tous les utilisateurs, uniquement sur certains utilisateurs ou certains rôles, ou laisser libre choix
- Générer des codes de secours pour chaque utilisateur
Page du plug-in : WP 2FA
II. Authentification multifacteurs WordPress (MFA)
Je vous invite à vous connecter sur l'interface d'administration de WordPress, et sur la gauche, dans le menu "Extensions" cliquez sur "Ajouter. Ensuite, recherchez "WP 2FA" via la zone de recherche en haut à droite.
L'extension "WP 2FA - Two-factor authentication for WordPress" doit apparaître. Cliquez sur le bouton "Installer maintenant".
Dès lors que l'installation est réalisée, cliquez sur le bouton "Activer".
Un assistant de configuration s'exécute. Je vous invite à le suivre afin de configurer l'extension étape par étape. Cliquez sur le bouton "Let's get started!".
La première étape consiste à définir la ou les méthodes que vous souhaitez autoriser pour le second facteur. Voici les deux options possibles :
- One-time code via 2FA App (TOTP) : activer ou désactiver l'utilisation des applications comme Google Authenticator, FreeOTP, Microsft Authenticator, etc... Je vous conseille d'activer cette option.
- One-time code via e-mail (HOTP) : activer ou désactiver l'envoi d'un code de sécurité par e-mail en guise de second facteur. Je préfère désactiver cette option pour prioriser l'utilisation d'une application 2FA.
En complément, vous pouvez activer ou non la création de code de secours via l'option "Backup codes". Un code de secours peut être utilisé en remplacement du code généré par l'application 2FA par exemple.
Cliquez sur "Continue setup" pour passer à l'étape suivante.
Désormais, il faut choisir à qui vous souhaitez imposer l'authentification multifacteurs. Différentes options possibles :
- All users : tous les utilisateurs de votre site doivent utiliser le MFA
- Only for specific users and roles : forcer l'utilisation du MFA pour certains rôles et/ou certains utilisateurs
- Do not enforce on any users : le MFA ne sera pas forcé, donc vous proposez l'option à vos utilisateurs, mais ils peuvent l'activer ou non
Dans l'exemple ci-dessous, je force le MFA uniquement pour les utilisateurs "Administrateurs" du site WordPress. C'est le minimum. Cliquez sur "Continue setup" une fois que le choix est fait.
Désormais, il faut choisir si l'on veut imposer la configuration du MFA dès maintenant aux utilisateurs (selon le choix de l'étape précédente) ou si on autorise une période de grâce (Give users a grace period to configure 2FA). Cliquez sur "All done".
Le temps que l'on y est, on va configurer le MFA sur le compte actuellement utilisé pour configurer le plug-in. Pour cela, cliquez sur "Configure 2FA now".
Prenez votre smartphone et ouvrez votre application 2FA. Si vous n'en avez pas, vous pouvez regarder la documentation officielle de WP 2FA pour en choisir une. Vous avez FreeOTP qui est très bien et publié par RedHat, ou sinon Google Authenticator et Microsoft Authenticator.
Pour ma part j'utilise FreeOTP (et l'application n'autorise par les copies d'écran). Il suffit d'appuyer sur le bouton en haut à droite de l'application pour scanner un nouveau code QR, et de scanner le code QR qui s'affiche sur l'interface WordPress.
Ensuite, depuis l'application, on peut générer un code et le saisir sur l'interface de WordPress pour finaliser la configuration du MFA pour mon utilisateur. Une fois que c'est fait, cliquez sur "Validate & Save Configuration".
Pour récupérer vos codes de secours dès maintenant, cliquez sur "Generate backup codes".
La liste des codes s'affiche à l'écran, pensez à la télécharger ou à l'imprimer.
La prochaine fois que je vais m'authentifier sur mon site WordPress avec cet utilisateur, il faudra saisir le mot de passe et ensuite générer un code avec l'application FreeOTP.
Voilà, l'authentification multifacteurs est en place sur votre site WordPress et votre compte actuel est déjà protégé !
III. Configuration du plugin WP 2FA
À tout moment, vous pouvez éditer la configuration du plugin WP 2FA, notamment pour activer ou désactiver une méthode d'authentification, mais aussi pour personnaliser le contenu de l'e-mail utilisé pour envoyer les codes (onglet "Email Settings & Templates").
Chaque utilisateur peut reconfigurer le MFA à partir de son profil : Modifier mon profil > Change 2FA Settings. Cela peut être utile pour changer d'application 2FA ou en cas de changement de smartphone, par exemple.
Dans le cas où vous n'avez plus de code de secours et que vous n'arrivez plus à vous authentifier avec votre application, il y a une solution : vous devez désactiver l'extension WP 2FA. Pour cela, accédez à votre serveur Web en ligne de commande et renommez le dossier de l'extension afin de la désactiver. Ainsi, vous allez pouvoir vous connecter uniquement avec le mot de passe le temps de remettre tout en ordre.
Super article comme d’habitude 😉
Petite question : une fois activé, comment cela se passe pour les utilisateurs membres du groupe Administrateurs lorsqu’ils vont se connecter la première fois après activation du 2FA ?
Hello Arnaud,
Lors de la prochaine connexion, il y a l’assistant MFA qui va s’afficher avec le QR code à scanner pour effectuer la configuration (comme lors de la configuration initiale avec l’utilisateur connecté). Si l’utilisateur n’a pas envie de le faire, il est toujours possible de fermer l’assistant mais ça reviendra à chaque fois jusqu’à ce que la configuration soit effectuée.
Bonne soirée
Florian