introduction
La sécurité est l’un des aspects les plus importants de l’exploitation d’un site WordPress. Beaucoup d’entre nous sont tentés de penser que les pirates informatiques ne s’ennuieront pas de nos sites Web, mais en réalité, les tentatives de connexion non autorisées font partie du fonctionnement d’un serveur sur l’Internet public.
Dans ce didacticiel, nous allons apprendre à ajouter une couche de sécurité supplémentaire au processus de connexion dans WordPress: * authentification à deux facteurs *. C’est l’un des développements les plus importants dans le domaine de la cybersécurité.
L’authentification à deux facteurs ou «2FA» comprend deux étapes lors de la connexion à un site ou à un système:
-
Votre nom d’utilisateur et mot de passe
-
Un code dépendant du temps généré aléatoirement (c’est-à-dire que le code expire après une durée déterminée) appelé * mot de passe à usage unique (OTP) *
Vous pouvez accéder à l’OTP de différentes manières:
-
SMS
-
Appel téléphonique
-
Email
-
Hors ligne, via une application mobile
Tandis que les systèmes à haut risque tels que les banques et les comptes de négociation utilisent la transmission par SMS pour les transactions sensibles, nous utiliserons le _ mode hors ligne_ de génération de l’OTP. L’utilisation d’une application mobile est gratuite et établit un équilibre optimal entre haute disponibilité, coût de mise en œuvre et facilité d’utilisation.
Buts
Une fois l’authentification à deux facteurs installée et activée, WordPress disposera d’une procédure de connexion plus sécurisée.
En plus de saisir votre nom d’utilisateur et votre mot de passe pour vous connecter, vous devrez également saisir un mot de passe généré par une application mobile. Cela signifie que même si vos informations d’identification WordPress sont compromises, un pirate informatique ne pourra pas se connecter à WordPress sans votre téléphone.
À la fin du didacticiel, nous aborderons également une technique de récupération sans faille en cas de perte de votre téléphone. Commençons!
Conditions préalables
Nous avons besoin d’une installation fonctionnelle de WordPress sur un droplet DigitalOcean. Bien que vous puissiez adapter ce tutoriel aux installations WordPress existantes, il a été spécifiquement testé avec:
-
Une gouttelette Ubuntu 14.04
-
Un utilisateur sudo
-
Une nouvelle installation de WordPress with Nginx, qui requiert également le lecteur à l’adresse https : //www.digitalocean.com/community/tutorials/how-to-install-linux-nginx-mysql-php-lemp-stack-on-ubuntu-14-04 [installer LEMP]
La propre WordPress image en 1 clic de DigitalOcean est une autre option comme point de départ.
-
Vous devez également avoir accès à un appareil mobile sous iOS ou Android sur lequel vous pouvez installer l’application mobile FreeOTP.
Étape 1 - Installez le plug-in Google Authenticator
Dans cette étape, nous installerons le plugin Google Authenticator pour votre site WordPress.
image: https: //assets.digitalocean.com/articles/wordpress_2fa/1.png [Installez et activez le plug-in Google Authenticator pour WordPress]
Le moyen le plus simple d’installer le plugin est d’utiliser le tableau de bord WordPress. Connectez-vous à votre tableau de bord WordPress maintenant.
Suivez les étapes mentionnées ci-dessous pour une installation en douceur:
-
Dans le tableau de bord, accédez à * Plugins> Ajouter un nouveau *
-
Dans le champ * Search *, tapez
+ google authentator -
Cela va charger quelques plugins qui correspondent au nom de la requête
-
Installez le plugin appelé * Google Authenticator * par * Henrik Schack *
-
Une fois l’installation terminée, sélectionnez le lien * Activer le plugin *
_ * Remarque: * S’il s’agit de la première installation d’un plug-in pour cette instance WordPress, vous devrez peut-être entrer vos informations d’identification SSH. Entrez votre nom d’utilisateur et votre mot de passe * utilisateur sudo * Linux (ou pour plus de sécurité, téléchargez une clé publique), puis sélectionnez l’option * SSH2 *. _
(Facultatif) Installer le plug-in manuellement
Alternativement, vous pouvez également télécharger le plugin manuellement et l’activer. Nous décrivons ces étapes ci-dessous.
Connectez-vous à votre Droplet DigitalOcean et accédez à votre répertoire + plugins +:
cd wp-content/plugins/_
* Remarque: * Dans ce tutoriel, nous suivons la configuration à partir de this tutoriel qui installe WordPress dans le répertoire ++. Si vous utilisez une configuration différente, veillez à entrer le bon répertoire dans lequel WordPress est installé.
_
Ensuite, nous téléchargeons le plugin à partir du référentiel WordPress:
wget https://downloads.wordpress.org/plugin/_ * Remarque: * Au moment de la rédaction de ce document, la dernière version du plug-in Google Authenticator est la version 0.47. Assurez-vous d’installer la plus récente version. _
Étape 2 - Téléchargez l’application FreeOTP
Dans cette étape, nous téléchargerons et installerons l’application OTP gratuite sur votre appareil mobile.
FreeOTP est une application à source ouverte qui prend en charge l’authentification à deux facteurs pour les systèmes dotés de protocoles de mot de passe à utilisation unique. En d’autres termes, c’est une alternative à Google Authenticator. Nous utiliserons cette application pour générer nos mots de passe à usage unique pour se connecter à notre site WordPress.
image: https: //assets.digitalocean.com/articles/wordpress_2fa/2.png [Application FreeOTP dans le Google Play Store]
FreeOTP est sponsorisé par RedHat et propose des applications pour Android et iOS. Voici des liens pour obtenir l’application et son projet officiel.
Étape 3 - Activer le plug-in Authenticator pour votre profil
Dans cette étape, nous allons activer le plugin WordPress pour le profil d’administrateur WordPress et le configurer pour qu’il fonctionne avec notre application FreeOTP.
Dans le tableau de bord WordPress, accédez à la page * Profil * située sous * Utilisateurs> Votre profil *. Recherchez la sous-section intitulée * Paramètres de Google Authenticator *.
image: https: //assets.digitalocean.com/articles/wordpress_2fa/3.png [Configuration du plug-in Google Authenticator]
Jetons un coup d’œil aux différentes options de configuration du plugin:
-
* Actif: * Cochez cette case pour activer le plugin
-
* Relaxed: * Ceci augmente la limite de temps de 10 secondes à 4 minutes pour entrer dans l’OTP. Activez cette option si vous ne parvenez pas à copier l’OTP dans le délai imparti.
-
* Description: * Entrez un nom (de préférence le nom de votre blog). Cette valeur sera affichée dans l’application FreeOTP sur votre appareil mobile.
-
* Afficher / masquer le code QR: * Cliquez sur ce bouton pour afficher le code QR
image: https: //assets.digitalocean.com/articles/wordpress_2fa/4.png [scannez le code QR dans l’application freeotp]
Connecter l’application FreeOTP
Lancez l’application FreeOTP sur votre téléphone ou votre tablette.
Cliquez sur la petite icône de code QR dans l’application. Tenez votre téléphone pour scanner le code QR de WordPress qui devrait maintenant apparaître sur l’écran de votre ordinateur.
Vous devriez immédiatement voir une entrée dans FreeOTP désignée par * WordPress * avec le texte que vous avez entré dans la * Description * en dessous. Cela signifie que nous avons lié avec succès notre site WordPress à l’application FreeOTP.
-
Enregistrer les modifications: * Enfin, nous devons enregistrer les modifications apportées jusqu’à présent. Dans WordPress, faites défiler vers le bas de la page et cliquez sur le bouton * Mettre à jour le profil *.
Étape 4 - Test de connexion
Dans cette étape, nous vérifierons que l’authentification à deux facteurs est activée.
Déconnectez-vous de votre site WordPress et essayez de vous reconnecter. Vous devriez être accueilli avec le même écran de connexion, plus une zone de saisie * Code Google Authenticator *.
image: https: //assets.digitalocean.com/articles/wordpress_2fa/5.png [Formulaire de connexion WordPress activé 2fa]
Lancez l’application FreeOTP sur votre appareil mobile. Cliquez sur le bouton WordPress pour générer un nouveau mot de passe à usage unique.
Tapez cette valeur dans la zone de saisie. Vous devriez pouvoir vous connecter à WordPress.
Activer l’authentification à deux facteurs pour d’autres utilisateurs
Vous pouvez (et devriez) activer l’authentification à deux facteurs pour les autres utilisateurs ayant accès à votre installation WordPress. Assurez-vous qu’ils sont pratiques avec FreeOTP installé sur leurs propres appareils mobiles lors de la configuration!
Récupération du compte
Si vous perdiez votre téléphone, votre site WordPress serait bloqué. C’est un inconvénient majeur de la mise en œuvre de l’authentification à deux facteurs. Heureusement, nous avons une * solution très simple * pour une telle situation.
Tout ce que vous avez à faire est de désactiver le plug-in * Google Authenticator *.
Lancez le shell de votre DigitalOcean Droplet et accédez au répertoire + plugins +.
cd wp-content/plugins/Renommez le dossier + google-authenticator en quelque chose d’autre.
mv 'google-authenticator'Ceci désactive le plugin car WordPress ne pourra pas trouver le répertoire de travail du plugin.
Ensuite, connectez-vous à votre compte WordPress comme d’habitude. Cette fois, il ne demandera pas le jeton supplémentaire, mais simplement votre mot de passe habituel.
Une fois que vous avez accès au tableau de bord administrateur WordPress et que vous avez récupéré votre ancien appareil ou obtenu un nouvel appareil sur lequel FreeOTP est installé, vous devez activer le gain du plug-in. Depuis le shell de votre Droplet, utilisez la commande suivante:
+ mv 'google-authentator' +
Si vous utilisez votre ancien appareil, cela devrait suffire. Vous pouvez suivre * l’étape 4 * à nouveau pour tester le processus de connexion. Ou vous devrez peut-être accéder à * WP Dashboard> Plugins> Plugins installés * et réactiver le plugin Google Authenticator.
Accédez à votre profil utilisateur sous * Utilisateurs> Votre profil * et recherchez la sous-section * Paramètres de Google Authenticator *.
Si vous utilisez un nouveau périphérique cette fois-ci, cliquez sur * Créer un nouveau secret *. Un nouveau code QR est généré et l’ancien est annulé. Scannez le nouveau code QR sur votre nouveau appareil. C’est la même chose que nous avons faite lorsque nous avons activé l’authentification à deux facteurs et connecté l’application FreeOTP comme illustré à la * Étape 3 *.
Vous pouvez également désactiver l’authentification à deux facteurs jusqu’à ce que vous trouviez votre appareil. Une fois que vous avez sélectionné l’option appropriée, veillez à enregistrer les modifications en cliquant sur le bouton * Mettre à jour le profil *.
Conclusion
L’intégration de l’authentification à deux facteurs est un excellent moyen d’améliorer la sécurité de votre site WordPress. Maintenant, même si un attaquant obtient les informations d’identité de votre compte, il ne pourra plus vous connecter à votre compte sans le code OTP! Et la technique de récupération après sinistre est utile lorsque vous ne trouvez pas votre téléphone.
Quelles autres mesures de sécurité les administrateurs WordPress doivent-ils prendre? Partagez votre opinion dans les commentaires ci-dessous!