7 meilleurs plugins d'authentification à deux facteurs WordPress : connexion sécurisée

Il est facile d'oublier l'importance d'utiliser des mots de passe forts et sécurisés pour vos sites Web et applications. À une époque de violations de données majeures, où vérifier si vous avez été piraté est devenu une nécessité, personne ne peut prétendre qu'il est exempt de risques de sécurité potentiellement importants.

Plus récemment, l'une des plus grandes plateformes sociales, Quota, a été compromise par des pirates malveillants. Le résultat? Plus de 100 millions d'utilisateurs ont vu leurs informations personnelles exposées. Les noms, e-mails, mots de passe (cryptés) et autres informations sensibles ont été consultés par une partie extérieure à Quora.

Ce type d'attaque peut sembler n'avoir rien à voir avec vous personnellement, mais si vous vous êtes déjà inscrit sur Quora, vous êtes également exposé au risque de voir vos autres comptes compromis.

Adobe, LinkedIn et, plus récemment, des pirates ont trouvé un moyen d'exploiter l'un des plugins WordPress GDPR les plus populaires.

C'est là que 2FA (authentification à deux facteurs) entre en jeu pour WordPress. Contrairement aux pages traditionnelles protégées par mot de passe, 2FA introduit une deuxième couche de vérification d'identité qui peut protéger les sites Web WordPress.

Dans cet article, nous présentons les sept meilleurs plugins d'authentification à deux facteurs WordPress pour protéger votre site.

1. Deux facteurs
2. WP 2FA
3. Authentification à deux facteurs
4. miniOrange 2FA
5. Authentification à deux facteurs Duo
6. Rublon
7. SecSign

Qu'est-ce que l'authentification à deux facteurs WordPress (2FA) ?

Avez-vous déjà oublié votre mot de passe sur un site comme Google ou Amazon ? Lorsque vous avez essayé de le réinitialiser, il vous a été demandé de vérifier votre identité à l'aide d'une phrase mémorable ou en vous faisant envoyer un code PIN sur votre téléphone portable. Il s'agit de l'implémentation de base de la vérification à deux facteurs.

Basique dans le sens où vous n'êtes tenu de vérifier votre identité qu'une fois que vous avez perdu l'accès à votre compte.

Une approche plus robuste et sécurisée consiste à garantir que chaque tentative de connexion est protégée par une vérification à deux facteurs.

Les méthodes les plus populaires utilisées pour l'authentification à deux facteurs incluent les adresses e-mail externes, l'utilisation d'une application de téléphonie mobile comme Google Authenticator ou Authy pour accéder à un code de sécurité (TOTP ou HOTP), les jetons matériels (par exemple YubiKey) qui utilisent des protocoles comme FIDO, SMS ou appels téléphoniques et phrases mémorables en plus du mot de passe.

Heureusement, il existe un grand nombre de plugins WordPress disponibles qui fournissent des solutions d'authentification à deux facteurs. Certains plugins utilisent des services comme Google Authentication ou Authy, tandis que d'autres implémentent des méthodes complètement différentes, telles que la vérification des e-mails et les notifications push personnalisées.

Sept meilleurs plugins d'authentification à deux facteurs WordPress

1. Deux facteurs

Two-Factor est un plugin d'authentification à deux facteurs 100% gratuit qui provient d'un certain nombre de principaux contributeurs WordPress bien connus.

En plus d'être gratuit, sa caractéristique principale est qu'il prend en charge un certain nombre de méthodes d'authentification différentes, notamment :

• Codes de messagerie
• TOTP - fonctionne avec n'importe quelle application d'authentification telle que Google Authenticator
• FIDO Universal 2nd Factor (U2F) - permet aux utilisateurs d'utiliser des clés de sécurité physiques telles que YubiKey
• Codes de secours

Les principaux inconvénients du plugin sont les suivants :

1. Bien qu'il soit idéal pour sécuriser votre propre compte, il n'offre pas autant d'options pour appliquer l'authentification à deux facteurs pour différents types d'utilisateurs sur votre site.
2. Il n'offre aucune intégration pour l'authentification basée sur le texte.

Dans l'ensemble, si vous souhaitez simplement sécuriser votre propre compte WordPress (plus peut-être les comptes de quelques contributeurs), cette option 100 % gratuite est un excellent point de départ.

2. WP 2FA

WP 2FA est un plugin d'authentification à deux facteurs WordPress populaire de WP White Security, la même équipe derrière un certain nombre d'outils de sécurité bien connus. Plus particulièrement, le plugin WP Activity Log.

WP 2FA vous permet de configurer une authentification à deux facteurs via une variété de méthodes, dans ses versions gratuites et payantes.

La version gratuite prend en charge toutes les applications d'authentification populaires, par exemple Google Authenticator ou Authy. La version payante offre une intégration Authy plus avancée qui prend en charge deux facteurs via SMS, notification push, WhatsApp et appel entrant.

Il prend également en charge les codes de sauvegarde à usage unique au cas où les utilisateurs perdraient l'accès à leur méthode.

Vous pouvez également configurer des politiques personnalisables à deux facteurs, ce qui est un grand domaine dans lequel il excelle par rapport au plugin précédent. Par exemple, vous pouvez forcer certains rôles d'utilisateur à utiliser deux facteurs tout en le rendant facultatif pour d'autres.

Vous pouvez également accéder à d'autres fonctionnalités utiles telles que les appareils de confiance, l'intégration des utilisateurs avec une configuration à deux facteurs, etc.

Il existe une version gratuite fonctionnelle sur WordPress.org et la version payante commence à seulement 29 $.

3. Authentification à deux facteurs

Two Factor Authentication est un plugin freemium des mêmes développeurs du plugin de sauvegarde populaire UpdraftPlus.

Il prend en charge les méthodes TOTP et HOTP, ce qui vous permet d'utiliser n'importe quelle application d'authentification telle que Google Authenticator ou Authy.

La version premium ajoute également des codes de sauvegarde d'urgence au cas où l'utilisateur perdrait l'accès à l'appareil.

L'un des domaines dans lesquels ce plugin excelle par rapport au plugin Two-Factor ci-dessus est lorsqu'il s'agit de mettre en place des politiques et de gérer différents types d'utilisateurs. Voici quelques exemples:

• Activer/désactiver deux facteurs pour différents rôles d'utilisateur. Par exemple, exigez-le pour les administrateurs mais pas pour les abonnés.
• Activer/désactiver deux facteurs pour des rôles d'utilisateur spécifiques.
• Gérez le double facteur des autres utilisateurs à partir de votre compte administrateur.
• Autoriser les appareils de confiance afin que les utilisateurs n'aient pas besoin de vérifier le même appareil pendant une certaine période (par exemple, 30 jours).

Il possède également d'autres fonctionnalités intéressantes, telles qu'une option permettant aux utilisateurs de gérer deux facteurs à partir de l'interface.

Cependant, il est un peu limité dans ses méthodes à deux facteurs - il n'y a pas d'option pour utiliser des clés matérielles, des e-mails ou des appels SMS/téléphoniques.

Il existe une version gratuite fonctionnelle sur WordPress.org et la version payante commence à seulement ~ 24 $.

4. miniOrange 2FA

Solutions d'authentification transparente miniOrange pour protéger l'exposition des données sensibles. Le plugin WordPress de la société est conçu pour fournir une intégration facile avec le service Google Authenticator. Néanmoins, vous pouvez utiliser des méthodes d'authentification supplémentaires telles que les codes QR scannables, les notifications push, les jetons logiciels et les questions de sécurité.

Lors de l'activation du plugin, vous pouvez vous diriger vers le tableau de bord miniOrange et commencer à configurer votre méthode préférée de vérification d'authentification. La conception intuitive de l'interface facilite la sélection rapide d'une solution qui vous convient.

Il est important de noter que miniOrange vous oblige à installer leur application mobile si vous souhaitez utiliser des techniques de vérification plus robustes comme les notifications push et les codes QR.

La version gratuite limite 2FA à un seul utilisateur par site. Si vous souhaitez activer 2FA pour plusieurs utilisateurs, vous devrez envisager une option payante. L'avantage d'utiliser la version premium est que vous pouvez activer des méthodes d'authentification supplémentaires. Plus précisément, la vérification par SMS et e-mail.

Si vous exploitez un blog plus petit et que vous êtes le seul administrateur actif, la version gratuite devrait être plus que suffisante pour assurer une protection adéquate de la sécurité de votre site.

5. Authentification à deux facteurs Duo

Duo est un plugin "2FA en tant que service" robuste pour aider à protéger la sécurité de votre compte WordPress. Le processus d'intégration simple ne prend que quelques minutes à configurer.

Une fois que vous avez terminé de configurer le plugin, une autre couche de sécurité est ajoutée à votre site WordPress.

Comme vous pouvez le voir ci-dessus, une fois que les utilisateurs se sont connectés à l'aide de leurs informations d'identification WordPress par défaut, il leur sera demandé de vérifier leur identité à l'aide de l'une des méthodes d'authentification Duo que vous avez choisies.

La liste complète des méthodes d'authentification fournies par Duo comprend :

• Accès à la connexion en un clic à l'aide de l'application Duo, ce qui permet de prouver rapidement et facilement votre identité.
• Code d'accès personnalisé généré à partir de l'application. Fonctionne également en mode hors ligne.
• Un mot de passe personnalisé envoyé à votre numéro de téléphone par SMS. Encore une fois, idéal lorsque vous n'avez pas accès à Internet.
• Rappel simple vers les numéros de téléphone fixe et mobile.

Si vous voulez avoir l'esprit tranquille en ce qui concerne la sécurité de votre site WordPress (en plus d'avoir une sauvegarde), alors Duo est l'un des choix les plus conviviaux.

6. Rublon

C'est un fait bien connu que les pirates essaient toujours de nouvelles méthodes et techniques pour pénétrer dans les sites. Et si vous gérez des informations sensibles, il n'y a aucune excuse pour éviter d'aller plus loin afin d'assurer une protection au niveau de l'industrie.

C'est le principe de Rublon, une solution d'authentification à deux facteurs avancée et sophistiquée. Vous pouvez configurer de nombreuses méthodes de vérification, comme l'envoi d'un lien à votre adresse e-mail pour confirmation. Rublon enregistrera les informations de votre appareil et vous permettra de vous connecter en utilisant uniquement un mot de passe.

De plus, vous pouvez utiliser l'application Rublon pour transporter la sécurité de votre site avec vous où que vous alliez. Connectez-vous en utilisant votre nom d'utilisateur/mot de passe par défaut et vérifiez votre identité en scannant le code QR à l'aide de votre téléphone.

La meilleure partie est que vous pouvez installer ce plugin et l'oublier. Pas de courbes d'apprentissage ardues ni de fonctionnalités complexes, juste une simple sécurité 2FA pour les sites WordPress.

7. SecSign

SecSign fournit une expérience d'authentification 2FA universelle basée sur le mobile pour les sites WordPress. Le plugin utilise des méthodes de cryptage de pointe pour assurer une protection contre la force brute.

De plus, les clés privées générées par SecSign ne sont jamais connectées à un serveur externe. Au lieu de cela, les clés sont créées directement par l'application mobile et vous êtes la seule personne à les voir.

La principale différence entre ce plugin et les autres plugins de ce tour d'horizon est que SecSign utilise sa plate-forme d'identification personnelle : SecSign ID. Cela signifie que vous n'utiliserez pas du tout vos identifiants WordPress. Au lieu de cela, vous pouvez utiliser le portail SecSign pour générer des noms d'identification uniques pour chacun de vos utilisateurs.

En conséquence, vous pouvez tirer parti de méthodes de vérification telles que les empreintes digitales (pour les utilisateurs Apple) et de techniques moins complexes telles que la sélection d'images personnalisées.

Quel plugin d'authentification à deux facteurs devriez-vous utiliser ?

Choisir le meilleur plugin d'authentification à deux facteurs WordPress dépend vraiment de deux choses principales :

1. Les méthodes d'authentification à deux facteurs que vous souhaitez utiliser. Par exemple, les clés FIDO physiques par rapport aux applications pour smartphone TOTP.
2. Quelle est la flexibilité dont vous avez besoin pour appliquer l'authentification à deux facteurs sur différents types d'utilisateurs.

Bien sûr, votre budget peut également entrer en jeu.

Si vous souhaitez simplement protéger votre propre compte WordPress, le plugin Two-Factor est un excellent point de départ car il prend en charge une gamme de méthodes différentes et est facile à utiliser.

D'un autre côté, vous voudrez peut-être envisager WP 2FA ou l'authentification à deux facteurs si vous correspondez à une ou plusieurs des situations suivantes :

1. Vous souhaitez appliquer une authentification à deux facteurs pour les autres utilisateurs de votre site, notamment en ayant peut-être des règles différentes pour différents types d'utilisateurs. Par exemple, vous pouvez exiger deux facteurs pour les rôles d'utilisateur d'éditeur, mais pas pour les rôles d'utilisateur d'abonné.
2. Vous souhaitez utiliser les SMS ou les appels téléphoniques comme méthode d'authentification.

WP 2FA peut gérer ces deux choses, ce qui en fait une excellente option polyvalente. L'authentification à deux facteurs permet de configurer des politiques pour différents types d'utilisateurs, mais elle ne prend pas en charge les SMS ou les appels téléphoniques en tant que méthode à deux facteurs.

Emballer

Vous ne pouvez pas mettre un prix sur la sécurité des données. L'exposition aux attaques peut nuire à l'identité de votre marque, diminuer la confiance que les utilisateurs ont dans vos produits ou services, et causer des maux de tête et une perte de temps lorsque votre site est piraté. Bien qu'une sécurité à 100 % ne puisse être garantie, l'authentification à deux facteurs est l'une des meilleures techniques disponibles pour empêcher l'accès non autorisé au site.

Les plugins que nous avons explorés dans cet article sont incroyablement rapides à installer et faciles à configurer. Même si vous n'aimez pas l'idée d'utiliser une application mobile, il est préférable d'utiliser votre téléphone pour vérifier l'accès à votre site ou d'avoir un code unique stocké dans un endroit sûr, plutôt que de vous fier uniquement à un seul mot de passe.

Pour en savoir plus sur les meilleures pratiques de sécurité, ne manquez pas 14 façons de sécuriser votre site WordPress - étape par étape et 10 plugins pour renforcer la sécurité de WordPress.