La sécurité du site Web n’est pas une seule chose, c’est une série de couches. Tout comme les châteaux d’autrefois étaient construits sous forme de couches autour du donjon, votre site Web devrait avoir des couches construites autour de votre bien le plus précieux, accédez à la section d’administration de votre site.

Dans les articles et podcasts précédents, nous avons discuté des anneaux extérieurs de votre défense:

  • Des services comme Cloudflare
  • Certificats sécurisés
  • Changer le nom d’administrateur par défaut
  • Utiliser des plugins pour renforcer les mots de passe de vos utilisateurs

Tous ces éléments sont importants, mais vous pouvez prendre des mesures supplémentaires plus approfondies qui rendront l’accès à votre site beaucoup plus difficile pour les mauvais acteurs. Étapes que je recommande vivement, en particulier si les informations personnelles de votre utilisateur vous ont été confiées.

L’une de ces étapes est «Authentification à deux facteurs», ou 2FA.

2FA n’est pas un nouveau concept de sécurité. Pendant des décennies, les institutions financières se sont appuyées sur les «Fobs» (petits appareils que vous pouvez attacher à votre trousseau de clés qui ont un écran et donnent un numéro en constante évolution) comme facteur supplémentaire de connexion.

Le concept de sécurité global est «quelque chose que vous savez, quelque chose que vous avez, quelque chose que vous êtes». Dans 2FA, nous en choisissons deux. Lorsque vous vous connectez à un site Web sans 2FA, vous n’utilisez que le «quelque chose que vous savez» – le login et le mot de passe. Quelle que soit la force que vous pensez de ceux-ci, il y a une chance qu’ils puissent être compromis. 2FA ajoute une couche en plus de cela, le «quelque chose que vous avez».

Ces jours-ci, au lieu d’avoir à émettre un fob à chaque utilisateur administrateur, nous avons des smartphones et des logiciels qui peuvent remplacer les fobs. Si vous avez un smartphone moderne (fabriqué au cours des 5 dernières années), il peut exécuter une application qui fonctionne comme le «quelque chose que vous avez».

L’application la plus couramment utilisée – bien qu’elle ne soit pas la seule – pour 2FA est «Google Authenticator». C’est le plus courant car il est gratuit. Avant de vous lancer dans la 2FA, assurez-vous que Google Authenticator est disponible pour votre téléphone.

Maintenant que vous savez que votre téléphone peut faire son travail, nous devons nous pencher sur WordPress. Comme pour les applications d’authentification, il existe plusieurs plugins WordPress disponibles qui peuvent faire le travail. Si vous utilisez déjà un plugin comme WordFence, vous disposez de tout ce dont vous avez besoin pour configurer 2FA. Sinon, vous devrez sélectionner l’un des plugins à utiliser. Bien que je n’ai pas l’habitude de recommander des plugins, si vous n’avez pas déjà installé un plugin qui propose 2FA, j’ai utilisé WP 2FA dans le passé et il fait le travail.

Installez et configurez votre plugin. À un moment donné, vous devez décider quels rôles d’utilisateur doivent implémenter 2FA pour vous connecter. Soyez prudent avec cela. 2FA ajoute de la friction à votre site. La friction est une mauvaise chose. Pour la plupart, sauf si vous avez de bonnes raisons de faire autrement, je recommande de limiter 2FA aux administrateurs. Si vous en avez beaucoup, vous pouvez également ajouter des éditeurs. Je ne vous recommande pas d’exiger de votre client moyen qu’il l’utilise, sauf si vous stockez des données sensibles à leur sujet.

2FA ne remplace pas le login et le mot de passe normaux que vous devez entrer dans WordPress. C’est le «quelque chose que vous savez» et c’est toujours important. Il augmente cependant le processus de connexion en ajoutant un troisième champ.

Une fois que votre utilisateur clique sur le bouton de connexion, il sera dirigé vers un deuxième écran de connexion qui lui demandera son «jeton». S’ils ont configuré correctement leur application, ils ouvriront l’application, y trouveront votre site Web et saisiront le numéro à l’écran. Ce nombre change toutes les 30 secondes environ. Le numéro est appelé «mot de passe à usage unique basé sur le temps» (TOTP). Votre téléphone et le plugin que vous utilisez savent tous les deux comment le calculer, mais personne d’autre ne le fait. Lorsqu’ils saisissent le jeton et appuient sur le bouton, le plugin calcule le TOTP approprié, puis vérifie qu’il correspond à ce que l’utilisateur a tapé. Sur cette base, il autorisera ou refusera la connexion.

C’est tout. La configuration et le fonctionnement du plugin devraient prendre environ 10 minutes et la connexion de votre compte administrateur. C’est tout ce dont vous avez besoin pour sécuriser votre compte à un point tel qu’à moins que quelqu’un ne vole votre téléphone, il ne puisse pas se connecter, même s’il dispose de votre identifiant et de votre mot de passe.

Un dernier mot, certains systèmes 2FA ne sont pas basés sur des applications mais sur des messages texte envoyés sur votre téléphone avec les jetons. Ceux-ci ne sont pas sécurisés. Évitez ces systèmes et utilisez ceux qui ont une application.