Meilleurs plugins WordPress pour l'authentification à deux facteurs

English version: Best WordPress Plugins for Two-Factor Authentication

Se souvenir de ses identifiants et mots de passe pour chaque site web peut s'avérer fastidieux. Même en utilisant un gestionnaire de mots de passe, la sécurité n'est jamais totalement garantie. Par exemple, votre mot de passe peut être volé lorsque vous vous connectez à des réseaux non sécurisés, comme les réseaux Wi-Fi publics.

Si vous avez déjà eu de mauvaises expériences à ce sujet, vous comprenez sans doute l'importance de sécuriser au mieux vos identifiants et mots de passe pour tous vos comptes. Cela concerne quasiment tout. Vous ne voulez pas que votre messagerie, vos réseaux sociaux, vos sites web et surtout vos comptes bancaires soient piratés. Un tel piratage pourrait ruiner votre réputation en ligne et vous causer de sérieux problèmes.

De même, si vous gérez plusieurs sites web et travaillez constamment en ligne, il est indispensable d'utiliser un outil qui vous permette de les gérer efficacement. Si vous administrez un site WordPress pour vous-même ou pour un client, vous devrez trouver un moyen de le protéger correctement contre les pirates informatiques et autres menaces potentielles. Il est donc judicieux de mettre en place une couche de protection supplémentaire pour vos comptes d'administrateur.

L'authentification à deux facteurs vous permet de protéger vos comptes WordPress grâce à une extension dédiée. Vous pourrez ainsi accéder à l'interface d'administration WordPress depuis votre téléphone mobile et, même si vos identifiants sont connus de tous, personne ne pourra pirater votre site web.

Bien que WP Cerber Security dispose d'une fonctionnalité avancée d'authentification à deux facteurs , examinons de plus près quelques plugins WordPress d'authentification à deux facteurs gratuits et payants.

Module Google Authenticator

Il ne fait aucun doute que Google Authenticator est l'un des plugins d'authentification à deux facteurs les plus populaires actuellement disponibles. Attention, il ne faut pas confondre Google Authenticator avec une application mobile, dont le plugin tire son nom.

Si vous possédez un smartphone, cette extension vous permettra de sécuriser votre site WordPress de la manière la plus simple possible. Vous pouvez sécuriser votre site web à l'aide de l'application mobile Google Authenticator pour Android, iPhone et Blackberry.

L'authentification à deux facteurs peut être activée pour chaque utilisateur. Vous pouvez l'activer pour votre compte administrateur, mais vous connecter normalement avec les comptes moins privilégiés.

Lien du plugin : https://wordpress.org/plugins/google-authenticator/

• Avantages : Plugin gratuit et application mobile gratuite
• Inconvénients : Nécessite un smartphone connecté à Internet et l’installation de l’application mobile ; configuration manuelle du plugin pour chaque utilisateur ; absence de support.

Google Authenticator for your WordPress blog must be configured per user base on a user profile page

Comment utiliser le plugin Google Authenticator

Si vous souhaitez utiliser Google Authenticator sur votre site WordPress, il vous suffit d'installer et d'activer l'extension. Pour accéder à ses paramètres, rendez-vous dans la section « Utilisateur », puis « Votre profil ». Vous y trouverez une option permettant de définir une clé secrète ou un code QR. Une fois la clé ou le code configuré, téléchargez l'application gratuite Google Authenticator sur votre téléphone, puis saisissez la clé ou le code QR. Vous pourrez ensuite lier l'application à votre site web.

Une fois la configuration terminée, à chaque connexion, vous devrez ouvrir l'application et saisir le mot de passe fourni dans le délai imparti. Ainsi, vous sécuriserez au mieux votre site web.

Module d'authentification à deux facteurs Duo

L'authentification à deux facteurs Duo est une autre excellente extension à découvrir. Elle ajoute une couche de vérification supplémentaire à votre site WordPress grâce à plusieurs méthodes. Vous pouvez utiliser votre smartphone pour sécuriser votre site web et vous serez le seul à y accéder grâce à cet outil performant. Il vous suffit d'installer l'extension Duo et de créer un compte gratuit sur le site web de Duo : https://duo.com . L'application mobile Duo (en option) est compatible avec Apple iOS, Google Android, BlackBerry, Palm, Windows Phone 7, Windows Mobile 8.1 et 10, ainsi que J2ME/Symbian.

Le service Duo propose plusieurs méthodes d'authentification à deux facteurs pour votre WordPress :

1. Authentification en un clic grâce à l'application mobile Duo (notre méthode d'authentification la plus rapide et la plus simple)
2. Codes d'accès à usage unique générés par l'application mobile de Duo (fonctionne même sans couverture cellulaire)
3. Codes d'accès à usage unique envoyés sur n'importe quel téléphone compatible SMS (fonctionne même sans couverture réseau).
4. Rappel téléphonique sur n'importe quel téléphone (mobile ou fixe !)
5. Codes d'accès à usage unique générés par un jeton matériel conforme à la norme OATH (pour les nostalgiques).

Lien du plugin : https://wordpress.org/plugins/duo-wordpress/

• Avantages : L’authentification à deux facteurs est possible pour certains rôles. Envoi optionnel de codes de vérification par SMS. Extension et application mobile gratuites.
• Inconvénients : Solution payante si vous utilisez le plugin pour plus de 10 utilisateurs sur vos sites web.

Duo Two-Factor Authentication plugin settings

Comment utiliser le plugin d'authentification à deux facteurs Duo

Tout d'abord, vous devrez installer et activer l'extension. Ensuite, vous devrez télécharger l'application mobile, disponible ici : https://duo.com/product/trusted-users/two-factor-authentication/duo-mobile . Puis, créez un compte sur le site web de Duo Security pour recevoir vos clés de sécurité. Lors de votre connexion à votre site web, vous serez redirigé vers une page d'authentification. Il vous sera demandé de choisir votre méthode d'authentification. Plusieurs options s'offriront à vous : l'application mobile, les codes d'accès à usage unique générés par l'application, le rappel téléphonique, les codes d'accès à usage unique par SMS et le code d'accès à usage unique généré par un jeton matériel compatible OATH. C'est la meilleure façon de protéger votre site web contre toutes les menaces potentielles. Une fois votre méthode d'authentification choisie, vous pourrez accéder à votre site web.

miniOrange – plugin d'authentification à deux facteurs

Avec l'extension d'authentification à deux facteurs miniOrange, vous pouvez sécuriser votre site web en toute simplicité. Son installation est facile et elle prend en charge l'authentification via Google Authenticator.

Lien du plugin : https://wordpress.org/plugins/miniorange-2-factor-authentication/

• Avantages : Extension gratuite, plusieurs méthodes d’authentification, trois applications mobiles : Authy, Google Authenticator et miniOrange Authenticator
• Inconvénients : Nécessite une inscription sur le site web de miniOrange, la version gratuite est limitée à un seul utilisateur et aucun support n'est proposé pour la version gratuite.

Google Authenticator – Two Factor Authentication by miniOrange

Comment utiliser le plugin

Il est facile à configurer et authentifie les utilisateurs par SMS, notifications push, identifiant d'appareil ou code QR. Installez et activez d'abord l'extension. Ensuite, créez un compte et vérifiez votre adresse e-mail. Plusieurs méthodes d'authentification sont disponibles. Vous pouvez notamment utiliser l'authentification par code QR et scanner le code avec l'application Mini Orange Authenticator. Cette solution vous permet de sécuriser votre site web facilement et efficacement.

Authentification à deux facteurs – Plugin SMS Clockwork

Clockwork SMS est un autre outil simple d'utilisation pour sécuriser votre site web. Si vous ne possédez pas de smartphone et souhaitez optimiser la sécurité de votre site, ce plugin vous permet de le faire. Il propose une authentification à deux facteurs par SMS, compatible avec tous les téléphones mobiles.

Lien du plugin : https://wordpress.org/plugins/clockwork-two-factor-authentication/

• Avantages : Ne nécessite pas de smartphone, fonctionne sans Internet en utilisant des SMS pour envoyer des codes de vérification.
• Inconvénients : Solution payante, le plugin est obsolète (n'a pas été mis à jour depuis plus de 2 ans).

Comment utiliser le plugin

Son utilisation est simple et intuitive. Il vous suffit d'installer l'extension et de l'activer. Après l'activation, vous devrez obtenir une clé API sur le site de Clockwork. Une fois la configuration terminée, vous pourrez l'utiliser pour sécuriser votre site WordPress. L'utilisation de cette extension ne nécessite pas forcément de smartphone. Cependant, vous devrez payer pour recevoir des notifications sur votre téléphone à chaque connexion. C'est une excellente option pour ceux qui souhaitent l'utiliser, même sans smartphone, mais cela représente un certain coût.

plugin Rublon

Rublon est également l'une des meilleures extensions WordPress d'authentification à deux facteurs et vous offre une solution optimale. Son tableau de bord dédié vous permet de la configurer. Cependant, vous ne pouvez protéger qu'un seul utilisateur par compte, et le tableau de bord propose plusieurs options.

Lien du plugin : https://wordpress.org/plugins/rublon/

• Avantages : Extension et application mobile gratuites, interface conviviale
• Inconvénients : Gratuit pour un seul utilisateur par site web, aucune prise en charge de la vérification par SMS

Rublon two-factor authentication plugin for WordPress

Comment utiliser le plugin

Configurer ce plugin est très simple. Commencez par vous inscrire sur le site officiel du plugin, puis téléchargez l'application. Celle-ci vous permettra de scanner les codes-barres. Ensuite, installez et activez le plugin sur votre site web. Vous trouverez une option pour choisir l'appareil à utiliser pour l'authentification. Une fois l'appareil configuré, vous pourrez l'utiliser. Désormais, pour vous connecter à votre site web, il vous suffira d'utiliser votre téléphone pour scanner le code-barres et vous authentifier.

Toutefois, si vous souhaitez configurer l'authentification à deux facteurs pour plusieurs utilisateurs, vous devrez opter pour la version premium de ce plugin.

Plugin Authy

Authy est une autre excellente extension permettant de sécuriser votre site web grâce à l'authentification à deux facteurs. Son installation est simple et vous facilitera grandement la tâche. Voyons ensemble comment l'installer sur votre site WordPress.

Lien du plugin : https://wordpress.org/plugins/authy-two-factor-authentication/

• Avantages : Installation facile, interface conviviale, vérification par SMS optionnelle
• Inconvénients : Solution payante, seulement 100 authentifications gratuites par mois, absence de support pour la version gratuite, chaque utilisateur doit soumettre son numéro de téléphone portable sur le site web d’Authy pour activer le service.

Authy two-factor authentication plugin has a user friendly interface

Comment utiliser le plugin Authy

Si vous avez choisi Authy comme outil d'authentification à deux facteurs, vous devrez installer l'extension et l'activer sur votre site WordPress. Ensuite, installez l'application Authy sur votre smartphone et créez un compte Authy. Vous devrez ensuite saisir une clé API, puis vérifier les paramètres et définir les rôles pour l'authentification.

Ensuite, vous devrez ajouter les numéros de téléphone des utilisateurs pour lesquels vous souhaitez activer l'authentification. Un code ou jeton spécifique vous sera envoyé par SMS lorsque vous tenterez de vous connecter à votre site web. Il vous suffira de saisir ce jeton pour vous connecter.

Plugin OpenID

L'utilisation d'OpenID est une solution simple pour sécuriser votre site web. Vous pourrez vous connecter à votre site grâce à un identifiant OpenID. Ainsi, si vous utilisez des services comme Google+, Yahoo, Flickr ou WordPress.com, vous pourrez utiliser ce plugin.

Lien du plugin : https://wordpress.org/plugins/openid/

• Avantages : Aucune application mobile requise
• Inconvénients : Vous devez posséder un compte auprès d’un fournisseur OpenID tel que Google+, Yahoo, Flickr ou WordPress.com.

The OpenID plugin allows users to authenticate to websites without using passwords

Comment utiliser le plugin

Utiliser OpenID est simple et ne présente aucun problème. Il vous suffit d'installer et d'activer l'extension. Ensuite, rendez-vous dans la section « Utilisateurs ». Vous y trouverez l'option « Vos OpenID ». Consultez ses paramètres et ajoutez vos comptes OpenID. Vous pourrez ainsi utiliser vos comptes de réseaux sociaux sur votre site web, ce qui simplifiera et sécurisera vos transactions.

Cependant, ce plugin présente un inconvénient : même si vous avez configuré vos identifiants sur votre site WordPress, vous pourrez toujours vous y connecter avec un nom d'utilisateur et un mot de passe. Par conséquent, si vous recherchez un niveau de sécurité élevé, ce plugin ne répondra pas à vos besoins.

Qu'est-il arrivé à Clef, au fait ?

Il ne fait aucun doute que Clef était l'une des meilleures options pour l'authentification à deux facteurs via les plugins WordPress. Cependant, mauvaise nouvelle pour les utilisateurs de Clef : le plugin cessera de fonctionner le 6 juin 2017. Il ne sera plus disponible au téléchargement et aucune mise à jour ne sera publiée. Clef disparaît donc définitivement . Il aurait été une excellente option, mais d'autres plugins d'authentification à deux facteurs pour WordPress sont disponibles. Clef étant en cours d'arrêt, vous pouvez vous tourner vers d'autres solutions.

Quelle est la meilleure alternative à Clef ?

Si vous recherchez les meilleurs plugins d'authentification à deux facteurs, vous pouvez opter pourGoogle Authenticator ou Authy, mentionnés précédemment. Ces plugins sont particulièrement adaptés si vous utilisez déjà Clef. Si vous n'avez jamais utilisé de plugin de ce type, vous pouvez choisir l'authentification à deux facteurs, Google Authenticator ou Authy. Rublon et OpenID sont également disponibles, mais présentent quelques inconvénients. N'hésitez pas à tester les versions gratuites pour vous faire une idée. Choisissez le plugin qui vous permettra de sécuriser votre site web et de vous connecter en toute sécurité.

Quels sont les inconvénients de l'utilisation des plugins d'authentification à deux facteurs ?

Bien que certains des plugins présentés puissent vous rassurer, vérifiez les points suivants avant d'opter pour l'authentification à deux facteurs sur votre site WordPress.

1. Le principal inconvénient est la nécessité d'utiliser une application mobile qui doit être installée sur un smartphone, ainsi qu'une connexion Internet si vous optez pour un plugin gratuit comme Google Authenticator .
2. La méthode la plus simple, sans utiliser d'application mobile ni de smartphone connecté à Internet, consiste à payer pour l'envoi de SMS qui seront livrés sur des téléphones portables.
3. Tous les utilisateurs de votre site web doivent vous fournir leur numéro de téléphone portable pour recevoir les codes de vérification.
4. Si vous avez perdu votre téléphone, vous ne pourrez pas vous connecter.
5. Aucun des plugins mentionnés n'est un plugin de sécurité et ils ne protègent pas un site web contre les attaques par force brute sur les mots de passe des utilisateurs via l'interface XML-RPC, activée par défaut dans WordPress. Il est donc nécessaire d'utiliser une protection contre les attaques par force brute comme celle proposée par le plugin WP Cerber .