La double authentification (2FA) permet d’ajouter une étape supplémentaire de validation pour pouvoir se connecter à votre compte WordPress. Cela évite que si un pirate informatique trouve votre mot de passe, il puisse nuire à tout ou partie de votre projet.
La meilleure solution pour activer la double authentification WordPress est l’installation du plugin Wordfence qui est facile à prendre en main et rapide à configurer.
Utiliser un plugin de sécurité
C’est clairement pour moi la meilleure solution pour paramétrer votre 2FA étant donné qu’elle permet d’éviter la multiplication des plugins mono-fonctionnels et fait assez bien le travail sur ce sujet.
Il existe également iThemes Security, très réputé en la matière et assez efficace.
Pour l’installer sur Wordfence, suivez ces étapes :
- Installez et activez Wordfence
- Allez dans « Wordfence » > « Login security »
- Sous l’onglet « Authentification à deux facteurs », vous verrez un code QR et une clé secrète.
- Sur votre smartphone, installez l’application Google Authenticator
- Scannez le QR code avec l’application
- Notez précieusement quelque part les codes de récupération qui vous serviront à vous connecter si vous n’avez pas accès à votre smartphone.
- Dans Wordfence, saisissez le code à six chiffres généré par votre application d’authentification et cliquez sur « Activer ».
Utiliser un service dédié à la double authentification
Certains plugins ne font que ça, ils sont spécifiques à la 2FA. Les meilleurs sont les suivants :
- WP 2FA – Two-factor authentication for WordPress : Facile à configurer étape par étape, appliquant la 2FA à tous les utilisateurs du site.
- Two-Factor : plusieurs méthodes d’authentification, notamment ceux générant des codes à usage unique.
- miniOrange’s Google Authenticator : génération de code à usage unique pour une connexion sécurisée via plusieurs applications et outils tiers.
Configurer la 2FA via Jetpack
Je déconseille fortement cette méthode car elle va lier votre site à Jetpack qui peut parfois buger et vous empêcher de vous connecter (ça m’est déjà arrivé pas mal de fois).
Vous pourrez utiliser cette solution si le plugin Jetpack est déjà installé sur votre site.
Je vous donne quand même les étapes à suivre :
- Connectez-vous à votre compte sur WordPress.com.
- Allez dans « Sécurité » > « Authentification en deux étapes ».
- Suivez les instructions pour associer votre compte à une application d’authentification ou recevoir des codes par SMS.
- Générez et conservez des codes de secours.
À savoir : modifier l’URL de connexion peut vous aider à éviter l’espionnage basique ou les attaques individuelles de base, mais ne protège pas contre les attaques de masse.