Alors que le site TechCrunch souligne ce week-end la montée en puissance des attaques contre les sites et blogs utilisant WordPress, je vous propose dans cet article une méthode rapide à mettre en oeuvre pour protéger WordPress contre les risques de piratage des logins utilisateurs et administrateurs.

La validation en 2 étapes avec Google Authenticator, pour protéger WordPress plus efficacement.

La validation en 2 étapes: un login et mdp traditionnel + un code temporaire

En effet, l’article de TechCrunch fait état de l’exploitation en augmentation d’une des vulnérabilités connues de WordPress : le compte administrateur qui par défaut possède le login « admin« : les pirates n’ont donc qu’à rechercher le mot de passe associé au login, en s’appuyant sur des dictionnaires de passwords. De manière générale, on peut recommander pour lutter contre cette vulnérabilité :

  • de renommer le compte admin de WordPress (plusieurs plugins existent pour faire cela)
  • choisir un mot de passe robuste qui n’a peu de chance d’être présent dans les dictionnaires de mot de passe utilisé par les hackers
  • d’opter pour la validation en double étapes qui permettra de protéger tous les comptes utilisateurs de votre blog : c’est la méthode que je vous propose dans cet article

La validation en 2 étapes: qu’est-ce c’est ?

La validation en double étapes commence à se répandre depuis quelques temps. Lorsqu’un utilisateur se connecte à un de ses services via son login et mot de passe, la validation en 2 étapes consiste à vérifier par une seconde étape l’identité effective de l’utilisateur. Cela peut se faire par différents moyens, généralement elle prend la forme d’un code temporaire valable un certain temps et mis à la connaissance de l’utilisateur par son adresse de messagerie, par sms, ou par une application sur smartphone générant un code temporaire selon la date et l’heure.

Google Authenticator pour WordPress limite le risque de piratage par force brute

Le plugin rajoute un code temporaire à compléter sur la page de login de WordPress

La validation en 2 étapes est notamment utilisée par Google, Paypal, Blizzard, etc., pour offrir une meilleure sécurité à leurs utilisateurs et réduire les risques de piratage de leur compte. Nous allons voir comment l’utiliser pour protéger WordPress.

Protéger Wordress avec le plugin Google Authenticator

Le plugin WordPress Google Authenticator a été mis au point pour permettre d’utiliser la vérification en 2 étapes de Google pour son blog WordPress. Cela a l’énorme avantage d’être ergonomique, puisque ce plugin vous permet d’utiliser l’application pour smartphone Google Authenticator. Concrètement, le plugin permet de protéger WordPress en rajoutant sur l’interface de login de WordPress, en plus du nom utilisateur et du mot de passe, un champs Code Google Authenticator qu’il vous suffit de recopier depuis l’application smartphone.

Installation et paramétrage du plugin Google Autenticator

Dans cette partie nous allons voir en images comment installer et paramétrer le plugin Google Authenticator pour protéger WordPress rapidement.

A noter qu’en cas de problème (bug, perte ou vol de votre smartphone), il vous suffira de supprimer le plugin par accès FTP pour pouvoir de nouveau accéder à l’interface d’administration de votre blog. Dans tous les cas, pensez également à faire régulièrement des sauvegardes de votre blog.

Pas besoin de bloqueur de pub sur ce site, car il n'y a pas de pub. Découvrez pourquoi.

11 Réponses

  1. Richard

    Bonjour,

    Si quelqu’un peut m’aider je lui en serais gré. Car face à mon problème je me sent bien seul. Oui je n’ai pas imprimer mes Codes de Sauvegarde Google Authenticator, mais dois-je perdre mon website pour autant ?

    Merci, merci, merci.
    Gratien

    Répondre
    • Kevin

      Il n’y a que l’équipe de la plateforme wordpress.com qui peut débloquer la situation je pense (le problème étant effectivement de les contacter si l’accès au support est réservé aux comptes payants…)

      Je suggère d’essayer l’une des méthodes ci-dessous :
      – créer un nouveau post sur le forum pour expliquer le problème, il y aura probablement quelqu’un de l’équipe qui passera par là
      – ou sinon, il existe apparemment une procédure « account recovery » lorsque l’on perd l’accès à son compte, elle est accessible à cette page https://en.wordpress.com/wp-login.php?action=recovery (en expliquant dans le champ commentaires le problème avec la double authentification lors du changement de téléphone)

      Bon courage

      Répondre
  2. Richard Gratien

    Comme beaucoup, j’utilise l’authentification en deux étapes de google authenticator.
    L’algorithme était sur mon ancien cellulaire. J’utilisais google authenticator uniquement pour protéger l’accès à mon website sur WordPress.
    Je n’avait pas imprimer ou sauvegardé de backup de récupération.
    Je vient de changer de téléphone cellulaire et j’ai transféré ma carte sim d’un appareil à l’autre.
    Depuis il m’est impossible de récupérer le code de vérification sur mon ancien cell comme sur le nouveau.

    Comment faire pour retrouver l’accès au mode administrateur de mon website ?

    Merci beaucoup pour vôtre aide, cordialement Gratien Richard

    Répondre
    • Kevin

      Bonjour,

      S’agit-il du site en lien dans votre précédent commentaire, hébergé sur la plafeforme wordpress.com? Si oui, ces sites diffèrent des sites WordPress qui choisissent leur propre hébergeur: je ne connais pas très bien la plateforme wordpress.com, mais je crois qu’elle n’autorise pas un accès FTP aux fichiers, ce qui est un problème car il est impossible de supprimer ou renommer le répertoire du plugin par FTP.

      Si l’application n’a pas été supprimée de l’ancien téléphone, les codes générés pas l’appli devraient encore être bons, ce n’est pas le cas? Sinon c’est peut-être l’heure de l’application qui s’est désynchronisée (cet ancien téléphone est-il un téléphone Android, et qui peut-être est resté quelques temps avec une batterie vide?) : dans ce cas il faudrait peut-être essayer de synchroniser à nouveau l’application: voir en bas de cette page https://support.google.com/accounts/answer/185834?hl=fr#sync

      Répondre
      • Kevin

        Concernant la synchronisation avec l’heure, il est possible aussi qu’il faille remettre la carte sim dans l’ancien téléphone pour qu’il puisse avoir un accès réseau (et que par la même occasion l’heure du téléphone se règle aussi sur l’heure fournie par l’opérateur).

      • Richard

        Merci beaucoup Kevin je vais essayer la manipulation. C est à dire de remettre la carte SIM dans l’ancien cellulaire. Afin d’obtenir un accès réseau et de pouvoir se synchroniser avec l heure fourni par l’opérateur.
        Je vous tiendrais au courant si cela a fonctionné encore merci pour votre aide.

        Cordialement Gratien

      • Richard Gratien

        Bonjour à tous et en particulier à Kevin,

        J ai essayé aujourd hui de mettre la carte sim de mon nouveau telephone (i phone 5c) dans mon ancien telephone cellulaire (samsung ace II) cependant cela n’as pas fonctionné et en visitant l adresse accounts.google.com/security je me suis rendu compte que l application google authenticator ne pouvais fonctionner que sur un seul terminal et qu elle lui etait dédié (auparavant mon ace II et aujourd hui mon i phone 5c.
        J ai aussi noter que le fais de changer d appareil entrainais un perte des comptes google authenticator et que pour les retrouver sur un autre appareil il fallais au préalable les sauvegarder et les enregistrer dans la nouvelle machine sur via l application fraichement installé.
        Ce que je n’ai pas fait.
        Donc pour moi toujours impossible d accéder au mode admin de mon web site wordpress protégé par une vérification en deux étape.
        Si vous n’étiez pas au courant du niveau de sophistication de google authenticator voila c’est fait.
        Google authenticator est très efficace … Trop efficace, impossible de récupérer les codes même pour leurs propriétaires en cas de négligence.
        Si vous pouvez m aider ou me donner des pistes. Je vous en serais gré.
        Merci beaucoup et bonne journée à vous.

        Cordialement Gratien Richard

      • Richard Gratien

        Bonjour Kevin,

        Avant tout merci pour ton aide.
        La solution que tu me propose à l’air attrayant comme cela et assez évidente. Tu as un problème, tu contact le support.
        Seulement voila deux problèmes avec le support de la plateforme wordpress.com.
        Premièrement et cela est notoire, il faut payer pour avoir le droit d utiliser les services du support de la plateforme du moins d’après se qui est écrit sur la page d’accueil du dit support.
        Secundo pour accéder au service du support fourni par wordpress.com il faut logger or comment voulez vous logger si vous n’avez pas vôtre code de vérification en deux étapes fourni par google authenticator.
        Tertio lorsque vous êtes sur la page d’accueil du service de support fourni par wordpress.com il n’y ni à aucun lien ni aucune façon de laisser un message à l’équipe technique ni à qui que se soit.
        Quatrièmement le post qui traitais de la question administré par l’un des employé à été fermé, c’est celui -ci même pour lequel vous m’avez envoyé un lieu.

        Pas facile facile.
        Merci beaucoup pour vôtre aide.
        Cordialement Gratien Richard

  3. Jennell

    Je ne comprendrai jamais cette malveillance de s’attaquer à des sites! Gros ou petits sites, personne n’est à l’abri des hackers et c’est lamentable! Merci en tout cas pour tes conseils et je continue de creuser cela également de mon côté pour protéger au mieux mon blog!

    Répondre
  4. Erline

    Un plugin à ajouter aux essentiels lorsque l’on crée son blog! Merci du partage d’information notamment de sa grande pertinence d’autant plus que la sécurité des données sur WP a été récemment soulevée dans de nombreux forums.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.