Tutoriels WordPress

Double authentification WordPress (2FA) : guide pratique

Publié le par Steve Chevillard
Écran de validation du code 2FA Wordfence après saisie du mot de passe WordPress

La double authentification WordPress, aussi appelée 2FA pour two-factor authentication, est aujourd’hui le rempart le plus efficace contre le piratage d’un compte administrateur. Un mot de passe seul ne suffit plus : les attaques par force brute et les fuites de bases de données rendent les identifiants vulnérables. Ce guide vous montre comment activer la 2FA sur votre site WordPress, quel plugin choisir et comment éviter de vous bloquer hors de votre propre tableau de bord.

L’essentiel à retenir ℹ️

La double authentification (2FA) ajoute un second code à six chiffres après le mot de passe pour se connecter à WordPress. Elle bloque la quasi-totalité des attaques par force brute et des compromissions par fuite d’identifiants. Quatre plugins sortent du lot : Two Factor, WP 2FA, Wordfence Login Security et Solid Security. Comptez cinq minutes pour activer le TOTP sur votre profil avec une application comme Google Authenticator. Pensez à générer les codes de secours pour ne pas vous bloquer hors du tableau de bord.

Le principe de la double authentification

La 2FA ajoute une seconde vérification après le mot de passe. Pour se connecter, vous devez fournir deux preuves d’identité de natures différentes : quelque chose que vous savez (votre mot de passe) et quelque chose que vous possédez (votre téléphone, une clé physique, une application).

Concrètement, après avoir saisi vos identifiants WordPress, un second écran vous demande un code à six chiffres généré par une application comme Google Authenticator ou Authy. Le code change toutes les 30 secondes (protocole TOTP). Même si un attaquant met la main sur votre mot de passe, il n’a pas votre téléphone : il reste à la porte.

Trois grandes familles de second facteur cohabitent sur WordPress : le code TOTP via une application d’authentification, le code envoyé par email ou SMS, et la clé physique FIDO2/WebAuthn (type YubiKey). Le code par SMS est le moins sûr car il peut être intercepté via une attaque de SIM swapping. La clé physique est le plus robuste, mais aussi le plus contraignant.

Pourquoi activer la 2FA sur WordPress

WordPress équipe plus de 40 % des sites du web. C’est une cible de choix pour les bots qui scannent en permanence les pages /wp-login.php à la recherche d’un mot de passe faible. Selon les statistiques publiées par Wordfence, plusieurs millions de tentatives de connexion frauduleuses sont bloquées chaque jour sur l’ensemble des sites WordPress protégés par leur firewall.

LIRE AUSSI  Optimiser les images sur WordPress : la méthode complète

Activer la 2FA, c’est rendre ces attaques inutiles. Même un mot de passe issu d’une fuite ne suffit plus à se connecter. Pour aller plus loin sur le sujet, je vous recommande de lire mon guide sur l’amélioration de la sécurité de votre site WordPress, qui couvre l’ensemble des bonnes pratiques au-delà de la simple authentification.

Quel plugin 2FA choisir pour WordPress

WordPress n’inclut pas la double authentification en natif. Vous devez passer par une extension. Quatre plugins sortent du lot.

  • Two Factor : plugin officiel maintenu par des contributeurs WordPress.org. Léger, gratuit, supporte TOTP, email et clés FIDO2. C’est mon premier choix pour un site simple.
  • WP 2FA : édité par Melapress. Interface plus guidée, codes de secours, possibilité d’imposer la 2FA à certains rôles. Version gratuite suffisante pour la plupart des sites.
  • Wordfence Login Security : la version allégée de Wordfence, dédiée à la 2FA et au CAPTCHA reCAPTCHA. Pratique si vous n’utilisez pas déjà Wordfence complet.
  • iThemes Security (devenu Solid Security) : suite de sécurité complète qui inclut la 2FA. Pertinent si vous voulez aussi gérer pare-feu, scan de fichiers et journalisation au même endroit.

Pour comparer plus largement les solutions de protection, j’ai aussi rédigé un classement des meilleurs plugins de sécurité pour WordPress et un autre sur les extensions pour renforcer la sécurité de WordPress.

Quelle application TOTP installer sur votre téléphone

Toutes les applications TOTP fonctionnent avec WordPress, le protocole est standard. Le choix dépend surtout de la sauvegarde des codes et du support multi-appareils.

  • Google Authenticator : la plus connue, propose désormais une synchronisation cloud via votre compte Google. Pratique, mais vous confiez vos secrets TOTP à Google.
  • Authy : sauvegarde chiffrée, multi-appareils, historique. La version desktop a été abandonnée en 2024, restent les apps mobiles.
  • 2FAS : open source, sauvegarde cloud optionnelle (Google Drive ou iCloud), pas de compte obligatoire. Mon choix par défaut pour les utilisateurs prudents.
  • Bitwarden ou 1Password : si vous utilisez déjà un gestionnaire de mots de passe payant, il sait stocker les codes TOTP. Tout est centralisé, mais en cas de compromission du gestionnaire, mot de passe et 2FA tombent ensemble.

Activer la double authentification : la marche à suivre

La procédure ci-dessous part du plugin Two Factor, mais le principe reste identique avec les autres extensions. Comptez cinq minutes pour la configuration complète.

  1. Installez une application TOTP sur votre téléphone : Google Authenticator, Authy, Microsoft Authenticator ou 2FAS (open source) font tous très bien le travail.
  2. Dans WordPress, ouvrez Extensions > Ajouter, recherchez Two Factor, installez et activez le plugin.
  3. Allez dans Utilisateurs > Profil. Faites défiler jusqu’à la section Two-Factor Options.
  4. Cochez Time Based One-Time Password (TOTP). Un QR code apparaît. Scannez-le avec votre application d’authentification.
  5. Saisissez le code à six chiffres affiché par l’application pour valider la liaison, puis cliquez sur Mettre à jour le profil.
  6. Déconnectez-vous et reconnectez-vous : WordPress vous demande désormais le code après le mot de passe.
LIRE AUSSI  Les raccourcis clavier de Gutenberg, l'éditeur de WordPress

Activez en parallèle la méthode Backup Verification Codes. Le plugin génère dix codes à usage unique. Notez-les ou stockez-les dans un gestionnaire de mots de passe : ils vous sauveront le jour où vous perdrez votre téléphone.

Imposer la 2FA aux autres utilisateurs du site

Sur un site multi-auteurs, sécuriser uniquement votre compte administrateur n’a qu’un effet limité. Un compte éditeur ou auteur compromis peut publier du contenu malveillant ou injecter des liens spam dans vos articles existants.

Avec WP 2FA, l’assistant de configuration permet de rendre la 2FA obligatoire pour tous les rôles administrateur et éditeur, et facultative pour les abonnés. Vous pouvez aussi définir un délai de grâce : l’utilisateur dispose de quelques jours pour activer son second facteur avant que l’accès soit bloqué.

Prévenez vos contributeurs par email avant l’activation, partagez-leur la procédure, et gardez un canal de support ouvert pendant les premiers jours. Une partie d’entre eux n’aura jamais utilisé d’application d’authentification, c’est normal.

Que faire si vous perdez votre second facteur

Téléphone perdu, application réinstallée, codes de secours égarés : ce scénario arrive régulièrement. Plusieurs portes de sortie existent.

  • Codes de secours : si vous les avez générés à l’activation, c’est la solution la plus simple. Saisissez-en un à la place du code TOTP.
  • Désactivation par un autre administrateur : sur un site multi-utilisateurs, un autre admin peut désactiver la 2FA depuis votre profil utilisateur dans Utilisateurs > Tous les utilisateurs.
  • Accès SFTP ou phpMyAdmin : en dernier recours, désactivez le plugin via le gestionnaire de fichiers de votre hébergeur (renommez le dossier dans wp-content/plugins/) ou supprimez la méta utilisateur correspondante en base de données.

L’idéal reste de prévenir le problème : activez TOTP sur deux téléphones, ou mieux, ajoutez une clé physique FIDO2 comme méthode secondaire. Une YubiKey coûte une trentaine d’euros et dure des années.

Le piège des mots de passe d’application

WordPress propose depuis la version 5.6 un système de mots de passe d’application (Application Passwords), accessibles depuis votre profil utilisateur. Ces mots de passe servent aux outils tiers qui se connectent en API REST ou XML-RPC : clients de publication, plugins de synchronisation, scripts WP-CLI distants.

Point important : ces mots de passe d’application contournent la 2FA. Ils sont conçus pour des accès non interactifs et ne peuvent pas afficher d’écran de saisie de code. Si vous activez la 2FA mais laissez traîner un mot de passe d’application compromis, votre site reste vulnérable via l’API.

Listez régulièrement les mots de passe d’application actifs (Utilisateurs > Profil > Mots de passe d’application) et révoquez ceux que vous ne reconnaissez pas. Si vous n’utilisez aucune intégration externe, désactivez complètement la fonctionnalité avec le filtre wp_is_application_passwords_available ou un plugin de sécurité.

LIRE AUSSI  Comment supprimer « Protégé » ou « Privé » d'un titre WordPress ?

Et les passkeys dans tout ça ?

Les passkeys sont l’évolution moderne du standard FIDO2/WebAuthn. Au lieu d’un mot de passe plus un code TOTP, vous vous connectez avec une clé cryptographique stockée sur votre téléphone, votre ordinateur ou une clé physique. La validation se fait par empreinte digitale, reconnaissance faciale ou code PIN local.

Sur WordPress, le support des passkeys arrive progressivement. Le plugin Two Factor intègre déjà WebAuthn, et plusieurs extensions dédiées comme Passkeys for WordPress simplifient la mise en place. À terme, les passkeys remplaceront probablement le couple mot de passe + TOTP. En attendant, ajoutez-les comme méthode complémentaire plutôt qu’en remplacement, pour garder un fallback en cas de problème.

Aller plus loin que la 2FA

La double authentification est une brique parmi d’autres. Pour réduire la surface d’attaque de votre WordPress, combinez-la avec quelques mesures complémentaires : limitez les tentatives de connexion (Wordfence ou Limit Login Attempts Reloaded le font très bien), changez l’URL de connexion par défaut (avec WPS Hide Login par exemple), et tenez vos extensions à jour. Sur ce dernier point, le guide pour réussir vos mises à jour WordPress détaille la procédure pour ne rien casser.

Si vous voulez aussi modifier l’apparence de l’écran de connexion (logo, couleurs, message), j’ai consacré un tuto dédié à la personnalisation de la page de connexion WordPress.

La 2FA ne remplace pas un bon mot de passe, ni des sauvegardes régulières, ni un hébergement sérieux. Elle complète l’ensemble. Mise bout à bout avec les autres pratiques, elle réduit drastiquement le risque d’intrusion sur votre site.

Foire aux questions

La double authentification WordPress est-elle vraiment nécessaire ?

Oui, dès qu’un compte administrateur ou éditeur existe sur votre site. Les attaques par force brute sur la page de connexion WordPress sont permanentes et automatisées. La 2FA bloque ces tentatives même si votre mot de passe a fuité dans une base compromise.

Quel est le meilleur plugin 2FA gratuit pour WordPress ?

Two Factor reste le choix le plus léger et le plus neutre. Il est maintenu par des contributeurs WordPress.org, supporte TOTP, email et clés FIDO2. Pour une interface plus guidée et la possibilité d’imposer la 2FA à certains rôles, WP 2FA est une excellente alternative gratuite.

Que faire si je perds mon téléphone avec mon application 2FA ?

Utilisez un de vos codes de secours générés à l’activation. Si vous n’en avez pas, demandez à un autre administrateur de désactiver la 2FA sur votre profil. En dernier recours, désactivez le plugin via SFTP en renommant son dossier dans wp-content/plugins.

La 2FA par SMS est-elle sûre ?

Moins que les autres méthodes. Le SMS reste vulnérable au SIM swapping, où un attaquant fait transférer votre numéro vers une nouvelle carte SIM. Préférez une application TOTP comme Google Authenticator, Authy ou 2FAS, ou une clé physique FIDO2.

Peut-on imposer la 2FA à tous les utilisateurs d’un site WordPress ?

Oui, avec WP 2FA ou Solid Security. Vous définissez les rôles concernés (administrateur, éditeur, auteur) et un délai de grâce pendant lequel l’utilisateur doit activer son second facteur. Passé ce délai, l’accès est bloqué tant que la 2FA n’est pas configurée.

La 2FA ralentit-elle la connexion à WordPress ?

L’opération ajoute environ cinq secondes : le temps d’ouvrir l’application, lire le code et le saisir. La plupart des plugins proposent une option « se souvenir de cet appareil » qui évite de redemander le code à chaque connexion sur la même machine, pendant une durée que vous fixez.

Articles en relation

Shortcode WordPress affichant une galerie photos dans l'éditeur

Qu’est-ce qu’un shortcode WordPress ?

Sauvegarder un site WordPress : fichiers, base de données et stockage externe

Sauvegarder un site WordPress : la méthode complète

Guide d'optimisation des images sur WordPress !

Optimiser les images sur WordPress : la méthode complète

Steve Chevillard

A propos de Steve Chevillard

Je suis responsable du numérique pour Philo éditions (Philosophie magazine, Sciences Humaines, Philonomist) et j'utilise WordPress depuis la fin des années 2000. J'ai créé astuceswp.fr en 2018 pour partager mon expérience et aider ceux qui veulent se lancer sur WordPress ou aller plus loin avec leur site. Je publie des tutoriels pratiques sur WordPress, l'hébergement, le SEO et les outils numériques, en essayant de rester le plus clair et accessible possible. Mon objectif : vous donner les clés pour être autonome sur votre site, sans vous noyer dans le jargon technique.