🍶 🌶️ 🧑🏽‍🤝‍🧑🏻 Choisissez un plugin pour l'authentification à deux facteurs dans Wordpress 🏩 ☝🏾 👨🏼‍⚕️

L'authentification à deux facteurs augmente considérablement le niveau de sécurité du site, sous réserve d'autres conditions (telles que la mise à jour en temps opportun du moteur de thème, les plug-ins, l'application de pratiques de programmation sécurisées, etc.).

Face à la question de la connexion de Google Authenticator à un site sur Wordpress, j'ai fait quelques recherches sur les plugins existants et aujourd'hui je souhaite partager avec vous les résultats de ce travail.

Tout d'abord, nous désignons les conditions initiales:

Site Web sur Wordpress version 5.3.2 (le plus pertinent à l'époque);
le moteur est déployé en mode multisite en conjonction avec nginx;
Je ne veux pas payer d’argent (enfin, comme toujours).

Malgré l'abondance de plugins adaptés à la tâche, seuls quatre d'entre eux ont été testés, qui ont passé le test de compatibilité avec la version installée de Wordpress:

Google Authenticator de miniOrange ;
Authentification à deux facteurs de David Nutbourne et David Anderson ;
Contributeurs à deux facteurs par plugin ;
Sécurité de connexion Wordfence par Wordfence .

Résultats d'inspection et d'essai

Google Authenticator de miniOrange

Page du plugin: wordpress.org/plugins/miniorange-2-factor-authentication

Fonctionnalités annoncées de la version gratuite du plugin pour Google Authenticator de miniOrange:

authentification à deux facteurs d'un utilisateur;
Prise en charge de Google Authenticator, Authy, LastPass Authenticator, codes QR, notifications PUSH, Soft Token et questions;
prévenir les attaques par force brute et bloquer les adresses IP;
surveiller les événements de connexion;
le multilinguisme.

Principales caractéristiques des versions payantes du plugin pour Google Authenticator miniOrange:

authentification à deux facteurs de plusieurs utilisateurs (paiement par le nombre d'utilisateurs);
Prise en charge de canaux OTP supplémentaires, par exemple, OTP sur e-mail, OTP sur SMS (les services SMS sont achetés séparément), confirmation par e-mail;
personnalisation des méthodes de connexion pour divers comptes;
Utilisation de problèmes de sécurité pour restaurer l'accès
support multisite;
rediriger les utilisateurs après la connexion en fonction du rôle de l'utilisateur;
Gestion sécurisée des appareils

Après avoir installé et activé le plugin, une quantité incroyable de paramètres et de fonctions sont proposés à l'administrateur du site. Vous trouverez ici tout, du WAF aux sauvegardes de base de données programmées automatiques. Honnêtement, les moissonneurs de ce genre me font toujours peur et la pratique montre qu'en raison de l'abondance des fonctions, la profondeur de leur mise en œuvre laisse souvent beaucoup à désirer.

Résultats de test:

les paramètres sont définis immédiatement pour l'ensemble du réseau en mode multisite - uniquement dans les versions payantes;
la possibilité d'utiliser l'authentification à deux facteurs peut être fournie à un ou plusieurs rôles - uniquement dans les versions payantes;
«» — ;
graceful — ;
— ;
X — ;
IP-, — ;
XMLRPC — ;
ReCaptcha — ;
ReCaptcha ( ) — ;
Google Authenticator — .

Two Factor Authentication

Page du plugin: wordpress.org/plugins/two-factor-authentication

Fonctionnalités annoncées de la version gratuite du plugin d'authentification à deux facteurs:

appliquer l'authentification à deux facteurs à un rôle spécifique du site (peut être activé pour les administrateurs, mais pas activé pour les abonnés);
la possibilité de désactiver l'utilisateur;
support multisite.

Principales caractéristiques de la version payante du plugin d'authentification à deux facteurs:

la possibilité de forcer l'authentification à deux facteurs à être activée quelque temps après la création d'un compte (par exemple, pour tous les comptes d'administrateur de plus d'une semaine);
les propriétaires de sites peuvent spécifier des appareils de confiance pour lesquels une demande d'authentification supplémentaire sera exécutée une fois tous les quelques jours et non chaque fois que vous vous connecterez au système;
prise en charge des formulaires de connexion tiers;
.

multisite — ;
— ;
«» — Premium ;
graceful — ;
— ;
30 — Premium ;
IP-, — ;
XMLRPC — ;
dans la fenêtre des paramètres, vous pouvez activer Captcha et configurer le seuil de son fonctionnement - il n'y a aucune possibilité;
Captcha peut être exécuté en mode test (sans bloquer les utilisateurs) - il n'y a aucune possibilité;
lors de la connexion à Google Authenticator, il est proposé de télécharger les codes de récupération - uniquement dans la version Premium.

Deux facteurs

Page Plugin: wordpress.org/plugins/two-factor

Le plugin Two-Factor de l'équipe Plugin Contributors est un plugin OpenSource et offre les options suivantes:

utiliser l'e-mail pour envoyer des codes d'authentification à deux facteurs;
codes de sauvegarde;
Méthode fictive à des fins de test.

Résultats de test:

Je n'ai pas trouvé les paramètres du réseau ou du site, tous les paramètres trouvés se trouvaient uniquement dans le profil utilisateur - c'est mauvais;
- , — - ;
— email , , , email, , ;
, .

Wordfence Login Security

Page du plugin: wordpress.org/plugins/wordfence-login-security

Wordfence Login Security est une partie isolée du plugin Wordfence Security complet .

Wordfence Login Security fournit gratuitement les fonctionnalités suivantes:

authentification à deux facteurs à l'aide de Google Authenticator, Authy, 1Password, FreeOTP;
activer OTP pour n'importe quel rôle de site;
absence de restrictions d'aucune sorte;
Ajouter Google Recaptha v3 pour les pages de connexion et d'inscription
protection contre les robots;
protection contre le piratage de mot de passe et l'interception d'informations d'identification en bloquant les grands pools IP;
Protection XMLRPC avec authentification à deux facteurs ou désactivation totale de cette fonctionnalité.

Étant donné que ce plugin est une version simplifiée d'un produit commercial complexe, il est fort possible qu'il ne satisfasse pas les besoins les plus simples.

Résultats de test:

les paramètres sont définis immédiatement pour l'ensemble du réseau en mode multisite - c'est très bien;
la possibilité d'utiliser l'authentification à deux facteurs peut être fournie à un ou plusieurs rôles - c'est très bien;
pour le groupe Administrateurs, vous pouvez forcer l'activation de l'authentification à deux facteurs - c'est bien (si vous étiez autorisé à le faire pour chaque groupe d'utilisateurs, ce serait très bien);
lorsque vous le forcez, vous pouvez définir la période de grâce et envoyer des notifications - c'est très bien;
inclusion forcée pour un utilisateur spécifique - non disponible (au moins dans la version gratuite);
il y a une option pour activer la confiance dans l'appareil pendant 30 jours - c'est bien;
vous pouvez spécifier une liste blanche d'adresses IP pour lesquelles l'authentification à deux facteurs ne sera pas utilisée - c'est très bien (cela nous facilitera la conduite de tests de sécurité automatisés);
l'authentification à deux facteurs pour XMLRPC est incluse séparément - c'est bien;
dans la fenêtre des paramètres, vous pouvez activer ReCaptcha et configurer son seuil - c'est bien;
ReCaptcha peut être exécuté en mode test (sans bloquer les utilisateurs) - c'est bien;
lors de la connexion à Google Authenticator, il est proposé de télécharger des codes de récupération - c'est bien.

En mode multisite, le plugin fonctionnait correctement avec tous les sites connectés et avec tous les utilisateurs (enregistrés sur tous les sites / sur l'un des sites du réseau).

résultats

Pour un blog personnel ou un petit site unique, dans lequel il y aura un ou plusieurs utilisateurs, le plugin à deux facteurs de Plugin Contributors peut très bien convenir . Il s'agit d'une solution minimaliste qui vous permettra d'obtenir la fonctionnalité principale sans publicité ni demandes ennuyeuses pour payer un chignon particulier.

Pour le mode multisite et pour satisfaire les envies de pousser l'authentification, et aussi de ne pas payer pour cela, le meilleur choix, à mon avis, est le plugin Wordfence Login Security.

Pour le même mode multisite, si vous souhaitez pousser l'authentification et la volonté de payer pour la fonctionnalité requise, le plugin d'authentification à deux facteurs peut très bien convenir.

MiniOrange ne formule aucune recommandation concernant Google Authenticator, car il n'a pas élaboré spécifiquement la fonctionnalité d'authentification à deux facteurs et la gestion de cette fonctionnalité dans la version gratuite, et je suis toujours très prudent avec ce type d'abatteuse.