Quatre méthodes d'authentification à deux facteurs intégrées à WordPress, gratuites
L'authentification à deux facteurs pour WordPress est généralement proposée sous forme d'extension ou dans le cadre d'une offre premium. ReportedIP intègre d'emblée quatre méthodes d'authentification à deux facteurs — TOTP, clés d'accès/WebAuthn, e-mail et SMS — disponibles gratuitement dans toutes les formules, avec des codes de récupération et une fonctionnalité de réinitialisation du mot de passe incluse.
Ce guide passe en revue ces quatre méthodes, explique comment l'échelle de limitation de débit empêche la devinette de code et met en évidence la faille de réinitialisation du flux que la plupart des plugins d'authentification à deux facteurs laissent ouverte.
Qu'est-ce que ReportedIP ?
ReportedIP est un plugin de sécurité WordPress complet : 12 capteurs d'attaques, la suite 2FA complète décrite ici, un blocage progressif et des informations sur les menaces issues de la communauté (sur inscription). L'ensemble du système 2FA est gratuit et fonctionne hors ligne. La liste complète des fonctionnalités ReportedIP est disponible sur la page du produit.
Les quatre méthodes du noyau
- TOTP — Codes RFC 6238, compatibles avec Google Authenticator, Authy, 1Password et Microsoft Authenticator. Les clés secrètes sont chiffrées au repos.
- Passkey / WebAuthn / FIDO2 — Face ID, Touch ID, Windows Hello et YubiKey. Résistant au phishing, avec une implémentation interne et sans dépendance à Composer.
- Code OTP par e-mail: un code à 6 chiffres valable pendant 10 minutes, avec une limite de 3 envois toutes les 15 minutes, un délai d'attente de 60 secondes avant de pouvoir renvoyer le code et 5 tentatives de vérification par code.
- Code OTP par SMS — via le relais reportedIP managed reportedIP (formule Professionnelle et supérieures), disponible uniquement dans l'UE avec un accord de traitement des données explicite. Les numéros de téléphone sont chiffrés au repos.
Les quatre éléments suivants sont pris en charge : 10 codes de récupération à usage unique (hachés au repos, avec un avertissement lorsque 3 codes restent), des appareils de confiance avec une date d'expiration configurable (30 jours par défaut), ainsi qu'une application basée sur les rôles avec un délai de grâce (7 jours par défaut) et un compteur de tentatives.
L'échelle de limitation de débit met fin aux conjectures sur le code
Les codes 2FA erronés suivent le même barème progressif que les tentatives de connexion infructueuses : 3 codes erronés → 30 s, 5 → 5 min, 10 → 30 min, 15 → 1 h. À partir de la 15e tentative infructueuse au niveau de l'adresse IP, celle-ci est soumise à un véritable blocage progressif ; ainsi, un pirate utilisant une attaque par force brute ne peut plus simplement attendre l'expiration du délai et réessayer toutes les heures.
La fonctionnalité de réinitialisation du mot de passe que la plupart des plugins négligent
Le processus de « mot de passe perdu » de WordPress constitue un contournement classique de l'authentification à deux facteurs (2FA) : si votre seul deuxième facteur est l'adresse e-mail, toute personne ayant accès à votre boîte de réception reçoit à la fois le lien de réinitialisation et le mot de passe à usage unique (OTP) par le même canal. Le système de réinitialisation de Hive exige un deuxième facteur autre que l'e-mail — application d'authentification, SMS, clé d'accès ou code de récupération — avant d'accepter un nouveau mot de passe. L'e-mail est exclu par conception. Les comptes dont le seul facteur est l'e-mail et qui ne disposent d'aucun code de récupération sont verrouillés de manière définitive, avec une alerte envoyée à l'administrateur. Ce comportement est conforme à la norme NIST SP 800-63B §6.1.2.3 et à l'OWASP ASVS V6.3.
Comment l'activer
À l'étape « Authentification à deux facteurs » de l'assistant de configuration (ou Paramètres → Authentification à deux facteurs), activez les méthodes que vous souhaitez proposer, sélectionnez les rôles autorisés à s'inscrire, puis définissez le délai de grâce et le compteur d'échecs. Pour les flux sans interface ou personnalisés, le reportedip-hive/v1 L'espace de noms REST expose /2fa/challenge, /2fa/verify et /2fa/methods; les administrateurs de shell peuvent exécuter wp reportedip 2fa reset <user> pour débloquer un compte.
Guides connexes
- Passkeys et WebAuthn : une connexion WordPress résistante au phishing
- Service géré de relais de messagerie et de SMS pour une transmission fiable des mots de passe à usage unique (OTP)
- Une authentification à deux facteurs (2FA) pour WooCommerce qui s'intègre directement à votre thème
Consultez la documentation sur l'authentification pour plus de détails sur la configuration, parcourez l'intégralité des guides du pluginReportedIP ou consultez la norme WebAuthn sur le site du W3C.