Comment récupérer d'un verrouillage WordPress 2FA

Dec 28, 2023

Accueil » Réseau des blogueurs de sécurité » Comment récupérer d'un verrouillage WordPress 2FA

L'utilisation de 2FA pour sécuriser votre site Web WordPress est de loin l'une des meilleures mesures de sécurité que vous puissiez prendre. Il ajoute une couche de sécurité supplémentaire tout en étant très facile à configurer. En outre, il a fait ses preuves dans l'arrêt de la grande majorité des attaques basées sur la connexion, telles que les attaques par force brute. Alors que de nombreux administrateurs WordPress ont déjà implémenté 2FA, plusieurs hésitent encore à utiliser cette technologie. L'une des principales raisons à cela est l'idée fausse sur les lock-out.

Dans cet article, nous examinerons les mesures préventives que vous pouvez prendre pour éviter les verrouillages. Nous examinerons également ce que vous pouvez faire si vous avez été bloqué en raison d'une perte de l'appareil 2FA ou d'une panne de service.

Table des matières

2FA peut facilement être implémenté sur n'importe quel site Web WordPress à l'aide d'un plugin WordPress. Dans la plupart des cas, le plugin fonctionne indépendamment de tout autre service et ne nécessite aucun abonnement tiers. Cela réduit le nombre de «pièces mobiles» dans l'écosystème. Certaines méthodes 2FA, telles que les SMS, Whatsapp et la voix, nécessiteront un abonnement séparé pour fonctionner, car elles dépendent de réseaux tiers pour fournir l'OTP (mot de passe à usage unique) requis pour que 2FA fonctionne.

Dans cet article, nous utiliserons le plugin WP 2FA pour illustrer les options de récupération 2FA lors de l'utilisation de 2FA sur WordPress. Il convient de noter que WP 2FA est livré avec pas moins de six canaux d'authentification différents parmi lesquels choisir, ce qui en fait l'un des plugins WordPress 2FA les plus complets disponibles sur le marché aujourd'hui.

Planifier à l'avance est souvent le meilleur moyen d'éviter les maux et les douleurs d'un verrouillage 2FA. Que vous ayez déjà configuré 2FA ou que vous soyez encore en phase de recherche, vous pouvez prendre certaines mesures pour éviter les verrouillages. Non seulement cela atténuera vos appréhensions et celles de vos utilisateurs vis-à-vis de la technologie, mais cela évitera également les temps d'arrêt et éliminera les pertes de productivité.

L'un des problèmes auxquels de nombreux administrateurs WordPress sont confrontés est que les utilisateurs ne configurent pas l'authentification à deux facteurs dans le délai de grâce prévu. Selon la configuration de la stratégie, le compte d'utilisateur peut être bloqué, ce qui oblige un administrateur à le débloquer.

Bien que cela puisse être l'option la plus sécurisée, si vous êtes un administrateur gérant plus que votre juste part d'utilisateurs distraits, vous souhaiterez peut-être bloquer l'accès au tableau de bord jusqu'à ce que 2FA soit configuré à la place. Cela garantit que les utilisateurs configurent 2FA sans nécessiter d'intervention de votre part pour débloquer le compte.

WP2FA propose une sélection de méthodes d'authentification 2FA alternatives pour vous aider à anticiper les verrouillages. Étant donné que les verrouillages peuvent survenir pour diverses raisons indépendantes de votre volonté, comme un utilisateur qui oublie ou perd son téléphone, prendre des mesures préventives est toujours un choix judicieux.

Les méthodes de vérification alternatives vous permettent de choisir une méthode 2FA alternative en cas d'échec de la méthode principale. Ici, un utilisateur peut configurer n'importe laquelle des méthodes disponibles comme méthode principale, puis préconfigurer une méthode secondaire. Illustrons cela par un exemple. Un utilisateur peut avoir l'application TOTP Authenticator définie comme méthode principale et l'e-mail comme seconde méthode. S'ils oublient leur téléphone, l'emmènent en réparation ou sont à court de batterie, ils peuvent simplement choisir de recevoir leur OTP par e-mail à la place.

WP 2FA propose également des codes de secours que les utilisateurs peuvent pré-télécharger pour les utiliser s'ils ne peuvent pas se connecter avec leur méthode principale.

Si vous êtes actuellement bloqué et que vous n'avez pas configuré de méthode de sauvegarde ou de méthode secondaire, vous pouvez toujours retrouver l'accès à votre compte WordPress. Cependant, cela prendra juste un peu plus de travail mais ne devrait pas prendre plus de quelques minutes.

Avant d'aller plus loin, vous devez d'abord vérifier s'il existe un autre utilisateur administrateur qui a toujours accès à WordPress. Si tel est le cas, vous pouvez leur demander de réinitialiser votre configuration 2FA via la page de profil.

Si personne ne peut réinitialiser votre configuration 2FA, vous devrez désactiver manuellement le plugin afin de pouvoir accéder à WordPress sans avoir à saisir votre code 2FA. Vous aurez besoin d'un accès FTP/SFTP ou SSH pour renommer le dossier du plugin. Cela désactivera efficacement le plugin, vous permettant de vous connecter sans 2FA.

Les verrouillages 2FA peuvent se produire pour plusieurs raisons, selon la méthode choisie. Savoir pourquoi vous ne recevez pas de code ou pourquoi le code ne fonctionne pas peut vous aider à résoudre les problèmes beaucoup plus rapidement.

L'authentification par e-mail est l'un des moyens les plus simples pour les utilisateurs d'obtenir leur code d'authentification pour se connecter. Bien que cette méthode fonctionne parfaitement, vous devez vous rappeler qu'elle dépend de la capacité de votre site Web WordPress à envoyer des e-mails en temps opportun. Cela dépend également de facteurs indépendants de votre volonté, tels que le transfert de tels e-mails par votre fournisseur d'hébergement. WordPress utilise la fonction wp_mail pour envoyer des e-mails. La fonction est basée sur la fonction de messagerie PHP, qui n'est pas l'option la plus fiable pour assurer la livraison des e-mails. Une autre chose à considérer est votre hébergement. Certains hébergeurs interdisent purement et simplement les e-mails pour éviter que leurs serveurs ne soient utilisés comme spam.

Des applications telles que Google Authenticator et Authy offrent souvent un moyen simple de recevoir le code à usage unique requis pour se connecter avec 2FA. Ces applications utilisent un algorithme basé sur le temps pour rester synchronisées, la première synchronisation étant effectuée via un code QR.

Les applications et les serveurs peuvent être désynchronisés, donc la resynchronisation de votre application peut résoudre vos problèmes. Si vous changez de téléphone, Google Authenticator vous permet de transférer vos codes d'un téléphone à l'autre. D'autre part, Authy vous permet d'effectuer des sauvegardes dans le cloud de vos codes, donc tout ce que vous avez à faire pour récupérer vos codes est de vous connecter avec vos informations d'identification - que ce soit sur un nouveau téléphone ou même sur votre PC ou votre ordinateur portable.

La sécurité de WordPress est essentielle pour assurer la longévité de votre site Web. 2FA est un fruit à portée de main qui offre un sérieux rapport qualité-prix. Avec de nombreuses entreprises et experts de renom qui se rallient à cette technologie, son efficacité est incontestable. Pourtant, de nombreux administrateurs craignent que les verrouillages des utilisateurs ne posent plus de problèmes que ne vaut 2FA. Comme cet article l'a montré, ce n'est pas le cas avec WP2FA.

Avec autant de façons d'éviter les verrouillages d'utilisateurs, il n'y a aucune raison pour que les administrateurs WordPress n'offrent pas 2FA à leurs utilisateurs. Il est toujours recommandé de planifier à l'avance, mais nous sommes tous plus sages lorsque nous regardons rétrospectivement. C'est pourquoi nous avons également abordé ce que vous pouvez faire pour restaurer l'accès après coup, en vous donnant toutes les informations dont vous avez besoin pour vous assurer que votre implémentation 2FA est un succès retentissant.

Il existe de nombreuses raisons possibles pour lesquelles vous pourriez ne pas recevoir votre e-mail 2FA. Dans la plupart des cas, il peut s'agir d'un problème avec WordPress ayant des difficultés à envoyer des e-mails ou un nœud de la chaîne, pour une raison ou une autre, ne transmet pas correctement l'e-mail.

WP 2FA est livré avec un testeur d'e-mail intégré qui peut vous permettre de vérifier que l'e-mail est envoyé. Cependant, ce n'est pas toute l'histoire et, à ce titre, il vaut la peine de prendre une minute pour comprendre comment les e-mails sont envoyés et livrés.

En un mot, WP 2FA compose l'e-mail et le transmet à WordPress, qui envoie ensuite l'e-mail au serveur SMTP configuré. WordPress le fait en utilisant une fonction appelée wp_mail, qui est construite sur la fonction mail de PHP. Bien que cela ait tendance à fonctionner assez bien hors de la boîte, cela peut être sujet à des problèmes.

Un plugin tel que Check & Log Email est un bon outil à avoir. Il enregistre tous les e-mails envoyés et fournit des outils de débogage. WP 2FA vous permet également de tester la livraison des e-mails auxquels vous pouvez accéder en accédant à WP 2FA > Paramètres > Paramètres et modèles de messagerie. Si tout se passe bien ici, le problème peut se situer plus loin sur la ligne. Vous voudrez peut-être envisager d'opter pour un plugin de messagerie SMTP pour améliorer la fiabilité de la livraison des e-mails.

Le message Comment récupérer d'un verrouillage WordPress 2FA est apparu en premier sur WP White Security.

*** Il s'agit d'un blog syndiqué du Security Bloggers Network de WP White Security rédigé par Joel Barbara. Lisez le message original sur : https://www.wpwhitesecurity.com/recover-from-2fa-lockout/