Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coupe WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Conseil de sécurité WordPress : Ajouter la vérification en 2 étapes de Google Authenticator

Voulez-vous ajouter la vérification en 2 étapes de Google Authenticator à votre site WordPress ?

Les mots de passe ne suffisent pas à éloigner les pirates et les utilisateurs non autorisés. Heureusement, l’utilisation de la vérification en deux étapes Google Authenticator peut ajouter une couche de sécurité supplémentaire à votre site web.

Dans cet article, nous allons vous montrer comment ajouter la vérification en 2 étapes sur votre site WordPress en utilisant l’application Google Authenticator.

wordpress-security-tip_-add-google-authenticator-2-step-verification-in-post

Qu’est-ce que l’application Google Authenticator et pourquoi en avez-vous besoin pour votre site WordPress ?

L’application Google Authenticator est une application mobile qui ajoute une deuxième couche d’authentification chaque fois que vous vous connectez à une application tierce ou à un site web comme WordPress.

Malheureusement, les mots de passe peuvent parfois être déchiffrés. Si vous utilisez le même mot de passe sur de nombreux sites web, une fuite de sécurité sur l’un d’entre eux met vos autres comptes en danger. Souvent, les gens sont paresseux et ne changent pas leurs mots de passe même après avoir reçu un courriel concernant une faille de sécurité sur un site important.

La vérification en 2 étapes est la solution à ce problème. Même si le pirate connaît votre nom d’utilisateur et votre mot de passe WordPress, il ne pourra pas accéder à votre site Web WordPress s’il ne dispose pas d’un code de sécurité aléatoire limité dans le temps (fourni par Google Authenticator).

Comme votre blog est directement connecté à votre appareil mobile, vous serez la seule personne à pouvoir récupérer le code unique pour chaque connexion. Le code expire dans un court laps de temps pour des raisons de sécurité.

L’application Google Authenticator n’est qu’un exemple d’application mobile fournissant une authentification à deux facteurs (2FA) pour divers comptes et services en ligne.

Il génère des mots de passe à usage unique basés sur le temps (TOTP) qui servent de deuxième facteur d’authentification lorsqu’on se connecte à un compte.

Si vous n’êtes toujours pas convaincu de l’importance de la sécurité de WordPress, vous devriez probablement voir comment la vie numérique de l’un des auteurs de Wired.com a été détruite.

Après avoir lu cet article, nous avons adopté l’authentification en deux étapes pour nos comptes Google et la plupart des autres services qui offrent cette fonctionnalité. Si vous êtes aussi soucieux de la sécurité que nous et que vous tenez à votre blog, vous devriez suivre ce conseil pour améliorer la sécurité de WordPress.

Remarque : Google Authenticator ne fonctionne que sur les appareils iOS, Android, Windows Phone, webOS, PalmOS et BlackBerry. En d’autres termes, vous aurez besoin de votre smartphone pour vous connecter à votre site web.

Pour améliorer encore votre sécurité, nous vous recommandons d’envisager d’autres méthodes. Par exemple, un logiciel comme 1Password peut vous aider à gérer vos mots de passe en un seul endroit et à vous assurer qu’ils sont suffisamment forts pour résister aux pirates potentiels.

Ceci étant dit, passons maintenant au tutoriel sur l’ajout de la vérification en 2 étapes de Google Authenticator à votre site WordPress.

Comment ajouter Google Authenticator dans WordPress

La première chose à faire est d’installer l’application Google Authenticator sur votre téléphone. Nous allons utiliser la terminologie iOS pour les besoins de ce tutoriel, mais le processus est similaire pour les autres appareils.

Étape 1 : Installer l’application Google Authenticator sur votre appareil mobile

Visitez l’App Store, recherchez « Google Authenticator », puis cliquez sur « Installer » pour l’application.

google authenticator app

Revenons maintenant à votre tableau de bord WordPress.

Étape 2 : Installer le plugin Google Authenticator de MiniOrange

Installez et activez le plugin Google Authenticator de MiniOrange. Pour plus de détails, vous pouvez consulter notre guide étape par étape sur l ‘installation d’un plugin WordPress.

MiniOranges Google Authenticator plugin

Il s’agit d’un plugin WordPress gratuit qui permet de protéger votre site contre les accès non autorisés. Chaque fois que vous vous connectez à WordPress, il vous est demandé de saisir le code d’accès à usage unique de l’application Google Authenticator pour vérifier votre identité.

Après avoir activé le plugin, vous serez dirigé vers un assistant de configuration. Il vous suffit de suivre la procédure pour configurer votre authentification à deux facteurs Google Authenticator dans WordPress.

Étape 3 : Terminer l’assistant d’installation

Commencez par cliquer sur le bouton « Commençons ».

Getting starting with two factor authentication

Ensuite, il vous sera demandé si vous souhaitez configurer 2FA après votre première connexion ou dans le tableau de bord du plugin. L’une ou l’autre méthode convient.

Cliquez sur « Continuer l’installation ».

continue setup 2FA

L’étape suivante consiste à choisir à qui s’applique le 2FA. Vous pouvez soit sélectionner tous les utilisateurs pour une sécurité maximale, soit ne l’appliquer qu’à certains rôles d’utilisateur.

Cliquez ensuite sur « Continuer la configuration ».

2FA user roles

Enfin, il vous sera demandé si vous souhaitez ou non appliquer directement le 2FA ou accorder un délai de grâce aux utilisateurs.

Si vous choisissez d’accorder un délai de grâce aux utilisateurs, vous pouvez sélectionner la durée de ce délai en heures et en jours. Une fois que vous avez terminé, cliquez sur « Tout est terminé ».

2FA grace period

Maintenant que vous avez terminé le processus de configuration, vous pouvez décider si vous souhaitez configurer 2FA pour vous-même maintenant ou plus tard.

Allez-y et cliquez sur le bouton « Configurer 2FA pour vous-même ».

configure 2FA yourself

Il vous sera alors demandé d’indiquer la méthode d’authentification à deux facteurs que vous souhaitez ajouter à votre site WordPress.

Pour ce tutoriel, nous choisirons « Google/Microsoft/Authy Authenticator ». Ensuite, cliquez sur le bouton « Enregistrer et continuer ».

select authentication method

Ensuite, il vous sera demandé de scanner le code-barres affiché à l’écran. Cela signifie que vous devez ouvrir l’application Google Authenticator sur votre téléphone et scanner le code-barres affiché.

Dans l’application Google Authenticator sur votre appareil mobile, cliquez sur l’icône « + » en bas, puis sélectionnez « Scanner un code QR ». Ensuite, pointez l’appareil photo de votre téléphone vers l’écran de votre ordinateur pour numériser le code-barres.

scan qr code for google authenticator

A partir de là, un code de passe à usage unique (OTP) apparaîtra sur votre appareil mobile.

Tapez cela à l’étape 2 sur votre ordinateur. À partir de là, vous pouvez cliquer sur « Enregistrer et continuer ».

configure google authenticator

Vous devriez maintenant recevoir un message indiquant que vous avez configuré avec succès l’authentification à deux facteurs.

Il suffit de sélectionner « Paramètres avancés ».

advance settings

Étape 4 : Ajouter des questions de sécurité

Outre l’ajout de l’authentification à deux facteurs Google Authenticator, il est probable que vous souhaitiez également ajouter des questions de sécurité.

Si vous ne pouvez pas accéder à votre application Google Authenticator, vous pouvez toujours vous connecter à votre site Web WordPress en répondant aux questions de sécurité que vous vous êtes posées.

Vous devez vous rendre sur la page Mini Orange 2-Factor  » Two Factor «  dans votre tableau de bord d’administration WordPress. Ensuite, dans l’onglet Configurer 2FA pour moi, trouvez la méthode Questions de sécurité et cliquez sur « Reconfigurer ».

Gardez à l’esprit que vous pouvez également configurer d’autres types de méthodes d’authentification à deux facteurs, telles que la vérification par courriel, l’OTP par SMS, l’OTP par courriel, l’OTP par Telegram et même Duo Authenticator.

reconfigure security questions

Ensuite, vous pourrez sélectionner jusqu’à trois questions de sécurité. Vous pouvez en sélectionner deux dans un menu déroulant, et la troisième sera une question personnalisée que vous pourrez inventer vous-même.

Saisissez ensuite la réponse pour chacun d’entre eux et cliquez sur le bouton « Enregistrer ».

set security questions

Étape 5 : Testez-le vous-même

Une fois que tout est configuré, vous pouvez le tester vous-même.

Il vous suffit de vous déconnecter de votre tableau de bord WordPress et d’essayer de vous reconnecter.

WordPress login page

Vous accédez alors à une page où vous pouvez soit répondre à des questions de sécurité, soit utiliser Google Authenticator pour saisir votre code d’accès unique.

Sélectionnez l’option « Google Authenticator ».

2 factor authentication method

Sur cet écran, il vous sera demandé de saisir votre OTP à partir de votre application Google Authenticator.

Saisissez le code et cliquez sur « Valider ».

validate otp

Vous allez maintenant revenir dans le tableau de bord de WordPress, comme d’habitude.

Enfin, nous recommandons à tous les utilisateurs d’activer la vérification en deux étapes sur leurs comptes Google. Vous pouvez également configurer cette fonction à l’aide de Google Authenticator, comme le montre ce didacticiel.

Nous espérons que cet article vous a aidé à ajouter la vérification en 2 étapes de Google Authenticator à votre site web WordPress. Vous pouvez également consulter notre article sur les erreurs WordPress les plus courantes et comment les corriger ou notre guide ultime pour améliorer la vitesse et les performances de WordPress.

Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.

Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Consultez comment WPBeginner est financé, pourquoi cela compte et comment vous pouvez nous soutenir. Voici notre processus éditorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

L'ultime WordPress Toolkit

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tous les professionnels devraient avoir !

Reader Interactions

56 commentairesLaisser une réponse

  1. David

    I just tried this and it locked me out of my website. The codes weren’t working. How can I remove this authenticator and get my site back. Pls help

  2. ANOOP VAISH

    what have to do if mobile lost please discribe

  3. yasir khan saqlaini

    i am using this feature but i want to know how will i get google authenticator code while login wp dashbord.

    • WPBeginner Support

      Hello Yasir,

      You will get Google Authenticator code inside the app you installed on your phone.

      Administrateur

  4. Danny D

    I’m surprised that nobody has mentioned Clef. This is the best 2-factor authentication for WordPress (and a lot of other websites as well). No passwords involved after initial setup. They have iOS and Android apps as well as chrome extensions to help with the setup. Works like a charm for me.

    • Sacha

      I agree – I absolutely love Clef. It makes things so easy and secure.

  5. rohit

    Message To Syed Balkhi,

    Well Fake GURUs Try to hack my website 100 Times a day Finally I have started using Google Authenticator and I change my Password every 10 days. I appreciate Your skills Thanks a lot.

  6. Akhil K A

    Hi.

    The plugin is compatible up to WP 3.8.8

    Can I install on the latest version?

    Thanks.

  7. handi priyono

    Hello dude,, thanks for help me by writting this useful post.
    this post very help me to prevent hacker to login to my web. thanks !!

    • Kavitha Krishnan

      I am using the WP.com hosting. So this option will not work for me.

  8. Kavitha Krishnan

    Hi, I have uninstalled the Google app by mistake now i am unable to login to WP. i requested the account recovery also nothing worked. Is there any solution for my issue.

  9. Sriram

    Hi,
    What if I have a custom login page? How can I integrate this plugin in my custom login page?

  10. Lorena Dennison

    I have my wordpress blog set up to receive a SMS code to log in… well my cell phone is shut off and can’t get the SMS Code…. so how can I log in and take that SMS off my blog?

  11. Kamran Abdul Aziz

    Aha, Google Authenticator & Authy they always works for me,
    However is there any option where we can force users to use 2 Step verification?

    Am not allowing my users to access the Backend, Their profile & everything is limited to front end only.

    I don’t want them to access their backend & Setup 2 step.

    Any solutions?

  12. Brenda

    I installed the two-step google authenticator, both the app and the plugin. I updated the app and now all of the sudden I can’t generate a verification code, and therefore have not been able to login to my Wordpress. I have no idea what « login using FTP » or who my webmaster is. I signed up for a free worpress account because I wanted to start a little blog and now it appears to me I have to be a computer wizard to do something so basic, which is login!! Can you please help? And explain it to me like I’m a third grader. I don’t have the tech savviness you all do.

    Thank you in advance

    • WPBeginner Support

      You mentioned that you have a free WordPress account. Does your blog address has wordpress.com in it? If that’s the case, then this tutorial is not for you. You need to contact WordPress.com support for assistance.

      Administrateur

  13. Zulfa Permata Suri

    I have set up two-step authentication for my wordpress blog. Suddenly I cant log-in it said the authentication code that i type is invalid and now I am locked out of my wordpress account.
    Help me please, I want to use my wordpress but I cant log-in T.T

      • Alyson

        Hi – I lost my phone with my google authenticator on it and now I can’t get into my site. I don’t know how to log in using ftp ..

        HELP?

        Thanks!

        • Editorial Staff

          Contact your webhosting provider. They’re the only one who have your FTP access and can help delete the plugin.

  14. Cara Isaacs

    Hey,

    I recently set up two-step authentication for my wordpress blog. Downloaded the google app and it all worked fine with log-in. Then changed the name of my blog and accidentally deleted the google authenticator app and now I am locked out of my wordpress account as it asks for the code yet I cannot generate a code because I can’t access my account to get the key.

    I hope you can help.. PLEASE!

      • Cara

        Thanks for your reply. I just downloaded the ftp software except it can’t seem to connect to the server. Looks like I will be starting a new blog…

        • Editorial Staff

          Hey Cara. Starting a new blog is not a good solution. Please get in touch with your hosting provider or send us an email. We can help you restore this and get it sorted out.

  15. Everett Patterson

    Well I did some research and found that the hosting time may be different than the phone time and may cause issues with the codes.

    I was able to log in to my Cpanel and delete the plugin. I still want to use it though so I added it back in and used the relaxed mode this time. Seems to be working now.

    Thanks for this post, very helpful.

  16. Everett Patterson

    Uh Oh. I locked myself out of my site.

    Here’s what I did:

    Added the plugin to my blog
    Activated it, but didn’t check the « Active » box
    Added authenticator to my android
    Scanned the QR code
    Checked « Active » box
    Signed out

    My phone gives me a new code every minute, but none of them work. What now?

    • Austin

      I did this too…. I logged into my host via FTP and deleted the Google Authenticator plugin.

      Then I went through the process again and the plugin/app combo worked like a charm!

      Hope you’re able to get back into your site (if you haven’t already).

  17. Maria Muir

    I installed the plugin, followed the simple steps and have now been locked out of my site. I also have the failed attempt log in plugin which has blocked me for 3 failed attempts so now have to wait. I did put in the correct details and authentication code, I tripled checked the installation and settings, all are correct. So why can’t I log back in?

  18. Chris Burbridge

    It does concern me that when you install the plugin, you have to activate it user by user. That doesn’t make sense to me. Wouldn’t an administrator want to have it work for all users, otherwise there are holes in the net?

    I have been trying this one, which is really great — http://wordpress.org/extend/plugins/duo-wordpress/ — there’s a free option, and it works similarly. It is very slick, with a smart phone.

    • Editorial Staff

      The reason why Google Authenticator requires each user to enable it themselves is because they have to connect their device with it. Google Authenticator is a great solution if you don’t like paying for a service. We are using it on our site. All we did was send an email to all users and ask them to turn it on.

      Yes it requires a little bit of extra work, but it is surely worth it for a small company like ours. If you have hundreds of people in your team, then it would be worth to automate it with a service like the one you linked.

      Administrateur

  19. Michael

    This works great with Limit Login Attempts plug in. Great security feature if your blog does not have SSL capabilities.

  20. yatin

    i love your site :) very helpful

    what if Google authenticator app got uninstalled by mistake !!!!

    after that how can i login in my wordpress site ?

  21. Gerard

    Good article, good plugin and good subject :)

    Love Authenticator app.

    Kind regards,

    Gerard.

  22. Umer Rock

    Buy Syed bro it is not linked to google account ? then why you used google athenticator word , i think it is kind of 2 step verification system only,

    • Editorial Staff

      If you read the post carefully, you will see that the app this plugin uses is called Google Authenticator. Without using that application this would not work. If you actually follow the tutorial and download the application, then you will see that application is made by Google Inc.

      Administrateur

  23. Hadley

    I was able to successfully set up the Google Authenticator app for myself as an admin on my site, but was not able to set it up successfully for an editor on the same site. On the other user’s profile settings under Google Authenticator, the only options are to hide the Authenticator settings or make the user active with Google Authenticator. There aren’t the same options to type in a site description or view a secret code. After installing the app successfully to the other user’s phone, she was not able to sign in to the site and I’m wondering if this is due to the profile settings. Any advice?

    • Editorial Staff

      Interesting. It is probably best to contact the plugin author and see what the issue could be.

      Administrateur

  24. Ahmad Awais

    Putting our login authentication in hands of a 3rd party plugin?
    Not more than 5k Downloads! What about its authenticity? Are you using it yourself #justcurious.
    I am happy with .htpaswrd file.

    Should we trust this code?

    Except this a nice plugin for sure.

    • Editorial Staff

      The plugin has low downloads because not many people have jumped on board with this 2-step verification method. If you are happy with .htpaswd, then good for you. Yes, we are using it on our site along with all the other security measures.

      Administrateur

  25. Dilawer Pirzada

    Buzz! After my great efforts on securing Wordpress blog from spammers and hackers, I myself today found a great plugin to stop hackers!

    Thanks for the plugin!

  26. Santel Phin

    Hi,

    I have completed the setup and it works great. But do I have possibility to choose how to the verification code.

    I did the same setup for my Google account, but it send via SMS in stead. And I do prefer this mode as well if it is possible.

    But I don’t see any setting to chose send via SMS. Hope you can give me an idea if it is possible or not.

    Thanks

    • Editorial Staff

      No the SMS option is not available. Mainly because for that you need a sending service which blogs are not equipped with. There is another plugin called « 2-step verification » that has the option to email the code. But no SMS.

      Administrateur

  27. Navneet Singh

    Plugin looking simple and POWERFUL.!!

  28. Saad

    This Will Be Useful For Stopping Brute Force :)

  29. Geoffrey Gordon

    Thanks Syed

    WordPress security has always been a big issue in general, so the more educated people are regarding WordPress security the better. This is especially important as people see WordPress as a quick way to get a website up and running. Then one day without warning BANG their website is down by some hacker.

    Busy checking out the Google authentication plugin for WordPress, looks good. I have ask though with all the security plugin’s installed on ones blog plus other plugins it tends to slow down the website. Sometimes its better to code what a plugin can do straight into your blog, rather than keep adding another plugin.

    • Editorial Staff

      This plugin works in the backend, so it will not have an impact on your site’s load time on the front-end.

      Administrateur

      • Landfoci

        Good plugin. Thanks your share

Laisser une réponse

Merci d'avoir choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés selon notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.