Le plugin Google Authenticator pour WordPress vous offre une authentification à deux facteurs avec l’application Google Authenticator pour Android / iPhone / Blackberry.

Si vous êtes soucieux de la sécurité, l’application Google Authenticator est peut-être déjà installée sur votre smartphone et utilisée pour l’authentification à deux facteurs dans Gmail / Dropbox / Lastpass / Amazon, etc.

L’exigence d’authentification à deux facteurs peut être activée par utilisateur. Vous pouvez l’activer pour votre compte administrateur, mais connectez-vous avec des comptes moins privilégiés, comme d’habitude.

Si vous avez besoin de maintenir votre blog avec une application Android / iPhone ou un autre logiciel avec l’interface XMLRPC, vous pouvez activer la fonction de mot de passe d’application dans ce plugin.
Notez, cependant, que l’activation de la fonction de mot de passe d’application rendra votre blog moins sécurisé.

Crédits

Grâce à:

Paweł Nowacki pour la traduction polonaise

Fabio Zumbi pour la traduction en portugais

Guido Schalkx pour la traduction néerlandaise.

Henrik Schack pour écrire / gérer les versions 0.20 à 0.48

Tobias Bäthge pour sa réécriture de code et sa traduction en allemand.

Pascal de Bruijn pour son idée du « mode détendu ».

Daniel Werl pour ses conseils d’utilisation.

Dion Hulse pour ses corrections de bogues.

Aldo Latino pour sa traduction italienne.

Kaijia Feng pour sa traduction chinoise simplifiée.

Alex Concha pour ses conseils de sécurité.

Jérôme Etienne pour son plugin jquery-qrcode.

Sébastien Prunier pour sa traduction espagnole et française.

  1. Assurez-vous que votre hébergeur est en mesure de fournir des informations de temps précises pour PHP / WordPress, c.-à-d. H. Assurez-vous que le serveur exécute un démon NTP.
  2. Installez et activez le plugin.
  3. Sur la page Utilisateurs -> Profil et options personnelles, dans la section Google Authenticator, saisissez une description.
  4. Scannez le code QR généré avec votre téléphone ou entrez le secret manuellement. N’oubliez pas de choisir celui basé sur le temps.
    Vous pouvez également écrire le secret sur un morceau de papier et le conserver en lieu sûr.
  5. N’oubliez pas de rencontrer ceux Mettre à jour le profil Avant de quitter la page Options personnelles, cliquez sur le bouton en bas de la page.
  6. Ca y est, votre blog WordPress est un peu plus sécurisé maintenant.

Puis-je utiliser Google Authenticator pour WordPress avec les applications Android / iPhone pour WordPress?

Oui, vous pouvez activer la fonction de mot de passe d’application pour l’activer. Veuillez noter, cependant, que l’interface XMLRPC n’est pas protégée par une authentification à deux facteurs, mais uniquement par un mot de passe long.

Je veux mettre à jour le secret. Dois-je simplement scanner le nouveau code QR après avoir créé un nouveau secret?

Non, vous devrez supprimer le compte existant de l’application Google Authenticator sur votre smartphone avant de numériser le nouveau code QR, sauf si vous modifiez également la description.

Je ne peux pas me connecter avec ce plugin. Que ce passe-t-il?

Les codes de vérification de Google Authenticator sont basés sur le temps. Par conséquent, il est important que l’horloge de votre téléphone soit correcte et synchronisée avec l’horloge du serveur qui héberge votre installation WordPress.
Si vous possédez un téléphone Android, vous pouvez utiliser une application telle que ClockSync pour régler votre horloge si votre fournisseur de services sans fil ne fournit pas d’informations précises sur l’heure
Une autre possibilité est d’activer le « mode détendu » dans les paramètres du plugin. Cela activera des codes plus valides en accordant jusqu’à 4 minutes. Décalage temporel dans chaque direction.

J’ai plusieurs utilisateurs dans mon installation WordPress. Est-ce une configuration prise en charge?

Oui, chaque utilisateur dispose de ses propres paramètres Google Authenticator.

Pendant l’installation, j’ai oublié de m’assurer que mon hébergeur Web peut fournir des informations de temps précises. Je ne peux pas me connecter maintenant. Veuillez aider.

Si vous disposez d’un accès SSH ou FTP à votre compte d’hébergement Web, vous pouvez supprimer manuellement le plugin de votre installation WordPress.
Supprimez simplement le répertoire wp-content / plugins / google-authentulator et vous pourrez vous reconnecter avec votre nom d’utilisateur / mot de passe.

Je n’ai pas de smartphone. N’existe-t-il pas d’autre moyen de générer ces codes secrets?

Oui, il existe une version Web ici: https://gauth.apps.gbraad.nl/
Projet Github ici: https://github.com/gbraad/gauth

Puis-je créer des codes de sauvegarde?

Non, mais si vous utilisez un smartphone Android, vous pouvez remplacer l’application Google Authenticator par Authenticator Plus.
C’est une application vraiment sympa qui peut importer vos paramètres existants, synchroniser entre les appareils et sauvegarder / restaurer avec votre carte SD.
Ce n’est pas une application gratuite, mais ça vaut vraiment le coup.

Incompatibilités connues?

Oui, le code man-in-the-middle pour la détection des attaques et des tentatives n’est pas compatible avec le mode test / configuration du «Stop Spammer Registration Plugin».
N’oubliez pas de décocher la case « Vérifier les informations de connexion à chaque fois que vous essayez de vous connecter » avant d’installer mon plugin.

Fonctionne très bien dans les formulaires natifs wp-login.php, mais a provoqué une erreur de site critique sur d’autres formulaires lors de la tentative de connexion à un utilisateur qui a activé 2fa. À savoir le formulaire d’inscription Woocommerce dans un scénario où 2fa est sur une page distincte qui n’a pas la même forme. J’apprécie le travail de développement et je continue à le faire, mais des problèmes mineurs comme ceux qui sont importants dans les installations de fabrication. Seuls les robots qui essaient de se connecter peuvent remplir le journal des erreurs très rapidement.

Ce plugin fonctionne parfaitement, je l’ai utilisé sur de nombreux sites Web.

J’aime ce plugin car il est simple et ne crée pas d’événement de connexion échoué comme l’option 2FA de WordFence. Ne vous méprenez pas, WordFence est un très bon plugin avec des fonctionnalités étonnantes, seule la partie 2FA est peu pratique. Dans WordFence, si je n’entre pas le code dans le champ du mot de passe, j’obtiens un événement de connexion échoué lorsque j’entre le code dans une fenêtre séparée. La fenêtre de connexion de Google Authenticator résout ce problème en ajoutant le champ Google Authenticator Code à la page de connexion. Cela crée un peu de confusion pour les débutants, mais une petite balise de message ou une coche peut dissiper la confusion.

Personnellement, je pense que 2FA devrait faire partie du noyau WordPress. Cependant, comme ce n’est pas le cas, des plugins comme celui-ci sont indispensables pour sécuriser vos sites Web. L’interface de configuration est claire et la page de connexion correspond parfaitement au style standard de la page de connexion WP. Ce plugin est léger, discret, gratuit et offre une sécurité supplémentaire. Si vos informations d’identification d’administrateur sont compromises, 2FA assurera la sécurité de votre site.

Lors de la saisie des paramètres que je souhaite quitter, la page des paramètres n’autorise pas la même page et la recharge

J’ai installé ce plugin et après l’avoir activé et consulté la page de sécurité, j’ai décidé de ne pas continuer. J’ai pensé que je pourrais simplement accéder à ma liste de plugins et la désactiver (comme tous les autres plugins). Mais pas de chance! Mon site Web est maintenant bloqué sur la page d’activation et je ne peux accéder à rien d’autre sur mon site Web. CE PLUGIN SUCE DE LA MERDE !!! ET DEVRAIT ÊTRE INTERDIT.

Lire les 123 avis

« Google Authenticator » est un logiciel open source. Les personnes suivantes ont contribué à ce plugin.

Contributeurs

0,53

0,52

  • Ajouter une traduction en néerlandais
  • Ajouter une traduction en portugais

0,51

  • Correction d’une régression qui corrompait les mots de passe des applications

0,50

  • Nouveau superviseur Ivankk
  • Inclut conditionnellement la classe base32

0,49

  • Flux de connexion optimisé pour les utilisateurs, écran de configuration pour les administrateurs.
  • Support multi-site pour activer 2fa soit par rôle sur un site et / ou sur un réseau.
  • Ajout du filtre google_authenticator_needs_setup pour voir si l’utilisateur doit activer 2fa.
  • Un processus de connexion en deux parties a été ajouté, où le code 2fa peut être demandé sur un deuxième écran de connexion.
  • Correction d’un bug de sécurité qui faisait continuer check_otp même si une erreur d’authentification avait déjà été renvoyée.

0,48

  • Mise à jour de sécurité / compatibilité avec WordPress 4.5

0,47

  • API Google Chart remplacée par jquery-qrcode
  • Les codes QR contiennent maintenant un en-tête qui dit WordPress (Demande de fonctionnalité de Flemming Mahler)
  • Traduction en danois et fichier .pot mis à jour.
  • Le plugin enregistre désormais les tentatives de connexion qui ont été identifiées comme des attaques man-in-the-middle.

0,46

  • Ajout de la protection contre les attaques de l’homme du milieu.
  • Affichez un avertissement avant d’afficher le code QR.
  • FAQ mise à jour.

0,45

  • Les espaces dans le champ de description devraient désormais fonctionner sur les iPhones.
  • Certains appels de fonction privés ont été remplacés.
  • Le champ de saisie de code est désormais plus facile à utiliser pour les utilisateurs JP.
  • Nettoyez l’entrée du champ de description.
  • La fonction de hachage du mot de passe de l’application a été remplacée par une fonction pour laquelle aucune table arc-en-ciel n’est disponible.
  • Les conseils PHP qui se produisent lors de la connexion par mot de passe d’application ont été supprimés.

0,44

  • Mise à jour de la zone d’installation / FAQ.
  • Ajout de la traduction chinoise simplifiée par Kaijia Feng.
  • L’index d’onglets supprimé sur la page de connexion, qui n’était plus nécessaire, était utilisé par les anciennes installations WordPress.
  • Champ de saisie renommé « googleotp ».
  • Changement de la description par défaut en « WordPressBlog » pour éviter des problèmes pour les utilisateurs d’iPhone.
  • Compatibilité avec le plugin Ryan Hellyer http://geek.ryanhellyer.net/products/deactivate-google-authenticator/
  • Doit entrer les 6 chiffres du code.

0,43

  • Il est désormais possible pour un administrateur de masquer les paramètres de Google Authenticaator par utilisateur. (Demande de fonctionnalité de: Skate-O)

0,42

  • Saisie semi-automatique désactivée dans le champ de saisie du code. (Demande de fonctionnalité de: hiphopsmurf)

0,41

  • Ajout de la traduction italienne par Aldo Latino.

0,40

  • Correction de bug, faute de frappe et conseils PHP supprimés. Un grand merci à Dion Hulse pour son patch.

0,39

  • Correction de bug, la description n’était pas enregistrée dans la base de données WordPress lors de la mise à jour du profil. Merci xxdesmus de l’avoir remarqué.

0,38

  • Correctif de convivialité, champ de saisie pour les codes qui ont été modifiés du mot de passe au type de texte.

0,37

  • Le plugin prend désormais en charge le « Mode Détendu » pour l’authentification. Lorsque cette option est sélectionnée, les codes de 4 minutes avant et 4 minutes après fonctionneront. 30 secondes avant et après est toujours le paramètre par défaut.

0,36

  • Correction de bogue, maintenant un mot de passe d’application ne peut être utilisé que pour les connexions de demande XMLRPC / APP.

0,35

  • Ajout du premier support pour les applications WordPress (XMLRPC).

0,30

  • Nettoyage de code
  • La génération de clé secrète a été modifiée afin que SHA256 ne soit plus nécessaire sur le serveur
  • Traduction allemande

0,20



Source link

Recent Posts