La sécurité d'un site web WordPress est primordiale, en particulier lorsqu'il s'agit d'un site d'adhésion. Assurer une protection maximale et empêcher les faux enregistrements est une priorité absolue pour préserver l'intégrité de votre plateforme.
Cette documentation explique comment ajouter l'authentification à deux facteurs (2FA) à MemberPress à l'aide de l'option WP 2FA plugin.
Qu'est-ce que 2FA ?
Lorsqu'elle est activée, l'option 2FA oblige les utilisateurs d'un site web à fournir deux méthodes d'authentification pour accéder à un compte ou à une application en ligne.
Cette couche de sécurité supplémentaire protège contre les attaques par mot de passe et empêche même les faux enregistrements. Elle permet de protéger les informations sensibles, de garantir la conformité aux réglementations et de renforcer la confiance des utilisateurs.
Fonctionnalités du plugin WP 2FA
WP 2FA dispose d'un ensemble de fonctionnalités riches qui fournissent une configuration simplifiée d'authentification à deux facteurs pour vos sites d'adhésion. Ces fonctionnalités sont les suivantes :
- Méthodes d'authentification multiples : Offre diverses options d'authentification, y compris TOTP et la vérification par courrier électronique ;
- Personnalisation du rôle de l'utilisateur : Permet de spécifier quels rôles d'utilisateur nécessitent l'utilisation de 2FA, ce qui permet de personnaliser la sécurité en fonction des rôles ;
- Codes de sauvegarde : Les utilisateurs peuvent générer des codes de sauvegarde pour des alternatives de connexion sécurisées en cas d'échec du 2FA principal ;
- Journalisation et rapports : Fournit des journaux et des rapports détaillés pour surveiller l'activité de l'utilisateur et l'utilisation de 2FA ;
- Compatibilité d'intégration : Fonctionne en toute transparence avec d'autres plugins WordPress, thèmes et systèmes d'adhésion, tels que Memberpress, pour une expérience utilisateur unifiée.
Comment configurer WP 2FA ?
Avant de commencer, assurez-vous d'avoir mis en place la configuration suivante :
- Une installation active de WordPress avec un accès administrateur.
- Un site web d'adhésion entièrement opérationnel fonctionnant avec le plugin Memberpress.
Si vous n'avez pas encore créé votre site d'affiliation, consultez la rubrique "Premiers pas avec MemberPressL'article " La vie en Europe " pour vous aider à démarrer.
Installation
Pour activer l'authentification à deux facteurs, vous devez installer le logiciel WP 2FA de MelaPress. Ce plugin convivial simplifie la mise en œuvre de 2FA sur vos sites d'adhésion.
Allez dans votre tableau de bord WordPress, naviguez vers Plugins > Add New, et tapez WP 2FA dans la barre de recherche.
Ensuite, installez et activez le plugin WP 2FA.
Configuration du plugin WP 2FA
Après une activation réussie du plugin, vous serez dirigé vers un assistant pour configurer l'authentification à deux facteurs sur votre site web.
Cet assistant d'accueil vous guide à travers une série d'étapes qui vous aident à configurer 2FA sans aucune difficulté, même pour les utilisateurs non techniques. Tout ce qui est configuré avec l'aide de l'assistant peut être modifié ou reconfiguré à partir des paramètres du plugin.
Cliquez sur le bouton "CommençonsPour lancer l'assistant, cliquez sur le bouton "Démarrer" et suivez les étapes pour configurer le plugin :
- Dans la première étape, vous pouvez sélectionner les méthodes d'authentification que vous souhaitez utiliser sur votre site. Il y a deux options et nous vous suggérons d'utiliser les deux :
- Code à usage unique via l'application 2FA (TOTP) - cette méthode permet à vos membres d'utiliser n'importe quelle application mobile d'authentification prise en charge (Authy, Google Authenticator, Microsoft Authenticator, Duo Security, Lastpass, FreeOTP ou Okta Verify) pour l'authentification et la vérification 2FA. Cette option est particulièrement importante dans les cas où vos membres perdent l'accès à leur email et ne peuvent pas utiliser la seconde méthode (email) ;
- Code unique par courriel (HOTP) - Avec cette méthode, vos membres pourront obtenir leurs codes 2FA par courrier électronique.
- En plus des méthodes d'authentification primaires, WP 2FA offre des options secondaires telles que Codes de sauvegarde. Vous pouvez l'activer lors de la deuxième étape.
- Ensuite, les politiques 2FA du plugin vous permettent de choisir d'appliquer ou non le 2FA et pour qui :
- Tous les utilisateurs - cela permettra d'appliquer le 2FA à tous vos utilisateurs, y compris les utilisateurs administrateurs ;
- Uniquement des utilisateurs et des rôles spécifiques - Ici, vous pouvez imposer le 2FA à des utilisateurs spécifiques ou à tous les utilisateurs auxquels un certain rôle a été attribué (par exemple, par défaut, tous vos membres auront le rôle "Abonné"(rôle de l'utilisateur) ;
- N'appliquer à aucun utilisateur - cette option permet à vos utilisateurs de décider s'ils souhaitent activer la fonction 2FA.
- Dans la quatrième étape, vous pouvez également exclure des utilisateurs individuels ou des rôles d'utilisateurs de l'option 2FA choisie à l'étape précédente.
- Vous pouvez également prévoir un délai de grâce pour que les utilisateurs activent le 2FA lors de la dernière étape :
Les utilisateurs doivent configurer 2FA immédiatement - cette option ne permet pas aux utilisateurs d'accéder à une page ou à un article de votre site après s'être connectés, sans avoir d'abord activé l'option 2FA ;
Donner aux utilisateurs un délai de grâce pour configurer 2FA - cette option donne aux utilisateurs une période déterminée pour configurer 2FA. Pendant ce temps, vos utilisateurs auront accès à votre contenu (en fonction de leur adhésion). Avec cette option, vous pouvez également choisir si les membres doivent avoir accès au tableau de bord. En outre, vous pouvez choisir l'endroit où la notification de configuration de 2FA doit être affichée, afin de leur rappeler de configurer 2FA.
Cliquez sur le bouton "Tout est fait"pour terminer la configuration.
Création d'une page de configuration 2FA pour les membres
Comme les membres n'ont généralement pas accès au tableau de bord par défaut de WordPress, les administrateurs peuvent définir la page de configuration 2FA. Cette page est accessible aux membres sur le front-end et leur permet d'activer le 2FA pour leurs comptes.
Cette page doit être configurée à partir de votre tableau de bord :
- Naviguez jusqu'à Tableau de bord > WP 2FA > Politiques 2FA.
- Faites défiler vers le bas jusqu'à la rubrique "Page de paramétrage de l'interface 2FA"et de la régler sur Oui.
- Fournir un URL de la page où les utilisateurs peuvent configurer 2FA.
Le plugin génère automatiquement la page, qui peut être personnalisée comme n'importe quelle autre page WordPress. Sur la même page, vous pouvez configurer l'endroit où vos membres doivent être redirigés après avoir configuré l'installation de 2FA.
Inscription des membres et 2FA
Lorsqu'un membre s'inscrit pour une adhésion ou se connecte, il sera automatiquement redirigé vers la page des paramètres 2FA du Frontend. Sur cette page, il lui sera présenté le formulaire "Configurer 2FAbouton ".
Ce bouton lancera un assistant facile à suivre qui les guidera tout au long de la procédure. Configuration de 2FA.
Ajouter 2FA aux pages personnalisées
Bien que la page de configuration 2FA de WP soit disponible par défaut, il se peut qu'elle ne corresponde pas toujours à vos besoins. Dans ce cas, vous pouvez créer une page personnalisée et y ajouter une option de configuration 2FA. Il peut s'agir d'une page personnalisée de l'espace membre ou de toute autre page que vous avez créée pour vos membres.
Le plugin WP 2FA facilite cette fonction en fournissant shortcodes. Ces shortcodes permettent aux utilisateurs d'accéder à l'assistant 2FA sur la page des paramètres frontaux personnalisés.
Pour ce faire, il vous suffit d'ajouter le shortcode suivant à votre page personnalisée :
[wp-2fa-setup-form]
Il s'agit également de la page vers laquelle MemberPress redirige les membres lors de leur connexion (la page "URL à laquelle le membre est redirigé après s'être connectéL'option " " est disponible à l'adresse Tableau de bord > MemberPress > Paramètres > Onglet Compte).
Prévenir les faux enregistrements
Les faux enregistrements créés pour des activités malveillantes (par exemple, des tests de cartes) peuvent entraîner un surcroît de travail et d'encombrement dans votre backend. L'authentification à deux facteurs peut également constituer une protection supplémentaire contre les faux enregistrements.
Par défaut, une fois que le formulaire d'inscription est soumis par un nouvel utilisateur, MemberPress crée un compte utilisateur WordPress. Il attribuera également une transaction et un abonnement à cet utilisateur.
Pour éviter que des transactions et des abonnements ne soient créés pour chaque faux enregistrement d'utilisateur, vous pouvez diviser votre processus d'enregistrement.
Avec cette solution de contournement, vous protégerez toutes vos pages d'inscription des membres en les rendant accessibles uniquement aux utilisateurs existants. Ensuite, vous créerez un flux d'utilisateurs qui leur demandera d'abord de s'enregistrer pour un compte WordPress. Une fois enregistrés et connectés, vos utilisateurs devront passer par une authentification à deux facteurs.
Ils pourront ensuite accéder aux pages d'inscription des membres, en tant qu'utilisateurs connectés.
Suivez les étapes suivantes pour créer cette procédure d'enregistrement alternative :
- Naviguez jusqu'à Tableau de bord > MemberPress > Règleset créer une règle pour protéger chacune de vos pages d'enregistrement. Dans les conditions d'accès à ces règles, vous devez définir l'accès uniquement pour votre rôle d'utilisateur par défaut de WordPress. À moins que vous ne modifiiez les paramètres par défaut, il s'agira du rôle "Abonné"rôle de l'utilisateur.
- Ensuite, activez l'enregistrement des utilisateurs par défaut de WordPress en activant "Tout le monde peut s'inscrire" dans le cadre de la "L'adhésion"Vous trouverez cette option en naviguant vers la page d'accueil du site. Vous pouvez trouver cette option en naviguant vers Tableau de bord > Paramètres > Général.
- Vous pouvez maintenant utiliser la page d'enregistrement par défaut de WordPress. Cette page contient les éléments suivants /wp-login.php?action=register slug (par exemple https://yourdomain.com/wp-login.php?action=register). Vous devez relier cette page à tous vos boutons, liens et pages d'inscription.
- En outre, vous devez rendre le 2FA obligatoire pour tous les utilisateurs à Tableau de bord > WP 2FA > Politiques 2FA.
Dans le cadre de ce flux, vous pouvez créer une page d'espace membre personnalisée. Vous pouvez y ajouter des liens vers la page du compte de l'utilisateur, les pages d'inscription des membres ou la page de tarification, etc. Cette page pourrait ensuite servir de page d'accueil pour les utilisateurs à la fin du processus d'authentification à deux facteurs.
Vous redirigerez les utilisateurs vers cette page de l'espace membre après leur connexion. Vous pouvez également définir cette redirection vers la page du compte MemberPress ou toute autre page que vous utiliseriez comme page d'accueil pour vos membres.
Avec cette solution de contournement, seuls les utilisateurs autorisés pourront s'inscrire pour des adhésions. Ainsi, tous les abonnements et toutes les transactions dans votre backend MemberPress seront liés à des utilisateurs dont l'adresse électronique a été confirmée.
Synthèse
Ajouter le WP 2FA La connexion à votre site MemberPress en poudre renforce votre sécurité et vous aide à conserver la confiance de vos membres.
WP 2FA simplifie la mise en œuvre du 2FA grâce à des options conviviales et à une intégration transparente avec MemberPress lors de l'inscription et de la connexion des administrateurs et des membres.