Description
L’extension Google Authenticator pour WordPress vous permet d’activer l’authentification à deux étapes avec l’application Google Authenticator pour Android/iPhone/Blackberry.
La sécurité est importante pour vous ? Vous avez probablement déjà installé l’application Google Authenticator sur votre smartphone, afin de générer des codes temporaires pour Gmail/Dropbox/Lastpass/Amazon…
L’exigence d’authentification à deux étapes peut être activée par utilisateur. Vous pouvez l’activer pour votre compte administrateur, tout en autorisant les comptes moins privilégiés à se connecter de façon standard.
Si vous devez maintenir votre blog en utilisant une application Android/iOS, or tout autre application utilisant une interface XMLRPC, vous pouvez activer le mots de passe de l’application depuis cette extension,
mais veuillez noter que l’activation de la fonctionnalité mot de passe de l’application rendra votre blog moins sécurisé.
Crédits
Merci à :
Oleksiy for a bugfix in multisite.
Paweł Nowacki for the Polish translation
Fabio Zumbi for the Portuguese translation
Guido Schalkx for the Dutch translation.
Henrik.Schack for writing/maintaining versions 0.20 through 0.48
Tobias Bäthge pour sa réécriture de code et la traduction en allemand.
Pascal de Bruijn pour son idée du « mode moins strict ».
Daniel Werl pour ses conseils d’ergonomie.
Dion Hulse pour ses correctifs.
Aldo Latino pour sa traduction en italien.
Kaijia Feng pour sa traduction en chinois simplifié.
Alex Concha pour ses conseils en sécurité.
Jerome Etienne pour son extension jquery-qrcode.
Sébastien Prunier pour ses traductions en espagnol et en français.
Captures d’écran
Installation
- Assurez-vous que votre hébergeur est capable de fournir l’heure de façon précise à PHP/WordPress. Assurez-vous qu’un démon NTP est activé sur le serveur.
- Installez et activez l’extension.
- Saisissez une description sur la page Utilisateurs -> Profil, dans la section Google Authenticator.
- Scan the generated QR code with your phone, or enter the secret manually, remember to pick the time based one.
You may also want to write down the secret on a piece of paper and store it in a safe place. - N’oubliez pas de cliquer sur le bouton Mettre à jour le profil en bas de la page avant de quitter la page.
- Voilà ! Votre blog WordPress est maintenant un peu plus sécurisé.
FAQ
-
Puis-je utiliser Google Authenticator pour WordPress avec les applications WordPress pour Android/iPhone ?
-
Oui, vous pouvez pour cela activer le mot de passe application. Notez que l’interface XML-RPC n’est pas protégée par l’authentification à deux étapes, seulement par un mot de passe long.
-
Je souhaite mettre à jour la clé secrète ; devrai-je juste scanner le nouveau QR code après avoir créé une nouvelle clé secrète ?
-
Non, vous devez supprimer le compte existant de l’application Google Authenticator de votre smartphone avant de scanner le nouveau QR code, à moins que vous changiez également la description.
-
Je ne parviens pas à me connecter quand cette extension est activée, quel est le problème ?
-
The Google Authenticator verification codes are time based, so it’s crucial that the clock in your phone is accurate and in sync with the clock on the server where your WordPress installation is hosted.
If you have an Android phone, you can use an app like ClockSync to set your clock in case your Cell provider doesn’t provide accurate time information
Another option is to enable « relaxed mode » in the settings for the plugin, this will enable more valid codes by allowing up to a 4 min. timedrift in each direction. -
J’ai plusieurs utilisateurs sur mon installation WordPress, est-ce supporté ?
-
Oui, chaque utilisateur a ses propres réglages Google Authenticator.
-
Lors de l’installation, j’ai oublié de m’assurer que mon hébergeur etait capable de fournir l’heure de façon précise ; je ne peux plus me connecter. Que faire ?
-
If you have SSH or FTP access to your webhosting account, you can manually delete the plugin from your WordPress installation,
just delete the wp-content/plugins/google-authenticator directory, and you’ll be able to login using username/password again. -
Je n’ai pas de smartphone, existe-t-il une autre façon de générer des codes secrets ?
-
Yes, there is a webbased version here : https://gauth.apps.gbraad.nl/
Github project here : https://github.com/gbraad/gauth -
Puis-je créer des codes de secours ?
-
No, but if you’re using an Android smartphone you can replace the Google Authenticator app with Authenticator Plus.
It’s a really nice app that can import your existing settings, sync between devices and backup/restore using your sd-card.
It’s not a free app, but it’s well worth the money. -
Existe-t-il des incompatibilités connues ?
-
Yes, the Man-in-the-middle attack/replay detection code isn’t compatible with the test/setup mode in the « Stop spammer registration plugin »,
please remember to remove the « Check credentials on all login attempts » checkmark before installing my plugin.
Avis
Contributeurs/contributrices & développeurs/développeuses
« Google Authenticator » est un logiciel libre. Les personnes suivantes ont contribué à cette extension.
Contributeurs“Google Authenticator” a été traduit dans 15 locales. Remerciez l’équipe de traduction pour ses contributions.
Traduisez « Google Authenticator » dans votre langue.
Le développement vous intéresse ?
Parcourir le code, consulter le SVN dépôt, ou s’inscrire au journal de développement par RSS.
Journal
0.54
- Fixed a bug in multisite.
0.53
- Add a Polish translation
0.52
- Add a Dutch translation
- Add a Portuguese translation
0.51
- Fix a regression that broke app passwords
0.50
- New maintainer ivankk
- Conditionally include base32 class
0.49
- More streamlined sign-up flow for users, configuration screen for admins.
- Multisite support to either enable 2fa by role on a site, and/or on a network.
- Added filter google_authenticator_needs_setup to determine if user needs to enable 2fa.
- Added two part login process that can ask for 2fa code on a second login screen.
- Fixed a security bug that continued check_otp even if authenticate had already returned an error.
0.48
- Security fix / compatability with WordPress 4.5
0.47
- L’API Google Charts a été remplacée par jquery-qrcode
- Les QR codes contiennent désormais une en-tête WordPress (fonctionnalité demandée par Flemming Mahler)
- Traduction en danois & fichier .pot mis à jour.
- L’extension enregistre désormais les tentatives de connexions comme les attaques Man-in-the-Middle
0.46
- Ajout de la protection Man-in-the-middle.
- Un avertissement est affiché avant d’afficher le QR code.
- FAQ mise à jour.
0.45
- Les espaces dans la description devraient désormais fonctionner sur iPhone.
- Certains appels de fonction obsolètes ont été remplacés.
- Le champ d’entrée de code est désormais plus facile à utiliser pour les utilisateurs .jp.
- Le champ de saisie de description est aseptisé.
- La fonction de hachage de mot de passe de l’application a été changée par une qui n’a pas de rainbow tables disponibles.
- Suppression des avertissements PHP pendant la connexion avec le mot de passe de l’application.
0.44
- Section installation/FAQ mise à jour.
- Ajout de la traduction en chinois simplifié par Kaijia Feng.
- Retrait de tabindex sur la page de connexion, devenu inutile depuis les versions récentes de WordPress.
- Champ de saisie renommé « googleotp ».
- Description par défaut « WordPressBlog » pour éviter les problèmes avec les utilisateurs d’iPhone.
- Compatibilité avec l’extension de Ryan Hellyer http://geek.ryanhellyer.net/products/deactivate-google-authenticator/
- Vous devez saisir 6 chiffres.
0.43
- Il est désormais possible pour un administrateur de cacher les réglages Google Authenticator par utilisateur (Demandé par Skate-O)
0.42
- Saisie semi-automatique désactivée sur le champ de saisie du code (Suggéré par hiphopsmurf)
0.41
- Traduction en italien par Aldo Latino ajoutée.
0.40
- Correctifs, faute de frappe corrigée et alertes PHP supprimées. Merci à Dion Hulse pour son patch.
0.39
- Correctifs, la description n’était pas enregistrée dans la base de données WordPress lors de la mise à jour du profil. Merci à xxdesmus.
0.38
- Mise à jour de l’ergonomie, le champ de saisie des codes passé de mot de passe à texte.
0.37
- L’extension prend en charge désormais le mode moins strict lors de l’authentification. Les codes générés 4 minutes avant et après fonctionneront. Le paramètre par défaut reste 30 secondes avant et après.
0.36
- Correctif, le mot de passe de l’application peut être utilisé uniquement pour les connexions XML-RPC/APP.
0.35
- Prise en charge initiale de l’application WordPress ajoutée (XML-RPC).
0.30
- Nettoyage du code
- Modification de la génération de la clé secrète. Le support de SHA256 par le serveur n’est plus requis.
- Traduction en allemand
0.20
- Version initiale