WordPress.com

Votre site WordPress.com est votre maison sur internet, et vous voulez garder cette maison en sécurité. Avec un peu de chance, vous avez déjà choisi un mot de passe unique et difficile à craquer pour votre compte. Pour ajouter une autre couche de sécurité à la maison, vous pouvez activer l’authentification en deux étapes.

Table des matières

Qu’est-ce que l’authentification en deux étapes ?

L’authentification en deux étapes est une méthode de sécurisation des comptes exigeant que vous connaissiez quelque chose (un mot de passe) pour vous connecter, mais aussi que vous possédiez quelque chose (votre appareil mobile ou une clé physique). L’avantage de cette approche de la sécurité est que même si quelqu’un devine votre mot de passe, il doit avoir également volé votre possession pour s’introduire dans votre compte.

À WordPress.com, nous proposons une authentification en deux étapes via un appareil mobile et une clé de sécurité physique. Nous vérifions d’abord votre appareil mobile en envoyant un code via l’une des deux méthodes suivantes. Une fois que vous avez vérifié votre appareil mobile, vous pouvez également ajouter une authentification qui utilise une clé physique à la place.

Une fois que vous avez configuré l’authentification en deux étapes, chaque fois que vous vous connectez avec votre mot de passe, nous envoyons un nouveau code à votre appareil que vous devez saisir, ou vous devez brancher votre clé physique avant de vous connecter. Cela ajoute une petite étape supplémentaire au processus de connexion mais rend votre compte beaucoup plus sécurisé.

Table des matières

Configuration avec une application d’authentification

Pour configurer l’authentification en deux étapes via une application d’authentification comme Google Authenticator, Authy ou Duo sur votre appareil, vous devrez commencer dans un navigateur de bureau.

D’abord, allez sur votre page de paramètres d’authentification en deux étapes sur WordPress.com:

Ou, vous pouvez atteindre les paramètres en cliquant sur votre image de profil depuis la page d’accueil de WordPress.com home page:

Puis, cliquez sur le lien « Sécurité » dans la navigation à gauche de l’écran:

Puis, cliquez sur Authentification en deux étapes et ensuite sur Démarrer.

Ici, vous serez invité à sélectionner votre pays et à fournir votre numéro de téléphone mobile (sans code pays et sans espaces ou tirets). Après avoir fait cela, cliquez sur Vérifier via l’appli.

Puis, scannez le code QR présenté avec votre appli d’authentification. Un numéro à six chiffres apparaîtra dans l’appli d’authentification. Saisissez-le dans le champ prévu à cet effet et cliquez sur Enable.

Enfin, vous serez invité à imprimer des codes de sauvegarde. Ne sautez pas cette étape, car ce sera votre seul moyen de vous reconnecter à votre compte sans l’aide du personnel si votre appareil venait à disparaître !

Veuillez noter : si votre navigateur Web est configuré pour bloquer les fenêtres pop-up, vous devrez peut-être désactiver temporairement cette fonction car elle empêchera la fenêtre contenant vos codes de sauvegarde de s’ouvrir.

Cliquez sur All Finished.

À ce stade, votre site est activé pour l’authentification en deux étapes. Une étape de suivi vous permet de confirmer que vos codes de sauvegarde fonctionnent en saisissant l’un des codes imprimés.

Table des matières

Configuration avec les codes SMS

Si vous ne pouvez pas configurer l’authentification en deux étapes à l’aide d’une application d’authentification, vous pouvez également la configurer pour qu’elle fonctionne via des messages SMS. Pour ce faire, configurez votre numéro de téléphone comme décrit ci-dessus, mais cliquez ensuite sur Vérifier par SMS.

Dans quelques instants, vous devriez recevoir un message texte comprenant un numéro à 7 chiffres. Entrez ce numéro dans le champ prévu à cet effet et cliquez sur Enable.

À partir de ce moment, vous pouvez imprimer et vérifier les codes de sauvegarde comme documenté ci-dessus. Votre compte est maintenant protégé par une authentification en deux étapes.

Les applications pour smartphones qui bloquent les appels automatisés pourraient également bloquer nos messages.

Table des matières

Authentification par clé de sécurité

WordPress.com prend en charge la vérification de la connexion avec des clés de sécurité physiques en utilisant la norme WebAuthn.

Au lieu de taper un code que vous recevez par SMS ou par une application comme Google Authenticator après avoir saisi votre mot de passe, vous branchez une clé physique. Vous appuyez ensuite sur un bouton de cette clé pour terminer la vérification et vous connecter. Sans cette clé physique, il est impossible pour quiconque de se connecter à votre compte, même s’il connaît le mot de passe.

Conditions requises

• Avoir un ordinateur avec un port USB et la dernière version d’un navigateur compatible comme Chrome, Firefox, Opera ou Edge.
  (Remarque : actuellement, Chrome et Firefox ont le meilleur support global pour cela, nous recommandons donc d’utiliser ces navigateurs pour une expérience la plus cohérente.)
• Avoir une clé qui se branche sur un port USB et qui fonctionne avec FIDO2, comme la Yubico’s YubiKey ou la Titan Key de Google (les appareils utilisant l’ancienne norme FIDO U2F devraient également toujours fonctionner). Veuillez consulter la documentation d’assistance de votre clé spécifique pour plus d’informations sur les types d’appareils et de navigateurs pris en charge par votre clé.

Ajouter une clé

Note : vous devez suivre les étapes ci-dessus pour activer l’authentification en deux étapes via SMS ou une app d’authentification avant de pouvoir ajouter une clé de sécurité.

Après avoir configuré l’authentification en deux étapes avec une app ou un SMS, vous verrez l’option d’ajouter une clé de sécurité. Cliquez sur Enregistrer la clé.

Nous vous permettons d’enregistrer plusieurs clés afin que vous puissiez nommer votre clé pour la distinguer des autres que vous pourriez ajouter à l’avenir. Tapez un nom unique et cliquez sur Enregistrer la clé.

À ce stade, branchez votre clé sur un port USB de votre ordinateur et, selon le type de clé, appuyez sur le bouton ou tapez sur le disque doré de la clé.

Si vous réussissez, vous verrez un message à l’écran et la clé sera maintenant répertoriée dans la section Clé de sécurité.

Une fois que cela est configuré, vous ne pourrez pas accéder à votre compte sans votre clé, alors traitez-la de la même manière que vous le feriez avec les clés de votre maison ou de votre voiture – gardez-la en sécurité !

Envisagez également d’ajouter une deuxième clé comme option de sauvegarde et gardez-la dans un endroit où vous pourrez la trouver si quelque chose arrive à votre clé principale. Pour ajouter des clés supplémentaires, il suffit de cliquer à nouveau sur Enregistrer une clé.

Supprimer une clé

Si vous souhaitez supprimer une clé de sécurité que vous avez ajoutée auparavant (par exemple si une clé a été perdue ou ne fonctionne plus), vous pouvez déconnecter cette clé de votre compte.

Allez à la page Authentification en deux étapes dans les paramètres de votre profil, cliquez sur l’icône de la corbeille à côté de la clé, puis cliquez sur Supprimer la clé dans le message de confirmation qui s’affiche.

Table des matières

Connexion

Le processus de connexion varie légèrement du processus habituel une fois que l’authentification en deux étapes est activée. Que vous ayez utilisé la méthode Google Authenticator ou la méthode SMS pour activer l’authentification en deux étapes, vous commencerez par vous connecter comme d’habitude avec votre nom d’utilisateur et votre mot de passe.

Puis, vous serez invité à saisir le code de vérification qui a été envoyé à votre appareil.

Si vous avez configuré l’authentification en deux étapes avec une application d’authentification, ouvrez l’application sur votre appareil et fournissez le numéro à six chiffres indiqué pour le compte. Si vous utilisez les SMS pour l’authentification en deux étapes, nous vous enverrons un message texte avec un numéro à six chiffres. Une fois que vous aurez saisi le code, vous serez connecté et prêt à bloguer.

Si vous avez configuré une clé de sécurité, vous verrez une invite vous demandant si vous voulez vérifier en utilisant votre clé, ou votre app d’authentification/SMS. Pour vérifier en utilisant votre clé, cliquez sur Continuer avec la clé de sécurité.

Puis vous verrez une invite pour connecter votre clé. Branchez la clé dans un port USB de votre ordinateur et, selon le type de clé, appuyez sur le bouton ou tapez sur le disque doré de la clé pour terminer la connexion.

Note : Si vous mettez trop de temps à vérifier, la demande de vérification sera annulée et un message d’erreur apparaîtra. Il suffit de cliquer à nouveau sur Continuer avec la clé de sécurité pour relancer la vérification.

Table des matières

Codes de sauvegarde

Nous ne voulons pas que vous perdiez l’accès à votre compte WordPress.com – vous devrez toujours pouvoir vous connecter s’il est perdu, volé, si vous êtes verrouillé pour une raison quelconque ou si votre appareil doit être nettoyé (ce qui supprimera Google Authenticator).

Pour vous assurer que vous ne serez jamais verrouillé de votre compte, vous pouvez générer un ensemble de dix codes de sauvegarde à usage unique. Nous vous recommandons d’imprimer les codes de sauvegarde et de les conserver dans un endroit sûr comme un portefeuille ou un coffre à documents. (Ne les enregistrez pas sur votre ordinateur. Ils seraient accessibles à toute personne utilisant votre machine).

Générer des codes de sauvegarde est essentiel et doit être fait. Si jamais vous avez besoin d’utiliser un code de sauvegarde, il suffit de vous connecter comme vous le feriez normalement et, lorsqu’on vous demande le code de connexion, entrez le code de sauvegarde à la place.

À la fin du processus de configuration de l’autorisation en deux étapes, vous aurez l’option de générer des codes de sauvegarde :

Imprimez les codes – ne vous contentez pas de les enregistrer – et confirmez que vous l’avez fait. Cliquez ensuite sur Tout est terminé ! pour fermer cet écran.

Si vous perdez votre liste de sauvegardes ou qu’elle est compromise, vous pouvez générer un nouvel ensemble de codes. Pour plus de sécurité, cela désactivera tous les codes générés précédemment.

Vous ne pouvez générer les codes de sauvegarde qu’à partir d’un navigateur de bureau. Par exemple, Safari sur iOS n’affichera pas les codes de sauvegarde. En outre, si votre navigateur Web est configuré pour bloquer les fenêtres pop-up, vous devrez désactiver temporairement cette fonction car elle empêchera la fenêtre contenant vos codes de sauvegarde de s’ouvrir.

Table des matières

Mots de passe spécifiques aux applications

Il se peut que certaines applications qui se connectent à votre compte WordPress.com ne prennent pas encore totalement en charge l’authentification en deux étapes. Les plus courantes sont les apps Jabber utilisées pour s’abonner aux blogs de WordPress.com. Pour ces applications, vous pouvez générer des mots de passe uniques pour chaque application (par exemple, vous pouvez avoir un mot de passe différent sur votre téléphone et votre tablette). Vous pouvez ensuite désactiver les mots de passe individuels et verrouiller les applications hors de votre compte pour empêcher d’autres personnes d’accéder à vos sites.

Pour générer des mots de passe spécifiques à une application, retournez dans Authentification en deux étapes, puis descendez jusqu’à « Mots de passe des applications » :

Donnez un nom à l’application – vous êtes le seul à voir ce nom, alors appelez-le comme vous voulez – et cliquez sur « Générer un mot de passe ». WordPress.com créera un mot de passe unique de 16 caractères que vous pourrez copier et coller la prochaine fois que vous vous connecterez à votre compte sur cet appareil. L’application se souviendra de ce mot de passe pour que vous n’ayez pas à le faire.

Votre page de sécurité maintiendra une liste de toutes les applications pour lesquelles vous avez généré des mots de passe. Si l’un de vos appareils est perdu ou volé, ou si vous souhaitez simplement révoquer l’accès pour une application particulière, vous pouvez visiter cette page à tout moment et cliquer sur « X » pour désactiver le mot de passe et empêcher l’application d’accéder à votre compte :

Table des matières

Désactiver l’authentification en deux étapes

Nous ne recommandons pas de désactiver l’authentification en deux étapes, car elle est beaucoup moins sûre, même si vous pensez que votre mot de passe est très fort. Mais si vous insistez, vous pouvez désactiver la fonction en vous rendant sur votre page Authentification en deux étapes.

La page indiquera que la fonction est activée, et vous pourrez cliquer sur le bouton Désactiver l’authentification en deux étapes. Cela vous invitera à entrer un code pour confirmer que vous avez toujours accès au périphérique que vous avez initialement utilisé pour configurer l’authentification en deux étapes. Si vous utilisez une application d’authentification, ouvrez-la et fournissez le code indiqué. Si vous utilisez un SMS, vous recevrez un code à utiliser. (Ce code est différent de celui que vous avez utilisé pour vous connecter à votre compte. Vous pouvez également utiliser l’un de vos codes de sauvegarde pour cette étape.)

Cliquez sur Désactiver après avoir saisi le code et votre compte ne sera plus protégé par l’authentification en deux étapes.

Remarque : Une clé de sécurité ne peut pas être utilisée pour désactiver l’authentification en deux étapes – cela ne peut se faire qu’à l’aide d’un code reçu par SMS, de votre appli d’authentification ou d’un code de sauvegarde.

Table des matières

Déménagement sur un nouvel appareil

Si vous prévoyez de passer à un nouvel appareil et que vous avez activé l’authentification en deux étapes, vous voudrez prendre les mesures suivantes pour éviter d’être accidentellement verrouillé de votre compte d’utilisateur.

Si vous utilisez une app d’authentification pour générer des codes de vérification :

1. Imprimez un ensemble de codes de sauvegarde pour votre compte utilisateur en suivant les étapes ici. NE PAS SAUTER CETTE ÉTAPE.
2. Sur votre nouvel appareil, installez l’appli authentificateur.
3. Désactivez le lien d’authentification en deux étapes avec votre ancien appareil en suivant les étapes ici.
4. Configurez votre compte utilisateur pour le lier à votre nouvel appareil en suivant les étapes ici.
5. Si vous êtes invité à entrer votre code de vérification, utilisez un code de votre liste de codes de sauvegarde. Les codes de sauvegarde sont à usage unique.
6. Vous pouvez maintenant désinstaller l’application authentificatrice de votre ancien appareil.

Si vous utilisez l’application mobile WordPress.com pour gérer et publier sur votre site :

1. Créez un nouveau mot de passe spécifique à l’application en suivant les étapes ici.
2. Entrez votre nouveau mot de passe d’application lorsque vous utilisez cette application sur votre nouvel appareil.

Si vous utilisez les SMS pour recevoir les codes d’authentification, vous n’aurez pas besoin de mettre à jour vos paramètres, sauf si vous changez également de numéro de téléphone. Dans ce cas, vous voudrez configurer un nouveau numéro de récupération avant de déconnecter votre ancien numéro SMS en suivant les étapes ici.

Table des matières

Si vous perdez votre appareil

Si vous perdez votre appareil ou votre clé de sécurité, si vous supprimez accidentellement l’appli d’authentification ou si vous êtes autrement verrouillé de votre compte, la seule façon de vous reconnecter à votre compte est d’utiliser un code de sauvegarde.

Pour utiliser un code de sauvegarde, remplissez vos données de connexion comme vous le feriez normalement. Lorsqu’on vous demande le code de connexion, entrez le code de sauvegarde à la place. N’oubliez pas : les codes de sauvegarde ne sont valables qu’une fois chacun, alors soyez prudent lorsque vous les utilisez.

.