Depuis la version 3.2 de Joomla, il est possible de renforcer significativement la sécurité du panneau d'administration en ajoutant un second niveau d'identification. En effet, en plus de votre identifiant et de votre mot de passe, vous avez la possibilité d'y ajouter un mot de passe supplémentaire. Ce tutoriel vous explique comment sécuriser son site Joomla en 2 étapes.

Important : Sagissant de sécurité touchant au site, je vous invite fortement à faire une sauvegarde complète de votre site avant de mettre en oeuvre l'une où l'autre de ces procédures. Si vous rencontrez un souci lors de la configuration, vous ne serez plus en capacité de vous connecter au panneau d'administration.

Le principe de cette sécurisation est d'ajouter un champ supplémentaire au module de connexion au panneau d'administration. Bonne nouvelle, vous n'aurez pas besoin de mémoriser ce mot de passe supplémentaire. Celui-ci sera suffisamment renforcé et soit unique avec le plugin YubiKey ou valable seulement quelques secondes avec le plugin Google Authenticator.

Pour utiliser cette fonctionnalité, deux plugins natifs ont été ajoutés à Joomla :

  • YubiKey
  • Google Authenticator

Sécuriser son site Joomla avec Yubikey

Ce plugin vous permet d'utiliser l'authentification en deux étapes en utilisant une clé USB de sécurité YubiKey. Pour cela, vous devez préalablement vous procurer votre propre clé YubiKey. Pour utiliser l'authentification en deux étapes, vous devrez modifier votre profil utilisateur et activer le plugin.

#1 : Se procurer une clé Yubikey.
Commandez-la sur le site www.yubico.com pour €25. La livraison intervient généralement en une semaine.

Sécuriser son site Joomla en 2 étapes

#2 : Configurer votre YubiKey.
Une fois votre clé reçue, il est nécessaire de la configurer sur votre/vos ordinateur/s. Introduisez votre clé dans un port USB et suivez les étapes du processus d'installation.

#3 : Activation du plugin.
Pour cela, ouvrez le panneau d'administration de votre site Joomla 4 puis cliquez sur plugins dans la rubrique Site. Utilisez alors la barre de recherche pour localiser le plugin Double authentification - YubiKey.

Authentification Joomla

Notez que vous pouvez choisir d'activer le plugin pour le frontend, pour le backend ou pour les deux.

Sécuriser son site Joomla en 2 étapes

#4 : Modifier votre profil utilisateur.
Pour cette étape, votre clé Yubikey doit être insérée dans un des ports USB de votre ordinateur. Ouvrez "Utilisateurs → Gestions des utilisateurs". Ouvrez ensuite votre profil. Un nouvel onglet est apparu : "Authentification en deux étapes". Ouvrez cet onglet.

Authentification Joomla

Choisissez Yubikey comme méthode d'identification

Placez votre curseur dans le second champ Code de sécurité.

Pressez le bouton situé sur votre clé Yubikey.

Votre clé va alors générer un code unique. Cliquez sur Enregistrer & Fermer.

Suivant le paramétrage que vous avez retenu à l'étape 3 (activation pour le frontend, pour le backend ou pour les deux), un nouveau champ Clé secrète est affiché sur le module de connexion.

Sécuriser son site Joomla en 2 étapes

Saisissez votre identifiant et votre mot de passe, placez ensuite votre curseur dans le champ Clé secrète et pressez le bouton de la clé pour générer le code et lancer la connexion.

La documentation Google à ce sujet est très complète (en anglais) : Joomla yubikey authentication.

Sécuriser son site Joomla avec Google Authenticator

Ce plugin vous permet d'utiliser l'authentification en deux étapes avec le plugin Google Authenticator qui génère des mots de passe à usage unique basés sur l'heure. Pour l'utiliser, vous devrez modifier votre profil utilisateur et activer le plugin.

#1 : Publier le plugin.
Pour cela, ouvrez le panneau d'administration de votre site Joomla 4 puis cliquez sur plugins dans la rubrique Site. Utilisez alors la barre de recherche pour localiser le plugin Double authentification - Google Authenticator.

Authentification Joomla

Notez que vous pouvez la possibilité d'activer le plugin pour le frontend, pour le backend ou pour les deux :

Authentification Joomla

#2 : Installer l'application "Google Authenticator" sur votre smartphone ou tablette.
Vous retrouverez l'ensemble des liens et des informations relatives à cette procédure sur le Centre d'Aide Google dédié à cette application.

#3 : Paramétrer votre compte utilisateur.
Maintenant que l'application est installée, vous allez pouvoir paramétrer votre profil utilisateur. Ouvrez Utilisateurs puis cliquez sur Gestion. Ouvrez ensuite votre profil. Un nouvel onglet est apparu : Authentification en deux étapes. Ouvrez cet onglet.

Authentification Joomla

Choisissez Google Authenticator comme méthode d'identification

Scannez le QR Code avec l'application téléchargée à l'étape précédente.

Saisissez le code obtenu dans le champ Code de sécurité.

Cliquez sur Enregistrer & Fermer.

Déconnectez-vous alors du panneau d'administration. Le nouveau module de connexion apparaît bien avec le champ supplémentaire Clé secrète. Entrez votre identifiant, votre mot de passe, puis dans le champ Clé secrète, indiquez le code que génère l'application téléchargé sur votre smartphone ou votre tablette. Ce code fournit par Google Authenticator n'est valide que pendant 30 secondes et n'est disponible que sur votre appareil mobile.

Depuis la version 3.2 de Joomla, il est désormais possible de renforcer significativement la sécurité du panneau d'administration en ajoutant un second niveau d'identification. En effet, en plus de votre identifiant et de votre mot de passe, vous avez la possibilité d'y ajouter un mot de passe supplémentaire. Ce tutoriel vous explique comment sécuriser son site Joomla en 2 étapes.

Important : Sagissant de sécurité touchant au site, je vous invite fortement à faire une sauvegarde complète de votre site avant de mettre en oeuvre l'une où l'autre de ces procédures. Si vous rencontrez un souci lors de la configuration, vous ne serez plus en capacité de vous connecter au panneau d'administration.

Le principe de cette sécurisation est d'ajouter un champ supplémentaire au module de connexion au panneau d'administration. Bonne nouvelle, vous n'aurez pas besoin de mémoriser ce mot de passe supplémentaire. Celui-ci sera suffisamment renforcé et soit unique avec le plugin YubiKey ou valable seulement quelques secondes avec le plugin Google Authenticator.

Pour utiliser cette fonctionnalité, deux plugins natifs ont été ajoutés à Joomla :

  • YubiKey
  • Google Authenticator

Sécuriser son site Joomla avec Yubikey

Ce plugin vous permet d'utiliser l'authentification en deux étapes en utilisant une clé USB de sécurité YubiKey. Pour cela, vous devez préalablement vous procurer votre propre clé YubiKey. Pour utiliser l'authentification en deux étapes, vous devrez modifier votre profil utilisateur et activer le plugin.

Etape 1 : Se procurer une clé Yubikey.
Commandez-la sur le site www.yubico.com pour €25. La livraison intervient généralement en une semaine.

Sécuriser son site Joomla en 2 étapes

Etape 2 : Configurer votre YubiKey. Une fois votre clé reçue, il est nécessaire de la configurer sur votre/vos ordinateur/s. Introduisez votre clé dans un port USB et suivez les quelques étapes du processus d'installation.

Etape 3 : Activation du plugin. Pour cela, ouvrez le panneau d'administration de votre site Joomla puis ouvrez "Extensions → Gestions des plugins". Cliquez sur "Authentification en deux étapes - Yubikey".

Authentification Joomla

Notez que vous pouvez choisir d'activer le plugin pour le frontend, pour le backend ou pour les deux.

Sécuriser son site Joomla en 2 étapes

Etape 4 : Modifier votre profil utilisateur. Pour cette étape, votre clé Yubikey doit être insérée dans un des ports USB de votre ordinateur. Ouvrez "Utilisateurs → Gestions des utilisateurs". Ouvrez ensuite votre profil. Un nouvel onglet est apparu : "Authentification en deux étapes". Ouvrez cet onglet.

Authentification Joomla

Choisissez "Yubikey" comme méthode d'identification

Placez votre curseur dans le second champ "Code de sécurité".

Pressez le bouton situé sur votre clé Yubikey.

Votre clé va alors générer un code unique. Cliquez sur Enregistrer & Fermer.

Suivant le paramétrage que vous avez retenu à l'étape 3 (activation pour le frontend, pour le backend ou pour les deux), un nouveau champ "Clé secrète" est affiché sur le module de connexion.

Sécuriser son site Joomla en 2 étapes

Saisissez votre identifiant et votre mot de passe, placez ensuite votre curseur dans le champ "Clé secrète" et pressez le bouton de la clé pour générer le code et lancer la connexion.

La documentation Google à ce sujet est très complète (en anglais) : Joomla yubikey authentication.

Important : Sagissant de sécurité touchant au site, je vous invite fortement à faire une sauvegarde complète de votre site avant de mettre en oeuvre l'une où l'autre de ces procédures. Si vous rencontrez un souci lors de la configuration, vous ne serez plus en capacité de vous connecter au panneau d'administration.

Sécuriser son site Joomla avec Google Authenticator

Ce plugin vous permet d'utiliser l'authentification en deux étapes avec le plugin Google Authenticator qui génère des mots de passe à usage unique basés sur l'heure. Pour l'utiliser, vous devrez modifier votre profil utilisateur et activer le plugin.

Etape 1 : Publier le plugin. Pour cela, ouvrez le panneau d'administration de votre site Joomla puis ouvrez "Extensions → Gestions des plugins". Cliquez sur "Authentification en deux étapes - Google Authenticator" et activez le plugin.

Authentification Joomla

Notez que vous pouvez la possibilité d'activer le plugin pour le frontend, pour le backend ou pour les deux.

Authentification Joomla

Etape 2 : Installer l'application "Google Authenticator" sur votre smartphone ou tablette. Vous retrouverez l'ensemble des liens et des informations relatives à cette procédure sur le Centre d'Aide Google dédié à cette application.

Etape 3 : Paramétrer votre compte utilisateur. Maintenant que l'application est installée, vous allez pouvoir paramétrer votre profil utilisateur. Ouvrez "Utilisateurs → Gestions des utilisateurs". Ouvrez ensuite votre profil. Un nouvel onglet est apparu : "Authentification en deux étapes". Ouvrez cet onglet.

Authentification Joomla

Choisissez "Google Authenticator" comme méthode d'identification

Scannez le QR Code avec l'application téléchargée à l'étape précédente.

Saisissez le code obtenu dans le champ "Code de sécurité".

Cliquez sur "Enregistrer & Fermer".

Déconnectez-vous alors du panneau d'administration. Le nouveau module de connexion apparaît bien avec le champ supplémentaire "Clé secrète". Entrez votre identifiant, votre mot de passe, puis dans le champ "Clé secrète", indiquez le code que génère l'application téléchargé sur votre smartphone ou votre tablette. Ce code fournit par Google Authenticator n'est valide que pendant 30 secondes et n'est disponible que sur votre appareil mobile.

web-eau.net

29800 Landerneau

+33 674 502 799

daniel@web-eau.net