DataFirefly 2FA Fortress — Guide complet
Installer, configurer et exploiter la double authentification pour le back-office WordPress et les comptes clients WooCommerce : TOTP, e-mail, codes de secours, application par rôle et période de grâce.
DataFirefly 2FA Fortress ajoute une authentification à deux facteurs complète au back-office WordPress et aux comptes clients WooCommerce. Vous décidez, rôle par rôle, si la 2FA est désactivée, optionnelle ou obligatoire, avec une période de grâce avant blocage. Trois méthodes sont disponibles : application d’authentification (TOTP), code par e-mail et codes de secours à usage unique. Ce guide couvre l’installation, les réglages, l’activation côté utilisateur et client, la connexion, l’administration et le dépannage.
Installation
- Téléchargez l’archive
df-twofactor.zipdepuis votre compte DataFirefly. - Back-office WordPress → Extensions → Ajouter → Téléverser une extension → envoyez le ZIP, puis Activer.
- À l’activation, l’extension crée sa table de journal de sécurité, génère une clé de chiffrement dédiée et ajoute le menu DataFirefly 2FA.
Compatible WordPress 6.0 à 7.x et PHP 8.1 à 8.3. Compatible WooCommerce HPOS (stockage haute performance des commandes) et Cart/Checkout Blocks, multisite et multilingue. Aucune dépendance Composer.
Prise en main en trois minutes
- Ouvrez DataFirefly 2FA → Réglages et choisissez le mode par rôle (au minimum Obligatoire pour les administrateurs).
- Définissez une période de grâce (par défaut 7 jours) pour laisser à chacun le temps de configurer sa 2FA.
- Rendez-vous sur votre profil et activez l’application TOTP : scannez le QR code, saisissez le code à 6 chiffres, puis téléchargez vos codes de secours.
- Déconnectez-vous puis reconnectez-vous : un code vous est désormais demandé après le mot de passe.
Activez toujours au moins une méthode de secours (codes de secours ou e-mail) avant de rendre la 2FA obligatoire : c’est ce qui évite de se retrouver bloqué en cas de perte du téléphone.
Réglages généraux (back-office)
Tous les réglages se trouvent dans DataFirefly 2FA → Réglages.
Application par rôle
Pour chaque rôle (administrateur, éditeur, boutiquier, client…), choisissez l’un des trois modes :
- Désactivée : la 2FA n’est ni proposée ni exigée pour ce rôle.
- Optionnelle : les utilisateurs peuvent l’activer s’ils le souhaitent.
- Obligatoire : l’utilisateur doit la configurer ; au-delà de la période de grâce, l’accès est bloqué tant qu’elle n’est pas active.
Lorsqu’un utilisateur possède plusieurs rôles, c’est le niveau le plus exigeant qui s’applique.
Période de grâce
La période de grâce (en jours) s’applique aux utilisateurs soumis à une 2FA obligatoire qui ne l’ont pas encore configurée. Pendant ce délai, un rappel indique le nombre de jours restants. À 0 jour, la configuration est exigée dès la première connexion.
Méthodes autorisées
Activez les méthodes proposées à vos utilisateurs : application TOTP, code par e-mail et codes de secours. TOTP est recommandé comme méthode principale ; les codes de secours servent de filet de sécurité. Le champ Nom affiché (issuer) détermine l’étiquette montrée dans l’application d’authentification (par défaut, le nom du site).
Appareils de confiance
Le réglage Mémoriser le navigateur (en jours) permet à un utilisateur de ne plus être challengé sur un appareil validé pendant la durée choisie. La valeur 0 désactive complètement cette fonction.
Protection anti-bruteforce
Définissez le nombre de tentatives autorisées avant verrouillage temporaire et la durée de ce verrouillage. La tolérance TOTP compense les horloges légèrement décalées : 1 accepte le code précédent et le suivant. L’augmenter réduit la sécurité.
Code par e-mail
Réglez la durée de validité du code reçu par e-mail et le délai minimal entre deux envois (anti-spam). Le code est à usage unique et expire automatiquement.
Clients et notifications
- Opt-in client : autorise les clients à activer la 2FA depuis « Mon compte » dans WooCommerce.
- Nouvel appareil : envoie un e-mail informatif lors d’une connexion validée depuis un appareil jamais vu.
Activer sa 2FA (administrateurs et équipe)
Chaque utilisateur configure sa 2FA depuis son profil (menu Comptes → Profil), dans la section « Authentification à deux facteurs ».
Application d’authentification (TOTP)
- Cliquez sur Configurer sous « Application d’authentification ».
- Scannez le QR code affiché avec Google Authenticator, Authy, Microsoft Authenticator, 1Password, etc. Si le QR ne peut pas être scanné, saisissez manuellement la clé affichée sous le QR.
- Saisissez le code à 6 chiffres généré par l’application, puis cliquez sur Confirmer & activer.
Le secret TOTP est chiffré côté serveur (AES-256-GCM) avant d’être stocké. Il n’est jamais affiché en clair une fois la configuration terminée.
Code par e-mail
Cliquez sur Activer sous « Code par e-mail » : un code de vérification est envoyé à votre adresse. Saisissez-le pour confirmer. Si le code a expiré, utilisez Renvoyer un nouveau code.
Codes de secours
Dès l’activation d’une méthode, dix codes de secours à usage unique sont générés et affichés une seule fois. Utilisez les boutons Télécharger (.txt) ou Copier pour les conserver en lieu sûr. Chaque code ne fonctionne qu’une fois ; vous pouvez les régénérer à tout moment (les anciens sont alors invalidés).
Activer la 2FA côté client (WooCommerce)
Lorsque l’opt-in client est activé, vos clients disposent d’un onglet Sécurité (2FA) dans « Mon compte ». Ils y activent l’application TOTP ou le code par e-mail, exactement comme dans le back-office, et conservent leurs propres codes de secours. Vous pouvez aussi rendre la 2FA obligatoire pour le rôle client.
Se connecter avec la double authentification
Une fois la 2FA active, la connexion se déroule en deux étapes : identifiant et mot de passe habituels, puis un écran de vérification qui demande le code de la méthode principale.
Changer de méthode ou renvoyer un code
Sur l’écran de vérification, des liens permettent de basculer vers une autre méthode activée (par exemple passer du TOTP au code e-mail) ou d’utiliser un code de secours. Pour la méthode e-mail, un lien permet de renvoyer un code si nécessaire.
Se souvenir de l’appareil
Si les appareils de confiance sont activés, une case « Se souvenir de cet appareil » évite de redemander un code sur ce navigateur pendant la durée configurée. À éviter sur un poste partagé.
Configuration forcée (2FA obligatoire)
Si la 2FA est obligatoire pour le rôle et que la période de grâce est dépassée, l’utilisateur doit la configurer directement sur l’écran de connexion : il saisit son mot de passe, puis active l’application TOTP avant d’accéder au site. Ses codes de secours lui sont présentés juste après.
Avant de passer un rôle en « Obligatoire » avec une période de grâce courte, prévenez les utilisateurs concernés et assurez-vous qu’une méthode de récupération est disponible. En cas de blocage, un administrateur peut toujours réinitialiser la 2FA d’un compte.
Codes de secours : usage, téléchargement, régénération
Les codes de secours permettent de se connecter quand l’appareil principal n’est pas disponible. Sur l’écran de vérification, choisissez « Utiliser un code de secours » et saisissez l’un de vos codes inutilisés. Depuis le profil, la carte « Codes de secours » indique le nombre de codes restants et permet de les régénérer. À leur génération, les codes peuvent être téléchargés dans un fichier .txt (en-tête avec le site, le compte et la date) ou copiés dans le presse-papiers.
Gérer la 2FA des utilisateurs (administrateur)
Colonne 2FA et réinitialisation
La liste des Comptes affiche une colonne 2FA indiquant pour chaque utilisateur l’état de sa double authentification (Activée, En attente, Bloquée ou Inactive). Le lien Gérer ouvre le panneau 2FA de l’utilisateur, où un administrateur peut réinitialiser sa configuration (par exemple en cas de perte d’appareil).
Journal de sécurité
Le menu DataFirefly 2FA → Journal de sécurité conserve les 200 derniers événements : connexions réussies et échouées, activations et désactivations, utilisation d’un code de secours, verrouillages anti-bruteforce et réinitialisations administrateur. Les entrées de plus de 180 jours sont purgées automatiquement.
Sécurité et stockage des données
- Les secrets TOTP sont chiffrés en AES-256-GCM à l’aide d’une clé dédiée générée à l’activation, indépendante des clés de salage WordPress.
- Les codes de secours sont hachés (jamais stockés en clair) et invalidés après usage.
- La protection anti-bruteforce verrouille temporairement un compte après trop d’échecs.
- Les appareils de confiance reposent sur un jeton aléatoire, stocké haché côté serveur.
Compatibilité et notes techniques
- WordPress 6.0 à 7.x, PHP 8.1 à 8.3, multisite.
- WooCommerce : compatibilité HPOS et Cart/Checkout Blocks déclarée.
- Multilingue : un modèle de traduction
.potest fourni (compatible Polylang, WPML, Loco Translate). - Architecture extensible par fournisseurs de méthodes (voir la section développeurs), prête pour l’ajout ultérieur de WebAuthn / passkeys.
Pour les développeurs (hooks et filtres)
df2fa_providers(filtre) : ajoute ou retire des méthodes de vérification.df2fa_ip_headers(filtre) : personnalise les en-têtes utilisés pour déterminer l’adresse IP du client.df2fa_email_code_message(filtre) : personnalise le message de l’e-mail contenant le code.df2fa_event_logged(action) : déclenchée à chaque enregistrement dans le journal de sécurité.df2fa_login_success(action) : déclenchée après une connexion validée par 2FA.
Désinstallation
La suppression de l’extension depuis l’écran des extensions exécute un nettoyage complet : la table du journal de sécurité est supprimée, les options et toutes les métadonnées 2FA des utilisateurs sont effacées, et les tâches planifiées sont retirées. La simple désactivation, elle, conserve les données.
FAQ et dépannage
Le QR code ne s’affiche pas. Forcez le rechargement de la page (cache du navigateur). Vous pouvez aussi configurer l’application manuellement en saisissant la clé affichée sous le QR. Vérifiez qu’aucune extension de minification/blocage JavaScript n’empêche le chargement des scripts.
Un utilisateur a perdu son téléphone. Il peut utiliser un code de secours, ou la méthode e-mail si elle est activée. À défaut, un administrateur réinitialise sa 2FA depuis la liste des comptes.
Le code reçu par e-mail est refusé. Vérifiez qu’il n’a pas expiré et utilisez « Renvoyer un nouveau code ». Contrôlez aussi la configuration d’envoi des e-mails du site (SMTP).
Je suis bloqué après avoir rendu la 2FA obligatoire. Connectez-vous avec un autre compte administrateur pour réinitialiser le compte concerné, ou ajustez le mode du rôle dans les réglages.
Les passkeys / WebAuthn sont-ils gérés ? Pas dans la version 1.0.0. L’architecture par fournisseurs permettra de les ajouter ultérieurement sans refonte.