Come aggiungere l'autenticazione a due fattori in WordPress (metodo gratuito)

Hai notato come siti popolari come Facebook e Google ti chiedono di aggiungere l'autenticazione a due fattori per migliorare la sicurezza?

Bene, ora puoi aggiungere l'autenticazione a due fattori al tuo sito Web WordPress. Ciò garantisce la massima sicurezza per il tuo sito WordPress e tutti i suoi utenti registrati.

In questo articolo ti mostreremo come aggiungere l'autenticazione a due fattori per WordPress utilizzando un plugin e un'app di autenticazione.

Perché aggiungere l'autenticazione a due fattori in WordPress?

Uno dei trucchi più comuni utilizzati dagli hacker è chiamato attacco di forza bruta. Durante uno di questi attacchi, utilizzano script automatizzati che cercano di indovinare il nome utente e la password corretti in modo da poter accedere al tuo sito Web WordPress.

Un attacco di forza bruta riuscito può consentire agli hacker di accedere all'area di amministrazione del tuo sito web. Possono installare malware, rubare informazioni sull'utente ed eliminare tutto sul tuo sito.

Uno dei modi più semplici per proteggere il tuo sito Web WordPress dalle password rubate è aggiungere l'autenticazione a due fattori (2FA). Con questa impostazione, dovrai inserire sia la tua password sia un codice secondario (da un'app, un'e-mail o un messaggio di testo) per accedere al tuo sito web.

In questo modo, anche se qualcuno rubasse la tua password, dovrebbe comunque inserire un codice di sicurezza dal tuo telefono per ottenere l'accesso.

Cos'è un'app di autenticazione?

Esistono diversi modi per impostare l'accesso in 2 passaggi in WordPress. Tuttavia, il metodo più sicuro e semplice è utilizzare un'app di autenticazione.

Un'app di autenticazione è un'app per smartphone che genera una password temporanea monouso per gli account salvati al suo interno.

Fondamentalmente, l'app e il tuo server utilizzano una chiave segreta per crittografare le informazioni e generare codici monouso che puoi utilizzare come secondo livello di protezione.

Ci sono molte app disponibili gratuitamente:

• L'app più popolare è Google Authenticator, ma non è la scelta migliore. Questo perché se perdi il telefono, non c'è modo di recuperare i tuoi account a meno che non crei preventivamente una copia di backup.

• Ti consigliamo di utilizzare Authy poiché è un'app facile da usare e gratuita che ti consente anche di salvare i tuoi account sul cloud in formato crittografato. In questo modo, se perdi il telefono, potrai semplicemente inserire la tua password principale per ripristinare tutti i tuoi account.

• Altri gestori di password come LastPass e 1Password sono tutti dotati della propria versione di un autenticatore. Sono migliori di Google Authenticator poiché consentono di ripristinare le chiavi.

Per il bene di questo tutorial, utilizzeremo Authy. Se lo desideri, puoi seguire il nostro tutorial utilizzando un'app diversa poiché funzionano tutte allo stesso modo.

Detto questo, diamo un'occhiata a come aggiungere 2FA in WordPress. Basta fare clic sui collegamenti sottostanti per passare al metodo che preferisci:

Ora diamo un'occhiata a come aggiungere facilmente e gratuitamente la verifica a due fattori alla schermata di accesso di WordPress.

Metodo 1: aggiunta dell'autenticazione a due fattori utilizzando WP 2FA

Questo metodo è semplice e consigliato a tutti gli utenti. È flessibile e consente di applicare l'autenticazione a due fattori per tutti gli utenti.

Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Two-factor Authentication. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.

Dopo l'attivazione, la procedura guidata di configurazione WPA 2FA verrà avviata automaticamente. Altrimenti, puoi visitare la pagina Utenti »Il tuo profilo e scorrere fino alla sezione "Impostazioni WP 2FA".

Facendo clic sul pulsante "Configura autenticazione a due fattori (2FA)" verrà avviata la procedura guidata di configurazione.

La procedura guidata di configurazione WP 2FA

Basta fare clic su "Iniziamo!" pulsante per avviare la configurazione del plugin.

Nella pagina successiva ti verrà chiesto di scegliere un metodo di autenticazione.

Ci sono due opzioni:

• Codice monouso generato con l'app 2FA preferita (consigliato)
• Codice monouso inviato via e-mail

Ti consigliamo di scegliere l'autenticazione tramite il metodo 2FA app (TOTP), poiché è più sicuro e affidabile.

Una volta effettuata la scelta, puoi fare clic sul pulsante "Continua configurazione" per passare alla pagina successiva della configurazione guidata.

Ti verrà chiesto quali metodi 2FA alternativi desideri che i tuoi utenti utilizzino se il metodo 2FA principale fallisce, ad esempio se perdono il telefono.

Nel piano gratuito sarà disponibile solo il metodo del codice di backup. Se desideri più metodi 2FA alternativi, dovrai eseguire l'aggiornamento a WP 2FA Premium.

È sufficiente fare clic sul pulsante "Continua installazione" per passare alla pagina successiva.

In questa pagina puoi rendere obbligatorio l'accesso a due fattori per alcuni o tutti gli utenti. Lo consigliamo, soprattutto se gestisci un sito Web WordPress multiutente, come un sito di abbonamento.

Se desideri applicare la 2FA a tutti gli utenti del tuo sito web, seleziona semplicemente l'opzione "Tutti gli utenti" e fai clic su "Continua configurazione".

Ora tutti i tuoi utenti dovranno utilizzare 2FA.

Tuttavia, forse ci sono alcuni utenti sul tuo sito web a cui non vuoi forzare l'utilizzo della 2FA. La pagina successiva ti consente di digitare i nomi utente o i ruoli utente di tali membri del team.

Dopo averlo fatto, facendo clic sul pulsante "Continua configurazione" verrai indirizzato a una pagina in cui potrai decidere quanto presto i tuoi utenti dovranno iniziare a utilizzare 2FA.

Puoi richiedere loro di iniziare subito oppure puoi concedere loro un periodo di grazia, diciamo, di 3 giorni, in modo che abbiano il tempo di impostare le cose. Basta fare clic sull'opzione che desideri utilizzare sul tuo sito web.

Se vuoi concedere un periodo di grazia, puoi scegliere quante ore o giorni sarà. L'impostazione predefinita di 3 giorni funzionerà bene per la maggior parte dei siti Web.

Sono inoltre disponibili opzioni su cosa fare al termine del periodo di grazia se alcuni utenti non hanno impostato la 2FA. Puoi consentirli di accedere ma non consentire loro di accedere alla dashboard o impedire loro di accedere del tutto. Per la maggior parte dei siti Web, la prima opzione sarà la migliore.

Una volta effettuata la scelta, puoi fare clic su "Tutto fatto" per uscire dalla procedura guidata di configurazione. Congratulazioni, hai impostato l'autenticazione a due fattori sul tuo sito!

Verrà visualizzata la schermata Fine installazione con un messaggio di congratulazioni. Vedrai anche un pulsante che ti consentirà di impostare 2FA per il tuo account utente. Dovresti fare clic sul pulsante "Configura 2FA ora".

Configurazione dell'autenticazione a due fattori per il proprio account utente

Verrà avviata una nuova procedura guidata di configurazione per aiutarti a configurare l'autenticazione a due fattori per il tuo account utente. Ad altri utenti del tuo sito web verrà richiesto di fare lo stesso.

La prima cosa che dovrai decidere è quale metodo 2FA desideri utilizzare. Dovresti vedere l'opzione per un codice monouso tramite un'app di autenticazione. Potresti anche vedere altre opzioni a seconda delle scelte effettuate durante la configurazione guidata.

Scegli semplicemente l'opzione "Codice monouso tramite app 2FA" e quindi fai clic sul pulsante "Passaggio successivo".

Il plugin ora ti mostrerà un codice QR e un codice di testo.

Dovrai scansionare il codice QR utilizzando un'app di autenticazione. In alternativa, puoi digitare manualmente il codice di testo nell'app.

Ora dovrai prendere in mano il tuo dispositivo mobile e aprire la tua app di autenticazione preferita. Gli screenshot seguenti utilizzano Authy, ma altre app funzionano in modo simile.

Innanzitutto, fai clic sul pulsante "+" o "Aggiungi account" nella tua app di autenticazione.

L'app chiederà quindi l'autorizzazione per accedere alla fotocamera del telefono.

Devi consentire questa autorizzazione e quindi toccare il pulsante "Scansiona codice QR" in modo da poter scansionare il codice QR mostrato nella pagina delle impostazioni del plug-in sul tuo computer.

Una volta che l'app riconosce il codice QR, inizierà automaticamente a salvare l'account.

Successivamente, puoi modificare il logo e il nickname predefiniti per l'account. Quando sei pronto, dovresti toccare il pulsante "Salva".

L'app di autenticazione ora salverà il tuo account del sito web.

Successivamente, inizierà a mostrare una password monouso. Dovrai inserirlo nelle impostazioni del plugin sul tuo computer.

Ora devi tornare al tuo computer.

Nella procedura guidata di configurazione del plugin, fai clic sul pulsante "Sono pronto" per continuare.

Il plugin ora ti chiederà di verificare la tua password monouso.

Basta digitare il codice dalla tua app mobile nel campo "Codice di autenticazione" prima che scada.

Successivamente, dovresti fare clic sul pulsante "Convalida e salva" per finalizzare la configurazione.

Successivamente, ti verrà data la possibilità di generare e salvare un elenco di codici di backup. Questi codici possono essere utilizzati nel caso in cui non hai accesso al tuo telefono.

È necessario fare clic sul pulsante "Genera elenco di codici di backup".

I codici di backup verranno generati e visualizzati.

Puoi scaricare questi codici di backup in una posizione sicura sul tuo computer, stamparli e metterli in un posto sicuro o inviarteli via e-mail. Assicurati di tenerli in un posto a cui puoi arrivare se non hai il telefono.

Successivamente, puoi fare clic sul pulsante "Sono pronto, chiudi la procedura guidata" per uscire dalla procedura guidata di configurazione.

Utilizzo dell'autenticazione a due fattori durante l'accesso

La prossima volta che i tuoi utenti accedono, vedranno una notifica che informa che devono impostare l'autenticazione a due fattori, insieme alla data di scadenza al termine del periodo di tolleranza.

Possono fare clic su un pulsante per configurare subito la 2FA o scegliere di ricevere un promemoria al prossimo accesso.

Quando fanno clic sul pulsante "Configura 2FA ora", verranno seguiti gli stessi passaggi di quando hai configurato 2FA per il tuo account utente nella sezione precedente.

Quando accedono dopo aver impostato l'autenticazione a due fattori, vedranno normalmente la schermata di accesso di WordPress. Tuttavia, quando inseriscono nome utente e password, verrà visualizzata una seconda schermata che richiede il codice dall'app di autenticazione.

Dovranno inserire il codice dall'app sul proprio telefono prima di poter accedere. In alternativa, possono inserire un codice di backup se non hanno il telefono con sé.

Ciò rende il tuo sito web più sicuro. Se un hacker scopre il nome utente e la password di uno dei tuoi utenti, non sarà in grado di accedere a meno che non abbia accesso anche al proprio telefono.

Metodo 2: aggiunta dell'autenticazione a due fattori utilizzando l'autenticazione a due fattori

Questo metodo è meno flessibile in quanto non consente di imporre accessi a due fattori per tutti gli utenti. Ogni utente dovrà configurarlo autonomamente e potrà disattivarlo dal proprio profilo. Tuttavia, è un metodo semplice e veloce se desideri semplicemente impostare la 2FA per il tuo account.

Innanzitutto, devi installare e attivare il plugin Two-Factor. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin WordPress.

Dopo l'attivazione, devi visitare la pagina Utenti »Profilo e scorrere fino alla sezione "Opzioni a due fattori".

Da qui, devi scegliere un'opzione di accesso a due fattori. Il plug-in ti consente di utilizzare la posta elettronica, un'app di autenticazione e i metodi FIDO U2F Security Keys.

Ti consigliamo di utilizzare il metodo dell'app di autenticazione. Basta scansionare il codice QR sullo schermo utilizzando un'app di autenticazione come Google Authenticator, Authy o LastPass Authenticator.

Dopo aver scansionato il codice QR, l'app ti mostrerà un codice di verifica che dovrai inserire nelle opzioni del plug-in e fare clic sul pulsante "Invia".

Il plugin ora imposterà la chiave segreta. Puoi reimpostare questa chiave in qualsiasi momento dalla pagina delle impostazioni per scansionare nuovamente il codice QR.

Non dimenticare di fare clic sul pulsante "Aggiorna profilo" nella parte inferiore della pagina per salvare le impostazioni.

Ora ogni volta che accedi al tuo sito WordPress, ti verrà chiesto di inserire il codice di autenticazione generato dall'app sul tuo telefono.

Domande frequenti sull'autenticazione a due fattori (2FA) in WordPress

Ecco alcune risposte ad alcune delle domande più frequenti sull'utilizzo dell'accesso in due passaggi in WordPress.

1. Come posso accedere con 2FA se non ho accesso al mio telefono?

Se utilizzi un'app di autenticazione con un'opzione di backup su cloud come Authy, puoi installare l'app anche sul tuo laptop.

Questo ti dà accesso ai codici di autenticazione anche quando non hai il telefono con te. Ti consente anche di ripristinare facilmente le tue chiavi segrete quando acquisti un nuovo telefono.

Molte app di autenticazione ti consentono anche di generare codici di backup. Questi codici possono essere utilizzati come passcode monouso quando non hai accesso al tuo telefono.

2. Come accedere senza codici dalla mia app di autenticazione?

Se non hai accesso al tuo telefono, laptop o codici di backup, puoi accedere solo disabilitando il plug-in 2FA.

Puoi consultare la nostra guida su come disattivare tutti i plugin di WordPress quando non riesci ad accedere all'area di amministrazione.

Una volta disattivati ​​tutti i plugin, questo disabiliterà anche il plugin di autenticazione a due fattori e sarai in grado di accedere al tuo sito web WordPress. Una volta effettuato l'accesso, puoi riattivare i plugin e reimpostare la configurazione dell'autenticazione a due fattori.

3. Devo proteggere con password la cartella amministrativa di WordPress?

La sicurezza del sito web funziona meglio quando disponi di più livelli di sicurezza per proteggere il tuo sito web, a partire dalle nozioni di base come l'utilizzo di HTTPS e l'hosting WordPress sicuro.

La verifica a due fattori rende sicuro il tuo accesso a WordPress, ma puoi renderlo ancora più sicuro proteggendo con password la directory di amministrazione di WordPress. Ciò significa che gli utenti non saranno in grado di accedere alla tua pagina di accesso a meno che non inserino prima un nome utente e una password.

Ci auguriamo che questo articolo ti abbia aiutato ad aggiungere la verifica a 2 fattori per l'accesso a WordPress. Potresti anche voler consultare la nostra guida su come ottenere un certificato SSL gratuito per il tuo sito WordPress o la nostra selezione di esperti dei migliori plugin di sicurezza WordPress.

Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per i tutorial video di WordPress. Puoi trovarci anche su Twitter e Facebook.