Come abilitare l'autenticazione a due fattori sul tuo sito WordPress

Un login + una password. Collegarsi all'interfaccia di amministrazione di WordPress è molto semplice, a patto di ricordare questi due elementi.

Dal punto di vista del malintenzionato o del robot che vuole accedere al tuo sito, è altrettanto semplice.

Se trovano il tuo login e la tua password, diventeranno il capitano della nave, senza il tuo permesso .

Questo è uno scenario disastroso e, sfortunatamente, non accade solo agli altri. Per proteggersi, può essere una buona idea attivare l'autenticazione a due fattori su WordPress .

Se non hai ancora familiarità con questo metodo di protezione, o se vuoi configurarlo, questo articolo ti spiegherà tutto.

Dopo averlo letto, saprai perché utilizzare l'autenticazione a due fattori e come abilitarla sull'installazione di WordPress utilizzando due metodi diversi (entrambi utilizzando un plug-in).

I tuoi migliori progetti WordPress hanno bisogno del miglior host!

WPMarmite consiglia Bluehost: grandi prestazioni, grande supporto. Tutto ciò di cui hai bisogno per iniziare alla grande.

Prova Bluehost

Cos'è l'autenticazione a due fattori?

Come funziona l'autenticazione a due fattori?

L'autenticazione a due fattori è un metodo per proteggere un account utente . Su WordPress, consente di proteggere l'accesso all'interfaccia di amministrazione (back office) aggiungendo un ulteriore livello di protezione all'autenticazione della password.

Ecco come funziona:

1. Innanzitutto, inserisci il tuo nome utente e password nella pagina di accesso all'amministrazione . Questo è quello che fai normalmente ogni volta che vuoi accedere al tuo sito WordPress.
2. Successivamente, dovrai identificarti una seconda volta per poter accedere all'admin , utilizzando un dispositivo o un servizio in tuo possesso. Questo può essere uno smartphone, ad esempio, su cui convalidi il tentativo di connessione inserendo un codice.

Ecco perché la chiamiamo doppia autenticazione: per connetterti a WordPress, devi identificarti due volte.

Il grande vantaggio di questo metodo è che se qualcuno hackera la tua password, non sarà sufficiente per accedere al tuo account.
Se la persona malintenzionata o il bot non ha nient'altro di tuo con cui accedere (ad esempio il tuo dispositivo mobile), non sarà in grado di accedere.

Inoltre, questo è un servizio che probabilmente hai già utilizzato nella tua vita quotidiana. Molti siti famosi lo usano, come Google, Facebook e PayPal .

Questo vale anche per la tua banca. Per convalidare un pagamento (soprattutto per importi elevati), spesso ti viene chiesto di convalidarlo sulla tua applicazione bancaria, a cui devi accedere.

Diversi nomi vengono utilizzati per fare riferimento all'autenticazione a due fattori. Possiamo anche dire identificazione a due fattori, doppia autenticazione o persino 2FA .

Quali sono le opzioni per la seconda forma di autenticazione?

Prima di continuare, diamo una rapida occhiata ai metodi di identificazione che potrebbero esserti offerti durante la seconda fase di identificazione.

Questo secondo fattore può assumere diverse forme, come ad esempio:

• Un codice di sicurezza inviato tramite SMS o e-mail
• Un'app di autenticazione (es. Google Authenticator) che genera un codice di sicurezza monouso, valido solo per un certo periodo di tempo
• Un token USB , che viene inserito nella porta USB del computer
• Una notifica push
• Un'impronta digitale o una scansione della retina

Perché dovresti abilitare l'autenticazione a due fattori su WordPress?

Sebbene la doppia autenticazione aggiunga un ulteriore passaggio al processo di accesso, ha comunque un grande vantaggio: rende l'accesso all'interfaccia di amministrazione molto più sicuro .

Utilizzando questo metodo:

• Limiti gli attacchi di forza bruta . Quando si verificano attacchi di forza bruta, i bot visitano la tua pagina di accesso di WordPress e provano a capire il nome utente e la password dell'account amministratore del tuo sito testando diverse combinazioni, al fine di prenderne il controllo. Se mai avranno successo, la doppia autenticazione impedirà loro di accedere al tuo amministratore di WordPress.
• Rafforzi la sicurezza del tuo account amministratore . Anche se utilizzi una password debole come 123456 o amore, non farlo, avrai una misura di protezione aggiuntiva con il secondo fattore di autenticazione.
• Riduci il rischio di hacking e proteggi meglio alcuni dati riservati (informazioni personali o dati bancari dei tuoi clienti se vendi su un negozio WooCommerce).

Il valore dell'autenticazione a due fattori è più chiaro? Ora mettiamoci al lavoro. Continua a leggere per scoprire come impostare la doppia autenticazione su WordPress in pochi minuti.

Come abilitare la doppia autenticazione su WordPress

Prima di tutto, ti consiglio di eseguire il backup del tuo sito. In caso di problemi, potrai girarti e ripristinarlo facilmente. Per fare ciò, puoi attivare il plugin UpdraftPlus, ad esempio, o utilizzare il modulo di backup di uno strumento di manutenzione come WP Umbrella (link di affiliazione) o ManageWP .

Quali opzioni hai?

Il modo più semplice e veloce per abilitare l'autenticazione a due fattori su WordPress è utilizzare un plug-in. Ci sono due opzioni per questo.

Innanzitutto, puoi scegliere un plug-in dedicato alla doppia autenticazione su WordPress . La directory ufficiale di WordPress ne ha dozzine.

Tra i più apprezzati (più di 5.000 installazioni attive), troverai:

• Two-Factor ( oltre 50.000 installazioni attive)
• WP 2FA – Autenticazione a due fattori per WordPress ( oltre 40.000 installazioni attive)
• Google Authenticator ( oltre 30.000 installazioni attive)
• Autenticazione a due fattori ( oltre 20.000 installazioni attive)
• Google Authenticator di miniOrange ( oltre 20.000 installazioni attive)
• Autenticazione a due fattori Duo ( oltre 9.000 installazioni attive)

L'altra opzione è sfruttare una doppia funzione di autenticazione offerta da un plug-in di sicurezza generico come SecuPress, iThemes Security o Wordfence Security.

Scopriamo come implementarli nel dettaglio.

Come abilitare la doppia autenticazione su WordPress con il plugin WP 2FA

Se desideri utilizzare un plug-in dedicato alla doppia autenticazione su WordPress, il plug-in WP 2FA è un'opzione affidabile ed efficace per diversi motivi:

• È il plugin più popolare dopo Two-Factor. E a differenza di Two-Factor, WP 2FA ti consente di impostare l'autenticazione a due fattori per tutti gli utenti (con Two-Factor, ogni utente dovrà configurarlo da solo).
• È uno dei più votati.
• Viene aggiornato di frequente .
• È facile da usare e da imparare.
• Sono disponibili diversi metodi di seconda autenticazione : e-mail, testo, applicazione di autenticazione, codice di ripristino, ecc.
• È sviluppato e gestito da un'azienda specializzata nella sicurezza di WordPress: WP White Security offre anche l'eccellente plug-in WP Activity Log.
• I tuoi utenti possono configurare l'autenticazione a due fattori senza accedere all'amministrazione . Possono farlo dal front-end, il che è molto conveniente per i clienti di un negozio online (WP 2FA si integra con WooCommerce), un'area membri, ecc.

Senza transizione, impariamo come configurarlo in pochi rapidi passaggi.

Passaggio 1: installa e attiva il plug-in WP 2FA

Innanzitutto, installa e attiva il plug-in sulla tua interfaccia di amministrazione di WordPress. Per fare ciò, vai al menu Plugin > Aggiungi nuovo .

Passaggio 2: seleziona un metodo di autenticazione per i tuoi utenti

Una volta attivato il plug-in, verrà automaticamente avviata una procedura guidata di configurazione sullo schermo. Fai clic sul pulsante blu "Iniziamo" per iniziare:

Ti verrà quindi chiesto di scegliere un metodo di autenticazione per i tuoi utenti. Hai due opzioni per il secondo fattore di autenticazione:

• Utilizzando un'applicazione come Google Authenticator o Authy
• Invio di un codice via e-mail . In questo caso, WP 2FA consiglia di attivare il plugin WP Mail SMTP per migliorare la deliverability delle email inviate da WordPress.

Se desideri offrire queste due opzioni ai tuoi utenti, lascia entrambe le caselle selezionate.

Altrimenti, deseleziona la casella di tua scelta se non vuoi offrire uno dei metodi di autenticazione. Fare clic su “Continue Setup” per continuare la configurazione:

Nel passaggio successivo, puoi anche scegliere di inviare un codice di backup monouso , nel caso in cui il metodo di autenticazione precedente (tramite app o e-mail) non funzioni.

Per scegliere questa opzione, lasciare selezionata la casella "Codici di backup", quindi fare clic su "Continua installazione":

Passaggio 3: definisci quali ruoli utente utilizzeranno la doppia autenticazione su WordPress

Nella terza fase, WP 2FA ti chiede di scegliere chi utilizzerà la doppia autenticazione sul tuo sito WordPress. Ci sono tre opzioni:

• Tutti gli utenti : in questo caso, tutti dovranno autenticarsi due volte per accedere, indipendentemente dal proprio ruolo utente (amministratore, autore, editore, collaboratore e abbonato).
• Alcuni utenti e/o ruoli definiti ("Solo per utenti e ruoli specifici"). Qui puoi limitare l'uso dell'autenticazione a due fattori a determinati utenti e ruoli.
• Non imporre a nessun utente . In questo caso ogni utente sarà libero di attivarlo o meno.

Procedere al passaggio successivo facendo clic su "Continua configurazione":

Passaggio 4: configurare un periodo di tolleranza

Se scegli di applicare l'autenticazione a due fattori a tutti o ad alcuni dei tuoi utenti, puoi offrire loro la possibilità di configurare l'autenticazione a due fattori entro un determinato periodo di tolleranza.

WP 2FA ti consente di:

• Costringi i tuoi utenti a configurare immediatamente l'autenticazione a due fattori ("Gli utenti devono configurare subito 2FA")
• Definire un periodo di tolleranza per configurare 2FA ("Offri agli utenti un periodo di tolleranza per configurare 2FA") che può essere impostato in giorni o ore.

Se decidi di impostare un ritardo di configurazione, dovrai scegliere cosa accadrà se l'utente non interviene durante il ritardo:

• O non saranno in grado di accedere alla dashboard o alla loro pagina utente ("Non consentire loro di accedere alla dashboard/pagina utente") finché non impostano il doppio accesso su WordPress
• Oppure l'account dell'utente verrà bloccato ("Blocca l'utente"). Solo un amministratore potrà sbloccarlo.

Termina cliccando su “Tutto fatto”:

Passaggio 5: scegli il metodo di doppio accesso su WordPress per il tuo account utente

L'ultimo passaggio consiste nell'impostare la doppia autenticazione per il tuo account utente. Per fare ciò, fai clic sul pulsante "Configura 2FA ora":

Una finestra evidenziata si aprirà quindi sullo schermo chiedendoti di scegliere il metodo di autenticazione che desideri utilizzare:

• Autenticazione tramite app ("Codice monouso tramite app 2FA"). Questo è il metodo che sceglierò qui.
• Autenticazione via e-mail ("Codice monouso via e-mail").

Passaggio 6: genera un codice di autenticazione su un'app di autenticazione a due fattori

Per autenticarti tramite un'applicazione, devi sceglierne una. WP 2FA è compatibile con le seguenti applicazioni:

• Google Authenticator
• Authy
• Autenticatore Microsoft
• Duo
• LastPass
• FreeOTP
• Okta

Ai fini di questo test, mi affiderò a Google Authenticator, che è probabilmente il più famoso .

Scarica questa applicazione sul tuo smartphone. Aprilo, quindi scansiona il codice QR offerto dal plug-in WP 2FA sulla tua interfaccia di amministrazione. Al termine, fai clic sul pulsante "Sono pronto".

Quindi inserisci il codice generato dall'applicazione Google Authenticator e ricordati di convalidare facendo clic sul pulsante corrispondente ("Convalida e salva"):

Passaggio 7: connettiti a WordPress

Per verificare che tutto funzioni correttamente, esci dall'interfaccia di amministrazione di WordPress.

Nella pagina di accesso dell'amministratore, inserisci il nome utente e la password come al solito. Se tutto va bene, ti verrà chiesto di inserire un codice monouso generato dall'applicazione che utilizzerai .

Nel caso di Google Authenticator, si tratta di un codice a 6 cifre che viene rigenerato ogni 30 secondi.

E questo è tutto, il tuo sito ora è molto più sicuro. Congratulazioni!

Puoi anche personalizzare il testo dell'email che ti invierà un codice di autenticazione (se scegli questo metodo nelle impostazioni del plugin), tramite il menu WP 2FA > Impostazioni > Email e modelli. Infine, è anche possibile modificare il testo che viene visualizzato nella pagina di login quando si deve inserire il proprio codice di autenticazione.

Unisciti agli abbonati WPMarmite

Ottieni gli ultimi post di WPMarmite (e anche risorse esclusive).

ISCRIVITI ORA

Come abilitare l'autenticazione a due fattori con un plug-in di sicurezza generale

Se hai seguito tu stesso il processo di configurazione dell'autenticazione a due fattori su WordPress, potresti aver trovato i passaggi relativamente semplici.

D'altra parte, potresti averlo trovato un po' dispendioso in termini di tempo per l'implementazione. Il plug-in WP 2FA ha più opzioni di configurazione, che possono far trascinare un po' le cose.

Se vuoi andare un po' più veloce, anche se con meno opzioni nelle impostazioni, c'è un altro modo.

Questo è l'uso di un plug-in di sicurezza generico. La maggior parte di essi offre un'opzione per abilitare la doppia autenticazione sul tuo sito WordPress.

WPMarmite ha dedicato tutorial dettagliati a tre dei plugin di sicurezza più famosi, in cui scoprirai come configurare la doppia autenticazione. Questi sono i seguenti plugin:

• Wordfence Security (incluso nella versione gratuita). Se non vuoi sfruttare tutte le funzionalità offerte da Wordfence, tieni presente che offre anche un plug-in più leggero con meno opzioni (Wordfence Login Security), che include la doppia autenticazione.
• iThemes Sicurezza (incluso nella versione gratuita)
• SecuPress offre anche l'autenticazione a due fattori (2FA), ma solo nella sua versione Pro. SecuPress offre un metodo interessante in questo senso: Passwordless . Per accedere, l'utente non ha bisogno di inserire una password. Inseriscono semplicemente il loro indirizzo e-mail nella pagina di accesso di WordPress, quindi ricevono un'e-mail con un collegamento univoco che consentirà loro di accedere solo una volta.

Se scegli di utilizzare un plug-in di sicurezza generico, non abilitare contemporaneamente un plug-in di autenticazione a due fattori dedicato come WP 2FA o uno dei suoi concorrenti. Questo sarebbe controproducente e ti esporresti a rischi di incompatibilità.

Conclusione

La doppia autenticazione su WordPress è un modo efficace per rafforzare la sicurezza del tuo sito . Ad esempio, ti consente di proteggere meglio il tuo sito dagli attacchi di forza bruta.

In queste righe, hai scoperto due metodi principali per attivarlo sulla tua installazione di WordPress:

1. Con un plugin dedicato come WP 2FA .
2. Con un plug-in di sicurezza generico come Wordfence, iThemes Security o SecuPress.

Tuttavia, non fare affidamento solo sull'autenticazione a due fattori per proteggere il tuo sito. Prendi in considerazione l'utilizzo di password complesse, ad esempio, nonché un plug-in anti-spam come Akismet.

Hai implementato il doppio accesso sul tuo sito? In tal caso, quale feedback puoi condividere con noi? Dai la tua opinione ai lettori di WPMarmite pubblicando un commento.