Attivare l'autenticazione a due fattori su WordPress

Ne abbiamo già discusso, ma vale la pena ribadirlo: la sicurezza del sito non è un’azione singola, è un processo fatto di diversi livelli. Proprio come i castelli antichi sono stati costruiti come livelli di protezione attorno alla torre principale, così il tuo sito web dovrebbe avere diversi livelli costruiti attorno al tuo bene più prezioso: l’acceso alla sezione di amministrazione del sito.

Nel mio ultimo articolo abbiamo visto quelle che sono le azioni fondamentali e necessarie per rendere sicuro il tuo sito web.

Tutte queste azioni sono importanti, ma ci sono attività aggiuntive e più approfondite che puoi intraprendere e che renderanno molto più difficile per gli hacker accedere al tuo sito. Azioni che consiglio vivamente, soprattutto se ti sono state affidate anche le informazioni personali dei tuoi utenti.

Uno di questi passaggi è l’autenticazione a due fattori (o 2 factor authentication).

L’autenticazione a due fattori non è un nuovo concetto di sicurezza. Per decenni, le istituzioni finanziarie hanno fatto affidamento sulle chiavette chiamate “Fob” (piccoli dispositivi che hanno un display e producono costantemente codici numerici) come elemento aggiuntivo di sicurezza.

Il concetto di sicurezza completo risponde a 3 livelli di autenticazione “Qualcosa che conosci, qualcosa che hai, qualcosa che sei”. Con l’autenticazione a due fattori rispondi a due di questi elementi. Quando accedi a un sito senza autenticazione, usi solo “qualcosa che conosci”: il login e la password. Indipendentemente da quanto pensi siano forti, c’è la possibilità che possano essere compromessi. L’autenticazione a due fattori aggiunge un livello ulteriore di sicurezza, il “qualcosa che hai”.

Oggigiorno, invece di dover dare una chiavetta a ogni utente, abbiamo smartphone e software che possono sostituire quei vecchi sistemi. Se hai uno smartphone moderno (uno realizzato negli ultimi 5 anni) puoi utilizzare un’app che funziona come “qualcosa che hai”.

Iscriviti per
altri fantastici contenuti!

Iscriviti per ricevere la nostra newsletter mensile con gli ultimi contenuti utili e le offerte SiteGround.

Grazie!

Per favore, controlla la tua email per confermare l’iscrizione.

L’app per l’autenticazione a due fattori più comunemente utilizzata, anche se non l’unica, è Google Authenticator. È la più comune perché è gratuita. Prima di decidere di attivare l’autenticazione a due fattori, assicurati che Google Authenticator sia disponibile per il tuo telefono.

Ora che sai che il tuo telefono può fare il suo lavoro, dobbiamo esaminare WordPress. Come con le app di autenticazione, sono disponibili diversi plugin di WordPress che possono svolgere questo lavoro. Se utilizzi già un plugin come WordFence, hai tutto il necessario per configurare l’autenticazione. In caso contrario, dovrai selezionare uno dei plugin da utilizzare. Anche se non ho l’abitudine di consigliare plugin, se non hai già installato un plugin che offre l’autenticazione, io ho usato WP 2FA in passato e funziona bene.

Installa e configura il tuo plugin. Ad un certo punto, dovrai decidere quali utenti dovranno implementare l’autenticazione a due fattori per accedere. Fai molta attenzione a questo. L’autenticazione a due fattori aggiunge complessità al tuo sito. Per la maggior parte di voi, a meno che tu ci sia una buona ragione, consiglio di limitare l’autenticazione a due fattori ai soli amministratori. Se ne hai molti, potresti voler aggiungerla anche per gli editor. Non ti consiglio di richiedere al cliente medio di usarla a meno che tu non stia memorizzando dati sensibili su di loro.

L’autenticazione a due fattori non sostituisce il normale processo di login e password che devi inserire in WordPress. Questo è il “Qualcosa che conosci” ed è importante. Tuttavia, aggiunge un livello al processo di login aggiungendo un terzo campo.

Dopo che l’utente clicca sul pulsante di accesso, verrà indirizzato a una seconda schermata di accesso che chiederà il “token”. Se l’utente ha impostato correttamente la sua app, aprendola troverà il tuo sito web e un numero di accesso sullo schermo. Questo numero cambia ogni 30 secondi. Il numero è chiamato “Time-based One Time Password” (TOTP). Il tuo telefono e il plugin che usi sanno come calcolarlo, ma nessun altro lo fa. Quando digiti il token e premi il pulsante, il plugin calcolerà il TOTP appropriato e quindi verificherà che corrisponda a ciò che hai digitato. In base a questo, l’accesso sarà garantito o rifiutato.

Questo è tutto. Potrebbero volerci circa 10 minuti per configurare e rendere operativo il plugin e collegare il tuo account da amministratore. Questo è tutto ciò che serve per proteggere il tuo account in modo talmente forte che, a meno che qualcuno non ti rubi il telefono, non potrà accedere, anche se ha il tuo nome utente e la tua password.

Concludo dicendo che alcuni sistemi di autenticazione a due fattori non sono basati su app ma su messaggi di testo inviati al tuo telefono con i token. Questi non sono del tutto sicuri. Evita questi sistemi e usa quelli che hanno un’app.

author avatar
Cal Evans

PHP Evangelist

Una delle persone più amate della community PHP, ha dedicato oltre 16 anni allo sviluppo della straordinaria comunità PHP e al tutoring della nuova generazione di sviluppatori. Siamo estremamente onorati che sia anche un amico molto speciale di SiteGround.

WordPress

Inizia la discussione

Sei pronto a iniziare il tuo sito?

Scegli un piano di hosting, crea o trasferisci il tuo sito in pochi click e fai crescere la tua presenza online!

Inizia subito Parla con un esperto