Autenticazione a due fattori (2FA) per WordPress

Pubblicato in data 8 Agosto 2019 Categoria Sicurezza WordPress

autenticazione a due fattori wordpress

Per proteggere il tuo sito web WordPress è di fondamentale importanza creare password complesse. Tuttavia, una sola password non fornirà una protezione adeguata contro le numerose minacce che rappresentano un grave rischio per il tuo sito, come ad esempio gli attacchi brute force. Se utenti non autorizzati riescono ad accedere al tuo back-end, potresti perdere il tuo sito e mettere a rischio i dati dei tuoi visitatori. Utilizzando l’autenticazione a due fattori (2FA), puoi aumentare di un ulteriore livello la sicurezza del tuo sito WordPress. 2FA è relativamente semplice da configurare e ridurrà in modo significativo il rischio che utenti non autorizzati possano accedere al sito.

In questo post, introdurremo l’autenticazione a due fattori e spiegheremo come può essere utilizzata in WordPress. Ti mostreremo quindi come implementare questa funzione usando i plugin. Iniziamo!

 

Che cos’è l’autenticazione a due fattori (2FA) per WordPress?

L’autenticazione a due fattori (2FA) è un livello di sicurezza che richiede sia una password che un’ulteriore verifica dell’identità dell’utente. Questa verifica proviene da qualcosa a cui solo l’utente autorizzato può accedere, come messaggi di testo e vocali, link e-mail, QR code o notifiche push. L’autenticazione a due fattori è sicura perché gli aggressori non hanno accesso a questi canali esterni.

 

Come funziona l’autenticazione a due fattori per WordPress?


Questo esempio di Google dimostra come 2FA funziona sul tuo sito web.

Su una tipica pagina di accesso WordPress (ovvero non 2FA), l’utente inserisce un nome utente e una password e gli viene automaticamente concesso l’accesso al back-end del sito web. Questo significa che chiunque conosca le tue credenziali può facilmente accedere a tutti gli aspetti del tuo sito web.

Come accennato in precedenza, 2FA può aiutare a evitare che ciò accada. M, come funziona in WordPress? Con la configurazione di 2FA (tratteremo come farlo tra un momento), quando inserisci la password e il nome utente nella pagina di accesso, verrà inviata una notifica al tuo telefono o al tuo indirizzo email. Questa notifica conterrà una pin, un link o un QR code.

Per accedere al sito web, è necessario seguire le istruzioni del messaggio di testo o dell’e-mail, facendo ad esempio clic sul collegamento o immettendo il PIN sul sito.

 

Quanto è sicura l’autenticazione a due fattori?

Rispetto alla protezione con password standard, 2FA è molto più sicura perchè per ottenere l’accesso al tuo sito, richiede di sfruttare qualcosa che solo tu possiedi (il tuo telefono, il tuo account di posta elettronica privato, ecc.). Ciò significa che la probabilità di un hack del sito web si riducono, rendendo 2FA il modo migliore per prevenire vari problemi di sicurezza (in particolare attacchi brute force).

Ora che hai compreso i vantaggi di 2FA e come funziona, discutiamo su come integrare effettivamente questa funzione nel tuo sito WordPress.

 

Plugin WordPress per l’autenticazione a due fattori

Ecco alcune opzioni che puoi provare tu stesso.

 

Rublon Two-Factor Authentication

rublon plugin 2fa sicurezza wordpress

Rublon Two-Factor Authentication è un semplice plug-in 2FA che ti consente di proteggere rapidamente il tuo sito web da accessi non autorizzati. Quando accedi per la prima volta a WordPress con il plug-in installato, ti verrà richiesto di fare clic sul link di verifica che viene inviato al tuo indirizzo email. Puoi quindi scegliere di salvare il tuo dispositivo, il che significa che non dovrai più verificare la tua identità quando utilizzi lo stesso browser.

Questa è un’opzione eccellente per siti web con un solo utente, sebbene possa essere applicata anche ai siti web multiutente (ma solo se si esegue l’aggiornamento alla versione a pagamento).

Pro: Questo plug-in offre l’installazione e l’attivazione con un clic e non richiede configurazione o formazione.

Contro: supporta solo la verifica tramite e-mail, che può essere meno sicura dei messaggi di testo o delle notifiche push.

Costo: il plug-in personale (un sito web) è gratuito, ma è possibile acquistare una versione aziendale (multi-sito web) contattando il team di vendita.

 

Duo Two-Factor Authentication

Plugin di autenticazione a due fattori per wordpress

Come uno dei plugin 2FA più avanzati, Duo Two-Factor Authentication ti consente di impostare 2FA in base ai ruoli utente di WordPress. Puoi richiedere ad esempio che Autori ed Editori utilizzino 2FA per accedere, mentre i Sottoscrittori debbano solo inserire la password.

L’autenticazione a due fattori Duo offre anche varie opzioni per la verifica : via SMS, app mobile o chiamata telefonica.

Pro: questo plug-in supporta la configurazione del ruolo utente e include una vasta gamma di metodi di verifica.

Contro: non c’è supporto per WordPress Multisite.

Prezzo: il plug-in gratuito abilita 2FA per un massimo di 10 utenti sul tuo sito web, ma puoi aumentare tale limite a partire da $ 3 per utente al mese.

 

Google Authenticator – Autenticazione a due fattori

plugin di verifica a due passaggi

Infine, Google Authenticator offre una varietà di metodi di verifica per proteggere il tuo sito web da accessi non autorizzati, inclusi QR code, messaggi e-mail e notifiche push. Come con Duo Two-Factor Authenticator, è possibile utilizzare questo plugin per impostare 2FA per ruoli utente specifici.

Google Authenticator può essere configurato per richiedere un nome utente, una password e un fattore o solo un nome utente e un fattore.

Pro: questo plugin supporta 2FA con ruolo specifico e offre una vasta gamma di metodi di verifica (inclusi QR code, SMS, chiamate telefoniche e notifiche push).

Contro: la versione gratuita è abbastanza limitata in termini di funzionalità.

Costo: il plug-in gratuito offre 2FA per un solo utente, ma è possibile effettuare l’aggiornamento a partire da $ 15 all’anno.

È importante ricordare che il tuo sito web WordPress è sicuro solo come la pagina di accesso dell’amministratore e che una sola password non è sufficiente. L’implementazione dell’autenticazione a due fattori può aiutarti a proteggere i l tuo sito web.