Per proteggere il tuo sito web WordPress è di fondamentale importanza creare password complesse. Tuttavia, una sola password non fornirà una protezione adeguata contro le numerose minacce che rappresentano un grave rischio per il tuo sito, come ad esempio gli attacchi brute force.

Se utenti non autorizzati riescono ad accedere al tuo back-end, potresti perdere il tuo sito e mettere a rischio i dati dei tuoi visitatori.

Utilizzando l’autenticazione due fattori (two factor authentication), puoi aumentare di un ulteriore livello la sicurezza del tuo sito WordPress.

L’autenticazione a due fattori è relativamente semplice da configurare e ridurrà in modo significativo il rischio che utenti non autorizzati possano accedere al sito.

In questo post, introdurremo l’autenticazione a due fattori e spiegheremo come può essere utilizzata in WordPress. Ti mostreremo quindi come implementare questa funzione usando i plugin. Iniziamo!

Che cos’è l’autenticazione a due fattori?

L’autenticazione a due fattori è un livello di sicurezza che richiede sia una password che un’ulteriore verifica dell’identità dell’utente.

Questa verifica proviene da qualcosa a cui solo l’utente autorizzato può accedere, come messaggi di testo e vocali, link e-mail, QR code o notifiche push.

L’autenticazione a due fattori è sicura perché gli aggressori non hanno accesso a questi canali esterni.

Come funziona l’autenticazione a due fattori ?

autenticazione a due fattori google


Questo esempio di Google dimostra come funziona l’autenticazione Google 2FA sul tuo sito web.

Su una tipica pagina di accesso WordPress (ovvero non 2FA), l’utente inserisce un nome utente e una password e gli viene automaticamente concesso l’accesso al back-end del sito web.

Questo significa che chiunque conosca le tue credenziali può facilmente accedere a tutti gli aspetti del tuo sito web.

Come accennato in precedenza, l’autenticazione a due fattori può aiutare a evitare che ciò accada.

Ma come funziona in WordPress? Con la configurazione di two factor authentication (tratteremo come farlo tra un momento), quando inserisci la password e il nome utente nella pagina di accesso, verrà inviata una notifica al tuo telefono o al tuo indirizzo email.

Questa notifica conterrà una pin, un link o un QR code. Per accedere al sito web, è necessario seguire le istruzioni del messaggio di testo o dell’e-mail, facendo ad esempio clic sul collegamento o immettendo il PIN sul sito.

Quanto è sicura l’autenticazione a due fattori?

Rispetto alla protezione con password standard, l’autenticazione a due fattori è molto più sicura perchè per ottenere l’accesso al tuo sito, richiede di sfruttare qualcosa che solo tu possiedi (il tuo telefono, il tuo account di posta elettronica privato, ecc.).

Ciò significa che la probabilità di un hack del sito web si riducono, rendendo l’autenticazione a due fattori il modo migliore per prevenire vari problemi di sicurezza (in particolare attacchi brute force).

Ora che hai compreso i vantaggi dell’autenticazione a due fattori e come funziona, discutiamo su come integrare effettivamente questa funzione nel tuo sito WordPress.

Plugin WordPress per l’autenticazione a due fattori

Ecco alcune opzioni che puoi provare tu stesso.

Rublon Two Factor Authentication

Rublon Two-Factor Authentication è un semplice plugin che ti consente di proteggere rapidamente il tuo sito web da accessi non autorizzati.

Quando accedi per la prima volta a WordPress con il plugin installato, ti verrà richiesto di fare clic sul link di verifica che viene inviato al tuo indirizzo email.

Puoi quindi scegliere di salvare il tuo dispositivo, il che significa che non dovrai più verificare la tua identità quando utilizzi lo stesso browser.

Questa è un’opzione eccellente per siti web con un solo utente, sebbene possa essere applicata anche ai siti web multiutente (ma solo se si esegue l’aggiornamento alla versione a pagamento).

Pro: Questo plugin offre l’installazione e l’attivazione con un clic e non richiede configurazione o formazione.

Contro: supporta solo la verifica tramite e-mail, che può essere meno sicura dei messaggi di testo o delle notifiche push.

Costo: il plugin personale (un sito web) è gratuito, ma è possibile acquistare una versione aziendale (multi-sito web) contattando il team di vendita.

Duo Two Factor Authentication

Come uno dei plugin 2FA più avanzati, Duo Two Factor Authentication consente di impostare l’autenticazione a due fattori in base ai ruoli utente di WordPress. Puoi richiedere ad esempio che Autori ed Editori utilizzino l’autenticazione a due fattori per accedere, mentre i Sottoscrittori debbano solo inserire la password.

L’autenticazione a due fattori Duo offre anche varie opzioni per la verifica : via SMS, app mobile o chiamata telefonica.

Pro: questo plugin supporta la configurazione del ruolo utente e include una vasta gamma di metodi di verifica.

Contro: non c’è supporto per WordPress Multisite.

Prezzo: il plugin gratuito abilita l’autenticazione a due fattori per un massimo di 10 utenti sul tuo sito web, ma puoi aumentare tale limite a partire da $ 3 per utente al mese.

Google Authenticator

Infine, Google Authenticator offre una varietà di metodi di verifica per proteggere il tuo sito web da accessi non autorizzati, inclusi QR code, messaggi e-mail e notifiche push.

Come con Duo Two-Factor Authenticator, è possibile utilizzare questo plugin per impostare l’autenticazione due fattori per ruoli utente specifici.

Google Authenticator può essere configurato per richiedere un nome utente, una password e un fattore o solo un nome utente e un fattore.

Pro: questo plugin supporta Two Factor Authentication con ruolo specifico e offre una vasta gamma di metodi di verifica (inclusi QR code, SMS, chiamate telefoniche e notifiche push).

Contro: la versione gratuita è abbastanza limitata in termini di funzionalità.

Costo: il plugin gratuito offre l’autenticazione a due fattori per un solo utente, ma è possibile effettuare l’aggiornamento a partire da $ 15 all’anno.

È importante ricordare che il tuo sito web WordPress è sicuro solo come la pagina di accesso dell’amministratore e che una sola password non è sufficiente.

L’implementazione dell’autenticazione a due fattori può aiutarti a proteggere i l tuo sito web.