Autenticazione a due fattori: una guida per gli utenti di WordPress

Pubblicato: 2023-01-03

Probabilmente hai riscontrato un processo di autenticazione dell'accesso in due passaggi nell'online banking e in qualsiasi sito che richiede la massima sicurezza per i propri utenti. Poiché WordPress supporta l'autenticazione a due fattori (2FA), puoi avere lo stesso livello di sicurezza di una banca. Che si tratti del tuo sito WordPress o di siti che crei per i clienti, una forte sicurezza è fondamentale.

L'autenticazione a due fattori aggiunge un livello di protezione incredibilmente importante che ogni proprietario di un sito WordPress dovrebbe prendere seriamente in considerazione di adottare. Poiché 2FA rende impossibili molti tentativi di hacking comuni, gli hacker eviteranno semplicemente i siti protetti da 2FA e non si preoccuperanno di tentare di entrare con metodi che sanno non funzioneranno. Ogni sito WordPress può beneficiare dell'ulteriore livello di sicurezza fornito dall'autenticazione a due fattori.

Perché le password complesse non sono sufficienti

Le minacce informatiche rappresentano seri rischi per te e per i tuoi clienti. Se un utente non autorizzato ottiene l'accesso alla dashboard di amministrazione del tuo sito, potrebbe succedere di tutto. Potresti perdere tutti i tuoi dati in un istante. Potresti perdere il controllo del tuo sito web per qualche tempo. I criminali potrebbero raccogliere le informazioni personali dei tuoi utenti. I tuoi utenti non saranno contenti, ma dovrai informarli dell'accaduto. La legge richiede di divulgare le violazioni dei dati di identificazione personale.

Molti attacchi possono penetrare nel tuo sito indovinando le password o utilizzando quelle rubate. Se tu e tutti gli utenti del tuo sito avete abilitato l'autenticazione a due fattori, nessuno di questi metodi di forza bruta per entrare nel vostro sito funzionerà.

Sì, è sempre importante richiedere password complesse su tutti gli account utente per proteggere il tuo sito e i suoi utenti. Tuttavia, una password complessa non fornisce una protezione sufficiente da sola. Gli aggressori possono penetrare nel tuo sito indovinando anche password complesse o utilizzando quelle rubate. Questa è una realtà così comune ora, gli accessi tradizionali basati su password sono inadeguati come singolo livello di sicurezza.

Le password complesse non offrono una protezione sufficientemente forte senza ulteriori livelli di sicurezza. L'utilizzo dell'autenticazione a due fattori per tutti i tuoi account utente è una misura di sicurezza molto più efficace perché aggiunge il livello aggiuntivo necessario per proteggere il tuo sito e proteggere i tuoi clienti. Questo non vuol dire che l'applicazione di password complesse non sia necessaria. Dovresti comunque farlo anche tu - e poi aggiungere 2FA!

L'autenticazione a due fattori è relativamente facile da configurare. Quando lo fai, ridurrai drasticamente il rischio che utenti malintenzionati non autorizzati ottengano l'accesso amministrativo al tuo sito WordPress. Vinci, vinci!

L'autenticazione a due fattori blocca gli attacchi di forza bruta

Fermare gli attacchi di accesso a forza bruta è un ottimo esempio della protezione che l'autenticazione a due fattori aggiunge al tuo sito WordPress. Gli attacchi di forza bruta sono una minaccia comune, ma l'autenticazione a due fattori li eliminerà. In un attacco di accesso di forza bruta, gli hacker testano rapidamente molte password comuni e basate su dizionario contro il tuo amministratore e altri account utente. A volte gli hacker testano lunghi elenchi di nomi utente, indirizzi e-mail e combinazioni di password rubati nella schermata di accesso.

I test automatizzati e con script di migliaia di accessi illeciti possono rallentare il tuo sito o portarlo offline. Per questo motivo, gli attacchi di accesso a forza bruta hanno spesso l'effetto di attacchi denial of service. Ma se tu e tutti gli utenti del tuo sito avete abilitato l'autenticazione a due fattori, nessuno di questi metodi di forza bruta funzionerà affatto . Nessun hacker vorrà tentare accessi di forza bruta sul tuo sito su larga scala. Non ci sarà alcuna possibilità di successo per loro.

Aggiunta dell'autenticazione a due fattori al tuo sito WordPress

In questa guida, discuteremo i dettagli di 2FA. Imparerai come funziona l'autenticazione utente sulla piattaforma WordPress. Quindi spiegheremo come implementare 2FA con i plugin di WordPress.

In questa guida

    WordPress ha l'autenticazione a due fattori?

    Il core di WordPress non ha l'autenticazione a due fattori incorporata. Devi aggiungerlo.

    L'autenticazione a due fattori è un ulteriore livello di sicurezza che aggiungi al tuo sito con un plug-in di WordPress e talvolta un servizio esterno. In altre parole, si basa sulle funzionalità principali dell'account utente di un'installazione predefinita di WordPress. 2FA fa sì che il tuo sito WordPress richieda non solo una password ma anche informazioni aggiuntive per verificare l'identità di ciascuno dei tuoi utenti ogni volta che provano ad accedere.

    La verifica 2FA proviene da una fonte a cui può accedere un utente del sito autorizzato, ad esempio:

    • Un messaggio di testo, una chiamata o una notifica inviata al telefono
    • Un link o un codice inviato tramite e-mail
    • Codici QR

    L'autenticazione a due fattori è altamente sicura. I malintenzionati e gli hacker non avranno accesso fisico ai canali e ai dispositivi esterni dei tuoi utenti. Ciò significa che anche se sono in grado di decifrare una password, non saranno comunque in grado di ottenere l'accesso non autorizzato al tuo sito senza un secondo livello di autenticazione. Per entrare con la password di un utente, dovrebbero anche aver violato l'e-mail, il computer o il telefono di un utente. Questo può accadere, ma è estremamente raro rispetto agli attacchi di forza bruta con script che testano milioni di password ogni giorno.

    Ho bisogno di 2FA per il mio sito WordPress?

    L'esecuzione dell'autenticazione a due fattori impedirà a molti malintenzionati nel mondo online persino di tentare di ottenere l'accesso non autorizzato al tuo sito. Anche se non è strettamente necessario, chi non ha bisogno di quella protezione e tranquillità?

    Non lasciare che i cattivi attori siano al centro della scena nel tuo mondo. 2FA blocca i tentativi di accesso non autorizzati.

    Se il tuo sito WordPress è mai stato violato o hai sentito parlare di qualcuno che l'ha fatto, allora sai quanto velocemente può essere disseminato di link spam, reindirizzamenti e codice dannoso che possono arrecare danni immediati e irreparabili alla tua reputazione.

    Ancora peggio, se gestisci un sito di e-commerce utilizzando WooCommerce, un hacker potrebbe essere in grado di accedere ai dati dei clienti come nomi, indirizzi, numeri di telefono, indirizzi e-mail e persino numeri di carte di credito.

    Se ciò accade, avrai difficoltà a scavare fuori dal caos.

    WordPress 2FA è una seconda linea di difesa che tiene fuori i malintenzionati garantendo al tempo stesso che anche se una password viene compromessa, gli account rimarranno protetti e al sicuro fintanto che il secondo livello di protezione rimane un lucchetto indistruttibile per un hacker.

    In qualità di proprietario di un sito WordPress, tieni presente che la funzione di autenticazione a due fattori è al 100% opt-in. Dal momento che non è una funzionalità di base, devi solo implementarla sul tuo sito se lo desideri. È completamente gratuito e aggiunge uno strato di protezione quasi inviolabile che allevierà molte preoccupazioni su hack e attacchi.

    SUGGERIMENTO: più facili sono le tue scelte di sicurezza, più è probabile che tu le implementi. MANTIENI LA ​​SEMPLICE!

    Detto questo, 2FA è un approccio semplice alla sicurezza del sito WordPress che tutti dovrebbero utilizzare se non lo stanno già utilizzando o metodi di accesso ancora più sicuri e sicuri che utilizzano passkey invece di password.

    I vantaggi della 2FA per i siti WordPress con più utenti

    Sulle pagine di accesso WordPress standard e non modificate, tu e i tuoi utenti inserite semplicemente un nome utente e una password per ottenere l'accesso al sito. Dopo l'invio delle credenziali di accesso, se una combinazione di nome utente e password corrisponde a ciò che è presente nel database di WordPress, l'utente ottiene immediatamente l'accesso al back-end di WordPress e tutti i privilegi basati sulle regole di autorizzazione che hai applicato.

    WordPress ha sei ruoli utente predefiniti:

    • Super amministratore
    • Amministratore
    • Editore
    • Autore
    • Collaboratore
    • Abbonato

    Per impostazione predefinita, questi ruoli possono eseguire serie specifiche di attività sul tuo sito. Le attività che un ruolo può eseguire sono chiamate "Capacità".

    La maggior parte degli utenti del tuo sito standard si trova probabilmente nel ruolo Abbonato, che ha il minor numero di funzionalità. Tuttavia, potresti avere altri amministratori, redattori e autori che accedono regolarmente al back-end del tuo sito. Alcuni utenti potrebbero essere sciatti con le loro password, potrebbero condividere account e alcuni con privilegi speciali potrebbero concedere privilegi ad altri utenti a tua insaputa. Potresti dimenticare di rimuovere gli utenti o di eseguire il downgrade dei loro privilegi quando non sono più attivi o necessari. Tutte queste situazioni sono comuni e creano opportunità per gli aggressori.

    Se un hacker scopre solo uno dei nomi utente e delle password dell'amministratore, avrà immediatamente accesso all'intero sito con tutti i privilegi. È un male, ovviamente, ma non vuoi che i tuoi abbonati vengano violati. Anche in quel caso, dovresti segnalare la violazione e ciò danneggia la fiducia che i tuoi utenti hanno per te e per il tuo marchio.

    In che modo l'autenticazione a due fattori protegge gli accessi degli utenti

    L'autenticazione a due fattori impedisce agli hacker di accedere agli account utente verificando due volte l'identità di un utente tramite un messaggio di posta elettronica, un messaggio di testo o un'app di autenticazione. Al momento del login viene attivato il secondo metodo di verifica. Di conseguenza, l'utente dovrà confermare il proprio login attraverso uno di questi canali secondari.

    In poche parole, quando tu o un altro utente del sito immettete i dati di accesso personali nella pagina di accesso del vostro sito (un nome utente e una password), viene inviata una notifica immediata all'indirizzo e-mail o al numero di telefono associato all'utente che sta tentando di accedere. Normalmente, questa notifica di accesso includerà un collegamento, un codice QR o un PIN monouso per consentire il tentativo di accesso.

    Affinché gli utenti possano accedere al sito, dovranno seguire le istruzioni nell'e-mail o nel messaggio di testo. Potrebbe essere loro chiesto di cliccare su un link di accesso specifico o di inserire un PIN.

    Sebbene questo passaggio aggiuntivo rallenti il ​​processo di accesso, la maggiore sicurezza supera di gran lunga il rischio di lasciare il tuo sito esposto a semplici hack di nome utente e password che i criminali informatici eseguono ogni giorno in tutto il Web.

    L'autenticazione a due fattori è completamente sicura?

    Nessuna misura di sicurezza è mai infallibile al 100%. Nel mondo dell'hacking, dove c'è una volontà, gli hacker troveranno un modo. Se dovesse accadere il peggio e scoprissi che il tuo sito è stato violato, è meglio eseguire un plug-in di backup di WordPress in grado di ripristinare immediatamente il tuo sito in un momento sicuro prima di un attacco.

    Quando confronti 2FA con i protocolli standard di protezione della password in WordPress, scoprirai che l'autenticazione a due fattori è più sicura. Il processo richiede che i tuoi utenti (e tu) confermino ogni tentativo di accesso da una fonte univoca per ciascun utente. Di solito si tratta di un telefono o di un account di posta elettronica privato. Ciò significa che un hacker può ottenere l'accesso al funzionamento interno di un sito WordPress protetto da 2FA solo se ha accesso anche ai dispositivi di un utente del sito e alle informazioni di accesso esterne. Poiché è estremamente improbabile che ciò accada, l'aggiunta di 2FA rende molto meno probabile che il tuo sito venga violato tramite un accesso illecito.

    Sei pronto per imparare come aggiungere 2FA a WordPress per proteggere il tuo sito Web e i suoi utenti? In tal caso, continua a leggere per scoprire come incorporare la funzione 2FA sul tuo sito e farla funzionare.

    autenticazione a due fattori

    Come posso abilitare l'autenticazione a due fattori in WordPress?

    A seconda dell'host del tuo sito, potresti essere in grado di abilitare la protezione 2FA nel cPanel o nel portale utente dell'host.

    Tuttavia, se il tuo host non ti fornisce la protezione 2FA, puoi facilmente implementarla da solo utilizzando i plugin di WordPress.

    Plugin per l'autenticazione a due fattori di WordPress

    Di seguito sono elencati alcuni dei migliori plug-in WordPress 2FA che proteggeranno immediatamente il tuo sito dagli attacchi di accesso con script.

    1. Autenticazione a due fattori di sicurezza iThemes

    A nostro avviso, la migliore suite di sicurezza per siti WordPress all-inclusive disponibile è iThemes Security Pro con autenticazione a due fattori. Non solo protegge il tuo sito con 2FA, ma è dotato di ulteriori funzionalità di sicurezza del sito:

    • Protezione dagli attacchi di forza bruta
    • Rilevamento delle modifiche ai file
    • Rilevamento errore 404
    • Applicazione sicura della password
    • Bad Bot e blocco dello spam
    • Modalità in trasferta

    iThemes Security Pro elimina le congetture dalla sicurezza di WordPress. Non dovresti essere un professionista della sicurezza per utilizzare un plug-in di sicurezza, quindi iThemes Security Pro semplifica la sicurezza e la protezione del tuo sito Web WordPress anche se non hai molte conoscenze tecniche.

    L'aggiunta dell'autenticazione a due fattori utilizzando il plug-in di sicurezza di WordPress iThemes Security Pro è facile anche per l'utente più inesperto. Una volta installato e attivato, gli utenti del sito dovranno inserire una password insieme a un codice sensibile al tempo che viene inviato a un dispositivo secondario.

    Pro, contro e costi
    • Vantaggi di iThemes Security Pro: ottieni una protezione di sicurezza molto maggiore rispetto alla sola autenticazione a due fattori. Ancora meglio, l'opzione 2FA è robusta e facile da usare. Sarai sicuro di sapere che il tuo sito è completamente protetto da accessi dannosi quando attivi il plug-in.
    • Contro di iThemes Security Pro: il plug-in costa più delle altre opzioni 2FA a pagamento, ma ottieni più soldi per il tuo dollaro.
    • Costo di iThemes Security Pro: se hai solo bisogno di proteggere un sito, il costo del plugin è di $ 80 all'anno. Per un massimo di dieci siti, costerà $ 127 all'anno. Per siti illimitati, puoi utilizzare il plug-in per $ 199 all'anno. Questo è un investimento che vale la pena fare se si considera l'alternativa.

    2. Autenticazione Rublon a due fattori

    Se stai cercando un plug-in di autenticazione a due fattori facile da usare per WordPress, dai un'occhiata al plug-in Rublon Two-Factor Authentication. Il plug-in Rublon 2FA proteggerà rapidamente il tuo sito da tutti gli accessi non autorizzati senza alcun ostacolo tecnico da parte tua.

    Una volta scaricato e installato il plug-in Rublon, la prossima volta che tenti di accedere a WordPress, dovrai fare clic su un collegamento di verifica che viene inviato all'indirizzo e-mail del tuo account utente WordPress. Quindi, dopo aver fatto clic sul collegamento per verificare la tua identità, ti verrà chiesto se desideri che il sito ricordi il tuo dispositivo per gli accessi futuri. Ciò significa che non dovrai verificare la tua identità ogni volta che accedi, purché utilizzi lo stesso dispositivo e browser ogni volta che accedi al sito.

    Se stai utilizzando un dispositivo o un browser diverso dopo la verifica, dovrai semplicemente ripetere il processo e salvare anche quello: fai solo attenzione a non farlo mai su un dispositivo a cui altre persone hanno accesso!

    La versione gratuita del plug-in Rublon 2FA è una delle migliori opzioni per i siti WordPress che hanno un solo utente . Eseguendo l'aggiornamento alla versione a pagamento, questo plug-in può essere utilizzato anche per proteggere i siti Web multiutente.

    Pro, contro e costi
    • Pro per l'autenticazione a due fattori di Rublon : è per lo più a mani libere per gli amministratori del sito. Una volta installato e attivato il plug-in, non richiede alcuna formazione o configurazione. Funziona subito fuori dalla scatola.
    • Contro per l'autenticazione a due fattori Rublon: non supporta le notifiche push o la verifica dei messaggi di testo. Per questo motivo, avrai solo la verifica e-mail per 2FA.
    • Costo dell'autenticazione a due fattori Rublon: la versione personale di questo plug-in per un sito Web è completamente gratuita. Di conseguenza, se gestisci un sito multiutente o hai più siti, dovrai ottenere la versione a pagamento del plug-in. Per fare ciò, contatta il loro team di vendita per un preventivo.

    3. Autenticazione a due fattori Duo

    Duo Two-Factor Authentication è uno dei plugin WordPress 2FA più avanzati che puoi trovare. Con esso, puoi impostare l'autenticazione a due fattori in base ai ruoli utente all'interno della dashboard di WordPress.

    Ad esempio, potrai richiedere che gli editori e gli autori utilizzino il processo di accesso 2FA, ma gli abbonati (che non possono accedere in alcun modo alla dashboard di amministrazione) devono solo inserire i loro nomi utente e password per accedere al sito. Questa pratica funzionalità può impedire agli utenti di base di diventare frustrati dal lungo processo di autenticazione a due fattori.

    Questo plug-in ti fornirà anche diverse opzioni di verifica dell'utente, tra cui:

    • Una telefonata automatizzata
    • Un messaggio SMS con un codice pin
    • Un'app mobile

    È uno strumento 2FA più flessibile rispetto al plug-in Rublon Two-Factor Authentication, che offre solo e-mail di autenticazione a due fattori di WordPress.

    Pro, contro e costi
    • Vantaggi dell'autenticazione a due fattori Duo: questo plug-in di autenticazione a due fattori di WordPress supporta la configurazione dei ruoli utente e include un'ampia varietà di metodi per la verifica dell'utente. Per questo motivo, è estremamente versatile per i siti WordPress.
    • Contro di Duo Two-Factor Authentication: Sfortunatamente, questo plugin non supporta WordPress Multisite. Per questo motivo, potrebbe essere fuori discussione per alcuni utenti.
    • Costo dell'autenticazione a due fattori Duo: questo plug-in è la soluzione gratuita perfetta se hai dieci o meno utenti che accedono regolarmente al tuo sito. Tuttavia, se ne hai più di dieci, puoi aumentare il limite pagando $ 3 al mese per ogni utente aggiuntivo.

    4. Google Authenticator: l'autenticazione a due fattori di Google per WordPress

    L'autenticazione a due fattori di Google per WordPress è anche un'opzione da considerare per implementare 2FA sul tuo sito WordPress.

    Google Authenticator ti offre una buona varietà di metodi di verifica che proteggeranno il tuo sito da accessi non autorizzati dannosi, inclusi messaggi e-mail, codici QR e notifiche push.

    Proprio come Duo Two-Factor Authenticator, sarai in grado di utilizzare questo plug-in per impostare regole 2FA specifiche per particolari ruoli utente di WordPress. Questa funzione rende l'autenticazione a due fattori di Google un'arma potente per WordPress nella lotta contro gli attacchi di hacking.

    Puoi impostare Google Authenticator per richiedere un nome utente, una password e un fattore di verifica aggiuntivo. Oppure puoi configurare il plug-in in modo che richieda solo un nome utente e un fattore aggiuntivo, senza bisogno di password.

    Pro, contro e costi
    • Vantaggi di Google Authenticator: questo plug-in supporterà ruoli utente specifici in relazione a 2FA e viene fornito con un'ampia varietà di metodi per verificare gli utenti del tuo sito, inclusi SMS, codici QR, notifiche push e telefonate automatiche.
    • Contro di Google Authenticator: la versione che Google offre gratuitamente è relativamente limitata nelle funzionalità che ti sarà consentito utilizzare.
    • Costo di Google Authenticator: la versione gratuita offre l'autenticazione a due fattori per utente singolo. Potrai eseguire l'upgrade per più utenti a partire da $ 15 all'anno.

    È tempo di implementare l'autenticazione a due fattori sul tuo sito WordPress?

    Ricorda che il tuo sito WordPress è sicuro quanto lo consente la tua pagina di accesso. Molto spesso, limitare l'accesso solo a nome utente e password non è sufficiente.

    Implementando 2FA, sarai in grado di mantenere il tuo sito, i tuoi visitatori, i tuoi utenti e i tuoi clienti al sicuro da attacchi dannosi di forza bruta.

    SUGGERIMENTO: è sempre meglio essere al sicuro che essere dispiaciuti.

    Quando integri un buon sistema di backup con l'autenticazione a due fattori, stai adottando misure fondamentali per proteggere il tuo sito.