• Homepage
  • Articoli
  • Guida
  • Autenticazione 2FA di WordPress: il punto debole di questo elemento essenziale per la sicurezza del sito

Autenticazione 2FA di WordPress: il punto debole di questo elemento essenziale per la sicurezza del sito

Pubblicato: 2023-06-12

Mentre 2FA è una soluzione semplice sul front-end e sul back-end, stanno accadendo molte cose sotto il cofano. È un fantastico modo supplementare per aggiungere un ulteriore livello di sicurezza a un sito e consentirà agli utenti di aiutare a proteggere il tuo sito e anche le loro informazioni.

Per questo tutorial, parleremo di 2FA, in particolare dell'autenticazione 2FA di WordPress. In tutto, esamineremo di cosa si tratta, la tua scelta di password, come implementare 2FA sul tuo sito e molto altro.

Cos'è la 2FA (e cosa può aiutarti a raggiungere)

In poche parole, l'autenticazione a due fattori è una misura di sicurezza che fornisce un ulteriore livello di protezione oltre alle tipiche credenziali di accesso. Con 2FA, un utente deve fornire una seconda informazione, spesso un codice numerico: una password monouso basata sul tempo (TOTP):

Un prompt front-end che richiede un codice SMS 2FA

Le informazioni aggiuntive che generalmente vedrai sono un codice numerico che scade dopo un breve periodo di tempo:

In senso tecnico, 2FA richiede due forme di autenticazione dell'utente. Il primo "fattore" sono le informazioni che l'utente conosce, come una password. Il secondo fattore è qualcosa che l'utente ha, come un token o un codice che viene inviato a un dispositivo. Anche se la password di un utente è nota, avresti comunque bisogno di quel secondo fattore per verificare e autenticare la sessione.

Tuttavia, i metodi moderni includono informazioni come un'impronta digitale. Indipendentemente da ciò, il concetto chiave è che fornirai un'informazione a cui nessun altro avrà accesso. Se tali informazioni sono in linea con ciò che ti viene chiesto di fornire, otterrai l'accesso di cui hai bisogno.

2FA e WordPress

2FA diventa ancora più rilevante quando si tratta di accessi utente WordPress; il Content Management System (CMS) è la piattaforma di siti Web numero uno sul mercato. Ciò è in parte dovuto alla sua sicurezza di base stellare. Tuttavia, una piattaforma così popolare può diventare un obiettivo di sicurezza.

Ad esempio, nel 2021, Sucuri ha riparato quasi 50.000 siti compromessi. La maggior parte era colpa di vulnerabilità in plugin e temi obsoleti. Inoltre, gli attacchi di forza bruta possono decimare le reti di siti. Wordfence riferisce di un recente attacco botnet che ha colpito milioni di siti Web WordPress.

Entrambi questi esempi mostrano come l'errore dell'utente possa ostacolare la sicurezza di WordPress, soprattutto se non si tiene il passo con gli aggiornamenti di plugin e temi. Tuttavia, l'utilizzo di 2FA è un modo efficace per proteggere il tuo sito WordPress dagli attacchi, dare ai tuoi utenti una certa responsabilità e altro ancora.

Una seconda forma di autenticazione non solo terrà i malintenzionati fuori dai tuoi account, ma ti consentirà di lavorare da remoto con maggiore sicurezza. Tutta la tua base di utenti avrà anche la responsabilità della propria sicurezza, il che rende l'intero sito più sicuro.

Nel complesso, 2FA è un modo cruciale per bloccare l'accesso non autorizzato a informazioni sensibili, creare fiducia e fiducia negli utenti e rispettare parzialmente le direttive sulla sicurezza dei dati. È una misura vitale di lavoro e sicurezza, specialmente per piattaforme popolari come WordPress. Significa anche che la scelta della password è meno di ostacolo. Tuttavia, questo è un argomento complesso che richiede più approfondimento.

Quanto una scelta sbagliata della password ti causerà stress

Ogni anno, molti organi di stampa e siti pubblicano un elenco di password scadenti e l'elenco sembra sempre simile. Ad esempio, Tom's Guide mostra alcune delle password più comuni ma deboli per gli utenti finali:

  • qwerty
  • 123456
  • parola d'ordine

Tuttavia, anche gli utenti amministratori e back-end si scontrano con l'utilizzo di password deboli e pericolose. Ad esempio, admin , root e guest sono tutti presenti nell'elenco in posizioni elevate. In effetti, la password dell'amministratore è più preoccupante se si considera che il ruolo utente amministratore predefinito di WordPress ha anche il nome utente di "admin".

Indipendentemente da ciò, queste password possono essere violate quasi in pochi secondi utilizzando tecniche di forza bruta e strumenti automatizzati. Tuttavia, in combinazione con una soluzione come Melapress Login Security, puoi assicurarti che un utente crei una password complessa e protegga ulteriormente il tuo sito utilizzando 2FA.

Poiché l'utente deve autenticare i propri dettagli tramite un'app o una tecnologia di terze parti, è un modo significativo per ridurre il rischio di accesso non autorizzato. Inoltre, puoi rafforzare e rinforzare le tue politiche di password complesse e prevenire anche violazioni dei dati e altri attacchi informatici.

Sebbene 2FA sia un modo fantastico per garantire la responsabilità dell'utente e sostenere un punto debole nella sicurezza del tuo sito, non è l'unico. Successivamente, esamineremo come le tue altre disposizioni funzionano insieme a 2FA per fornire un servizio ancora migliore.

In che modo gli slot 2FA accanto alla tua attuale disposizione di sicurezza

2FA non è una tattica di sicurezza valida per tutti. Invece, si fa strada nella tua fornitura di sicurezza generale come qualcosa di supplementare. Pertanto, tu e i tuoi utenti dovrete comunque rispettare le tipiche implementazioni di sicurezza:

  • Usa password complesse. Ti consigliamo di scegliere qualcosa di lungo, in quanto ciò aumenterà il tempo necessario per decifrare. Sebbene 2FA non si basi sulla necessità di password complesse, si consiglia comunque di fare tutto il possibile per proteggere le credenziali di accesso. Melapress Login Security è l'ideale per questo compito.
  • Eseguire frequenti aggiornamenti del software. Per WordPress, questo include plugin, temi e file core. Più avanti parleremo dei plugin di autenticazione 2FA di WordPress, e questi sono estremamente importanti da tenere aggiornati.

Per toccare un po 'di più le password, la combinazione di password complesse con 2FA può garantire che solo tu possa accedere a un account. Ad esempio, una connessione Wi-Fi non sicura in un punto di lavoro locale potrebbe compromettere la tua password. Tuttavia, dovrai comunque fornire la seconda forma di autenticazione per ottenere l'accesso all'account.

Una password più forte che è quasi impermeabile al cracking non disturberà neanche le risorse del tuo server. Questo perché non avrai più tentativi di accesso (e potenziali richieste 2FA) da un numero potenzialmente elevato di indirizzi IP.

Puoi andare ancora oltre e combinare 2FA con una protezione dedicata alla forza bruta. Questo concetto va oltre lo scopo di questo post, ma ci sono molti plugin di sicurezza di WordPress (come Wordfence o Jetpack Security) che possono fornire una soluzione solida.

Scegliere il "formato" 2FA giusto per te

Uno dei vantaggi dell'autenticazione a due fattori è la flessibilità nella modalità di implementazione. Hai quattro modi distinti per utilizzare 2FA:

  • Un SMS, metodo basato su testo.
  • Autenticazione e-mail.
  • App dedicate, come Authy, Sentinel, Duo e molte altre.
  • Le notifiche push.

Ognuno di questi raggiunge lo stesso risultato in modi diversi, ma non sono tutti uguali. Analizziamoli a turno, insieme ai pro e ai contro.

sms

Il metodo 2FA predefinito per molti servizi online consiste nell'inviare un codice di autenticazione a un dispositivo mobile tramite messaggio di testo. Dovrai inserire il tuo numero di telefono in un campo specifico, che invierà un codice a tempo limitato.

Un SMS che visualizza un codice a due fattori per autenticare un accesso

I vantaggi qui includono la necessità di nessun'altra app di terze parti per aiutare ad autenticare il tuo accesso e l'immensa facilità d'uso da configurare e utilizzare. Tuttavia, gli SMS presentano gravi inconvenienti. Per prima cosa, dovrai trasmettere più informazioni personali sul Web (il tuo numero di telefono) per poter effettuare una verifica.

Ci sono alcune cose da tenere a mente quando si sceglie la 2FA basata su SMS. In primo luogo sono le tariffe di rete riscosse dall'operatore di rete per la consegna di SMS. In secondo luogo, i messaggi SMS non sono crittografati e sono vulnerabili allo scambio di schede SIM. Anche così, può offrire una protezione migliore per gli utenti che potrebbero non essere così esperti di tecnologia.

notifiche di posta elettronica

Le notifiche e-mail sono simili ai metodi di autenticazione SMS. Qui è dove inserirai un indirizzo e-mail nella pagina di accesso, che riceverà quindi un codice o un token per autenticare la tua sessione.

Ricezione di una notifica e-mail per autenticare una sessione di accesso.

L'autenticazione 2FA tramite e-mail è facile e immediata da usare: dovrai solo accedere alla tua casella di posta per convalidare il tuo accesso.

Se l'e-mail non è crittografata, può diventare suscettibile a un attacco "machine-in-the-middle" o simile. Tuttavia, puoi adottare misure per proteggere le tue e-mail WordPress ed evitare i rischi tipicamente associati alle e-mail non crittografate.

Le notifiche push

Le notifiche push cercano di colmare il divario tra e-mail e autenticazione SMS. Implica la ricezione di una notifica su uno smartphone che dovrai approvare prima di accedere a un account. Apple è un'azienda che utilizza questo metodo per configurare dispositivi affidabili nel suo ecosistema.

Una notifica push su un dispositivo Apple.
Una notifica push su un dispositivo Apple.

Questo metodo è anche conveniente e facile da usare come e-mail e SMS. Un altro vantaggio è che spesso non si basa affatto su password, codici o token. Questo è un fantastico elemento User Experience (UX) che può rendere gli account più sicuri senza quasi alcun pensiero o lavoro per l'utente.

Tuttavia, l'approccio presenta ancora degli svantaggi. Poiché una notifica push è così facile da approvare, un utente impegnato potrebbe farlo senza volerlo. Esistono studi che suggeriscono che la capacità di attenzione di un utente diminuisce in base al maggior numero di notifiche che riceve, il che potrebbe rivelarsi un problema.

A tal fine, è importante istruire gli utenti sulla corretta sicurezza dell'account. Le notifiche push impreviste non dovrebbero mai essere approvate e le richieste frequenti dovrebbero essere segnalate per ulteriori indagini.

Utilizzando un'app

Il modo tipico per potenziare la tua implementazione 2FA è utilizzare un'app. Ce ne sono molti in giro: Google Authenticator, Authy, Duo, Sentinel, Microsoft Authenticator e quasi innumerevoli altri.

L'app Sentinel visualizzata sullo schermo di un iPhone.
L'app Sentinel visualizzata sullo schermo di un iPhone.

Queste app genereranno un codice una tantum per ogni sito ogni 30 secondi che inserirai nel sito Web in questione per verificare e autenticare l'accesso. È considerato uno degli approcci più sicuri. Tuttavia, proprio come le notifiche push, avrai comunque bisogno di dispositivi compatibili e accesso a Internet per utilizzare l'app.

Quale formato 2FA scegliere

Avere 2FA è un'opzione migliore rispetto a non avere 2FA. Sebbene alcuni metodi, come le app 2FA, siano più sicuri di altri, dobbiamo anche riconoscere che la nostra base di utenti può essere molto diversificata.

Dovrai anche abbassare la barriera all'ingresso e assicurarti che gli utenti siano a loro agio con 2FA. A tal fine, più opzioni sei in grado di offrire ai tuoi utenti, meglio è, in quanto ciò ti aiuterà a garantire che la tua implementazione 2FA sia un clamoroso successo.

Presentazione di WP 2FA: il modo migliore per implementare l'autenticazione 2FA di WordPress

Sono disponibili molti plugin per l'autenticazione a due fattori di WordPress. Ad esempio, miniOrange e Two Factor Authentication offrono una vasta gamma di funzionalità e hanno il sostegno di molti utenti soddisfatti.

Tuttavia, il plug-in WP 2FA offre la funzionalità, il supporto e il costo per renderlo la soluzione numero uno. È un modo importante per aggiungere l'autenticazione a due fattori al tuo sito Web WordPress.

Il logo WP 2FA.
Il logo WP 2FA.

Ti invitiamo a controllare le specifiche della versione gratuita, ma con l'edizione premium ottieni tutte le funzionalità di cui hai bisogno:

  • Puoi scegliere tra diversi metodi 2FA, per soddisfare le tue esigenze e quelle dei tuoi utenti.
  • Puoi personalizzare le tue politiche 2FA. Ciò comporta elementi come rendere obbligatoria la 2FA, offrire un periodo di grazia e molto altro.
  • Non è necessario che gli utenti accedano alla dashboard di WordPress. Puoi offrire l'autenticazione di accesso tramite il front-end del tuo sito.
  • Ci sono anche molte integrazioni di servizi di terze parti, come con Twillo e Authy. Ciò consente di fornire ulteriori metodi di autenticazione agli utenti.

Quando si tratta del prezzo, WP 2FA offre un valore immenso. Ad esempio, la licenza WP 2FA Starter costa $ 29 all'anno. Ciò ti consente di installare la versione completa di WP 2FA su tutti i siti Web di cui hai bisogno e di offrire l'autenticazione di accesso a cinque utenti. Esistono piani flessibili per aumentare il limite di utenti e il set di funzionalità.

Ancora meglio, usare WP 2FA è un gioco da ragazzi. Successivamente, ti mostreremo come.

Come utilizzare WP 2FA per rafforzare la sicurezza del sito dell'utente

WP 2FA ha tutte le caratteristiche e le funzionalità necessarie per implementare l'autenticazione 2FA di WordPress sul tuo sito. Inoltre, è semplice da configurare e utilizzare. Il processo di installazione è molto simile a qualsiasi altro plugin WordPress gratuito. Puoi trovarlo utilizzando la barra di ricerca nella schermata Plugin > Aggiungi nuovo :

Trovare il plug-in WP 2FA all'interno della dashboard di WordPress.
Trovare il plug-in WP 2FA all'interno della dashboard di WordPress.

Da qui, fai clic sui pulsanti Installa ora e Attiva , quindi attendi che WordPress termini il processo di installazione. A questo punto, sei pronto per configurare 2FA sul tuo sito Web WordPress.

1. Configurare WP 2FA utilizzando l'installazione guidata

WP 2FA può svolgere per te tutto il lavoro pesante relativo all'autenticazione 2FA di WordPress. L'Installazione guidata esegue quattro passaggi fino al completamento in base a diversi criteri e metodi di implementazione.

L'Installazione guidata inizia con una pagina di benvenuto e ti consigliamo di fare clic sul pulsante Iniziamo per continuare:

L'installazione guidata di WP 2FA.

I primi due passaggi esaminano quali metodi 2FA desideri implementare. Utilizzerai le caselle di controllo per aggiungere 2FA basato su app e 2FA tramite e-mail al tuo sito. La versione premium del plug-in include metodi aggiuntivi che puoi anche selezionare.

Scelta dei metodi 2FA all'interno dell'Installazione guidata.

Dopo aver fatto clic per continuare, puoi anche fornire ai tuoi utenti i codici di backup nel caso in cui debbano configurare 2FA con un'altra app o dispositivo. La versione premium di WP 2FA ti consente di offrire più opzioni di autenticazione alternative.

La terza schermata dell'Installazione guidata ti consente di scegliere per chi applicare 2FA. Ci sono tre pulsanti di opzione qui per selezionare tutti gli utenti, nessun utente e utenti e ruoli specifici:

Scegliere a chi applicare i criteri 2FA all'interno dell'Installazione guidata.

Tieni presente che vedrai opzioni extra se scegli Tutti gli utenti o Solo per utenti e ruoli specifici . Questi ti permetteranno di specificare gli utenti da escludere o i ruoli da includere come parte della tua politica.

Aggiunta di ruoli utente a un criterio 2FA nell'installazione guidata.

Dopo aver scelto All Done , vedrai un prompt per configurare WP 2FA per il tuo account utente. Il processo è quasi completo.

2. Configura WP 2FA per il tuo account utente

Dopo aver configurato l'autenticazione 2FA di WordPress, puoi configurare 2FA per il tuo account utente.

Le opzioni disponibili includeranno i metodi resi disponibili nella configurazione guidata. Alcuni metodi, come gli SMS e le notifiche push, richiedono una configurazione aggiuntiva poiché richiedono il funzionamento di fornitori di servizi di terze parti. In questo esempio, utilizzeremo il metodo dell'app 2FA TOTP.

Se non disponi già di un'app 2FA, scaricarne una dovrebbe essere il tuo primo passo. Ce ne sono molte tra cui scegliere e WP 2FA offre compatibilità universale. La caratteristica principale di cui avrai bisogno è scansionare il codice QR dalla dashboard di WordPress usando la tua app:

Il codice QR WP 2FA all'interno del back-end di WordPress.

Una volta eseguita la procedura guidata, sarai in grado di utilizzare l'autenticazione 2FA di WordPress per il tuo sito.

In sintesi

L'autenticazione a due fattori è uno dei modi migliori e più intuitivi per proteggere un account online. Si basa sulla verifica tramite un token o un codice che ricevi da un dispositivo che possiedi. Pertanto, senza quel codice, i tuoi account sono al sicuro, anche se la tua password è compromessa.

Il plug-in WP 2FA ti consente di implementare l'autenticazione 2FA di WordPress in pochi minuti senza la necessità di conoscenze tecniche. L'Installazione guidata ti guida attraverso l'intero processo e tu hai

Mentre la versione gratuita di WP 2FA è completa, la versione premium di 2FA offre di più. Le licenze partono da $ 29 all'anno e ciascuna ti consente di configurare cinque utenti per il tuo sito.

Partner di agenzia di hosting

BionicWP

Link amici

    In caso di violazione, contattaci, saremo cancellati entro 3 giorni. Email:

    © 2024 Copyright www.wpade.com. All Rights Reserved.