Autenticazione a due fattori e WordPress

Pubblicato: 2022-08-26

L'autenticazione a due fattori (2FA) è una misura di sicurezza che chiede a un utente di fornire un'informazione che solo lui conosce prima di accedere a un servizio.

Puoi vedere 2FA con vari nomi come Multi-Factor Authentication (MFA), Dual-Factor Authentication o 2-Step Verification. 2FA è ampiamente utilizzato soprattutto in situazioni in cui la sicurezza è particolarmente importante, come per l'online banking.

Il significato 2FA

Potresti aver sentito parlare di un tipo di attacco online chiamato attacco di "forza bruta". Questi sono fin troppo comuni e coinvolgono un bot automatizzato che tenta di indovinare il nome utente e la password di un utente su un sito web. Vengono effettuati ripetuti tentativi di accesso fino a quando non viene ottenuto l'accesso. Questi tipi di attacchi sono relativamente facili da mitigare bloccando l'accesso a una pagina di accesso quando vengono effettuati ripetuti tentativi falliti.

Ma cosa succede se il bot "è fortunato" e riesce ad accedere prima che venga raggiunto un numero predefinito di tentativi falliti? O, più probabilmente, come possono essere impediti accessi dannosi a siti Web e app da parte di utenti che hanno rubato le credenziali di accesso? Quest'ultimo è un problema particolare con appena un giorno che passa senza che un'azienda di alto profilo segnali una violazione dei dati che potrebbe, o meno, aver compromesso alcuni dei dati dei propri clienti.

Un modo più efficace per garantire che tu e solo tu sia in grado di accedere a un sito Web/app/account è utilizzare un sistema chiamato Autenticazione a due fattori.

Come funziona l'autenticazione a due fattori?

L'autenticazione a due fattori funziona richiedendo all'utente di inserire non solo il proprio nome utente e password all'accesso, ma anche una seconda informazione che viene generata separatamente e che varia continuamente. Questo in genere è sotto forma di un codice a 6 cifre inviato tramite SMS al telefono cellulare dell'utente. L'idea alla base è che solo l'utente autentico avrà accesso a questo dispositivo, vanificando così i tentativi di accesso intrapresi con la forza bruta o come risultato di una violazione dei dati che rivela nomi utente e password.

Dall'inizio della 2FA, le app di autenticazione sono diventate più diffuse. Invece di utilizzare i messaggi SMS per inviare agli utenti passcode monouso, un'app installata sui dispositivi dell'utente genera invece codici casuali. Questo è riconosciuto come ancora più sicuro come metodo di autenticazione in quanto elimina la possibilità che un messaggio SMS venga intercettato o che un numero di cellulare venga clonato o falsificato.

Opzioni dell'app di autenticazione

Esistono molte eccellenti app di autenticazione a due fattori che possono essere utilizzate per generare i codici di accesso richiesti.

Se hai un dispositivo Android, puoi scegliere tra Google Authenticator, Microsoft Authenticator, Twilio Authy, Cisco Duo Mobile, FreeOTP e molti altri.

Su iOS 15, alcune delle app più popolari sono Google Authenticator, Twilio Authy, OTP auth, Step Two, Microsoft Authenticator, FreeOTP e l'autenticatore integrato di iOS.

Su Windows, puoi utilizzare le app di autenticazione WinAuth e Twilio Authy, tra le altre.

Su macOS, alcune delle opzioni sono Step Two, OTP auth (solo versione a pagamento) e Twilio Authy.

Autenticazione a due fattori sul tuo sito WordPress

Non sono solo i siti Web bancari che possono beneficiare della 2FA... anche il tuo sito Web WordPress può farlo! Gli hacker amano prendere di mira quasi tutti i CMS e WordPress non fa eccezione. Utilizzare il giusto provider di hosting e assicurarsi che il tuo sito Web sia aggiornato può fare molto per contrastare qualsiasi tentativo di hacking. L'aggiunta di 2FA al tuo sito Web WordPress rende ancora più difficile l'accesso al tuo sito da parte di utenti non autorizzati.

Ospita il tuo sito web con Pressidium

GARANZIA DI RIMBORSO DI 60 GIORNI

GUARDA I NOSTRI PIANI

Poiché è WordPress, non ti mancheranno plug-in eccellenti che possono aiutarti a configurare 2FA in modo rapido e semplice. Diamo un'occhiata ad alcuni.

Il plug-in WP 2FA

Autenticazione a due fattori, plugin per WordPress: il plugin WP 2FA

Il plug-in WP 2FA - Two-factor Authentication è una soluzione popolare. Dopo aver installato e attivato il plugin WP 2FA, vedrai questa schermata:

Autenticazione a due fattori, plug-in WordPress: la procedura guidata del plug-in WP 2FA

Segui la procedura guidata, ti guiderà attraverso l'impostazione di tutte le opzioni necessarie e altro ancora:

  • I metodi 2FA principali tra cui consentirai agli utenti di scegliere.
  • Le opzioni per forzare la 2FA su tutti o alcuni utenti o ruoli.
  • Il periodo di grazia durante il quale gli utenti dovranno configurare 2FA.
  • La configurazione dell'autenticazione 2FA.

Salta la procedura guidata e puoi trovare tutte queste impostazioni nel menu del plug-in e nella sezione aggiuntiva che viene aggiunta nella parte inferiore della schermata di amministrazione del tuo profilo (sotto Utenti > Profilo).

Autenticazione a due fattori, plug-in WordPress: le impostazioni di amministrazione del plug-in WP 2FA

Il plug-in consente inoltre di scegliere se si desidera che tutti i dati relativi a 2FA vengano eliminati dal database al momento della disinstallazione del plug-in.

Il plug-in a due fattori

Il plug-in Two-Factor sviluppato da Plugin Contributors è un plug-in intuitivo e veloce da configurare.

Aggiunge una sezione in Utenti > Il tuo profilo, dove puoi abilitare i metodi di autenticazione e selezionare quale sarà principale. Sono disponibili configurazioni per codici di autenticazione e-mail, password monouso basata sul tempo (TOTP), chiavi di sicurezza FIDO U2F e codici di verifica del backup.

Le opzioni del plug-in a due fattori

Il plug-in offre anche un elenco di hook di azioni e filtri che possono tornare utili per gli sviluppatori.

Il plug-in di Google Authenticator

Il plug-in Google Authenticator è un altro popolare plug-in 2FA che può essere utilizzato per migliorare la sicurezza del tuo sito WordPress. Questo plug-in completamente gratuito offre un'ampia varietà di opzioni di autenticazione a due fattori, inclusi SMS e, naturalmente, l'utilizzo dell'app Google Authenticator. È necessario pochissimo tempo o sforzo per ottenere questa configurazione. Quando attivi il plug-in, vedrai alcune opzioni sullo schermo che puoi configurare in Impostazioni > Google Authenticator.

Le impostazioni di Google Authenticator

Basta scegliere i ruoli a cui verrà applicata la 2FA e salvare le impostazioni. Molto facile.

2FA – Il dashboard di Pressidium

Per aiutare ulteriormente a proteggere i tuoi siti Web WordPress, puoi scegliere di attivare 2FA per l'accesso alla dashboard. Consulta il nostro articolo della Knowledge Base su questa funzione.

Autenticazione a due fattori con Pressidio

Conclusione

Per i siti Web importanti, ora la 2FA dovrebbe essere considerata obbligatoria. Se ti è stata data la possibilità di aggiungere 2FA a uno qualsiasi dei tuoi account ma hai scelto di non farlo, potrebbe valere la pena ripensarci! Per i siti Web WordPress, abilitare l'accesso 2FA è piuttosto semplice. Con poco da perdere, perché non rendere ancora più difficile per un hacker rovinarti la giornata (beh, almeno il tuo sito web!).