Quando abbiamo lanciato il nostro blog, la sicurezza è sempre stata nelle nostre menti. Sapevamo che costruire un sito di successo significava qualcosa di più di un ottimo contenuto. Richiedevo una base sicura per proteggere il nostro duro lavoro e i nostri lettori.
Ma quando abbiamo notato un grande aumento dei tentativi di accesso e ci siamo resi conto che dovevamo fare di più.
Prendendo ispirazione da grandi siti web come Facebook e Google, sapevamo che l’autenticazione a due fattori (2FA) era la soluzione di cui avevamo bisogno. Questo livello di sicurezza aggiuntivo rende molto più difficile per gli hacker ottenere l’accesso.
Fortunatamente, abbiamo scoperto che aggiungere 2FA al nostro sito era abbastanza facile. Ha aumentato la sicurezza del nostro sito e ci ha dato tranquillità.
Questo articolo ti guiderà attraverso l’impostazione di 2FA sul tuo sito WordPress utilizzando un plugin e un’app di autenticatore. È più facile di quanto pensi e fa una grande differenza nel mantenere il tuo sito sicuro.
Perché aggiungere l’autenticazione a due fattori in WordPress?
Uno dei trucchi più comuni che gli hacker usano è chiamato attacchi di forza bruta. Durante uno di questi attacchi, usano script automatizzati che cercano di indovinare il nome utente e la password corretti in modo da poter accedere al tuo sito web WordPress.
Un attacco di forza bruta riuscito può dare agli hacker l’accesso all’area di amministrazione del tuo sito web. Possono installare malware, rubare informazioni sull’utente ed eliminare tutto sul tuo sito.
Uno dei modi più semplici per proteggere il tuo sito web WordPress da password rubate è aggiungere l’autenticazione a due fattori (2FA). Con questa impostazione, dovrai inserire sia la tua password che un codice secondario (da un’app, e-mail o messaggio di testo) per accedere al tuo sito web.
In questo modo, anche se qualcuno ha rubato la tua password, dovrebbe comunque inserire un codice di sicurezza dal tuo telefono per ottenere l’accesso.
Che cos’è un’app di autenticatore?
Ci sono più modi per impostare l’accesso a 2 passaggi in WordPress. Tuttavia, il metodo più sicuro e semplice è utilizzare un’app di autenticatore.
Un’app di autenticatore è un’app per smartphone che genera una password temporanea una tantum per gli account che salvi in essa.
Fondamentalmente, l’app e il tuo server utilizzano una chiave segreta per crittografare le informazioni e generare codici una tantum che puoi utilizzare come secondo livello di protezione.
Ci sono molte app disponibili gratuitamente:
- L’app più popolare è Google Authenticator, ma non è la scelta migliore. Questo perché se perdi il tuo telefono, non c’è modo di recuperare i tuoi account a meno che tu non crei una copia di backup in anticipo.
- Ti consigliamo di utilizzare Authy poiché è un’app facile da usare e gratuita che ti consente anche di salvare i tuoi account sul cloud in un formato crittografato. In questo modo, se perdi il telefono, puoi semplicemente inserire la tua password principale per ripristinare tutti i tuoi account.
- Altri gestori di password come LastPass e 1Password sono tutti dotati della propria versione di un autenticatore. Sono migliori di Google Authenticator perché ti consentono di ripristinare le chiavi.
Ai fini di questo tutorial, useremo Authy. Puoi seguire il nostro tutorial utilizzando un’app diversa se vuoi, poiché funzionano tutte allo stesso modo.
Detto questo, diamo un’occhiata a come aggiungere 2FA in WordPress. Semplicemente clicca sui link qui sotto per saltare al metodo che preferisci:
Ora, diamo un’occhiata a come aggiungere facilmente la verifica a due fattori alla tua schermata di accesso a WordPress gratuitamente.
Metodo 1: Aggiunta dell’autenticazione a due fattori utilizzando WP 2FA
Questo metodo è facile e consigliato per tutti gli utenti. È flessibile e ti consente di applicare l’autenticazione a due fattori per tutti gli utenti.
Innanzitutto, devi installare e attivare il plugin WP 2FA – Two-factor Authentication. Per maggiori dettagli, consulta la nostra guida dettagliata su come installare un plugin per WordPress.
All’attivazione, la procedura guidata di configurazione WPA 2FA si avvierà automaticamente. Altrimenti, puoi visitare la pagina Utenti » Il tuo profilo e scorrere verso il basso fino alla sezione “Impostazioni WP 2FA“.
Facendo clic sul pulsante “Configura l’autenticazione a due fattori (2FA)” si avvierà la procedura guidata di configurazione.
La procedura guidata di configurazione WP 2FA
Fai semplicemente clic sul pulsante “Iniziamo!” per iniziare a configurare il plugin.
Nella pagina successiva, ti verrà chiesto di scegliere un metodo di autenticazione.
Ci sono due opzioni:
- Codice una tantum generato con l’app 2FA di tua scelta (consigliato)
- Codice una tantum inviato tramite e-mail
Ti consigliamo di scegliere l’autenticazione tramite il metodo dell’app 2FA (TOTP), poiché è più sicuro e affidabile.
Una volta che hai fatto la tua scelta, puoi fare clic sul pulsante “Continua configurazione” per andare alla pagina successiva della procedura guidata di configurazione.
Ti verrà chiesto quali metodi 2FA alternativi vorresti che i tuoi utenti utilizzassero se il metodo 2FA primario fallisce, ad esempio se perdono il telefono.
Sul piano gratuito, sarà disponibile solo il metodo del codice di backup. Se desideri più metodi 2FA alternativi, dovrai passare a WP 2FA Premium.
Semplicemente clicca sul pulsante “Continua configurazione” per passare alla pagina successiva.
In questa pagina, puoi rendere obbligatorio l’accesso a due fattori per alcuni o per tutti gli utenti. Ti consigliamo di farlo, soprattutto se gestisci un sito web WordPress multi utente, come un sito di abbonamento.
Se desideri applicare 2FA per tutti gli utenti sul tuo sito web, seleziona semplicemente l’opzione “Tutti gli utenti” e fai clic su “Continua configurazione“.
Ora tutti i tuoi utenti dovranno utilizzare 2FA.
Tuttavia, forse ci sono alcuni utenti sul tuo sito web che non vuoi forzare a utilizzare 2FA. La pagina successiva ti consente di digitare i nomi utente o i ruoli utente di quei membri del team.
Una volta fatto, fare clic sul pulsante “Continua configurazione” ti porterà a una pagina in cui puoi decidere quanto presto i tuoi utenti devono iniziare a utilizzare 2FA.
Puoi richiedere loro di iniziare subito o puoi concedere loro un periodo di grazia di, diciamo, 3 giorni, in modo che abbiano il tempo di impostare le cose. Fai semplicemente clic sull’opzione che desideri utilizzare sul tuo sito web.
Se vuoi concedere un periodo di grazia, puoi scegliere quante ore o giorni sarà. L’impostazione predefinita di 3 giorni funzionerà bene per la maggior parte dei siti web.
Ci sono anche opzioni per cosa fare dopo che il periodo di grazia è terminato se alcuni utenti non hanno impostato 2FA. Puoi lasciarli entrare ma non lasciare che accedano alla dashboard oppure impedire loro di essere in grado di accedere del tutto. Per la maggior parte dei siti web, la prima opzione sarà la migliore.
Una volta che hai fatto la tua scelta, puoi fare clic su “Fatto” per uscire dalla procedura guidata di configurazione. Congratulazioni, hai impostato l’autenticazione a due fattori sul tuo sito!
Vedrai la schermata di fine configurazione con un messaggio di congratulazioni. Vedrai anche un pulsante che ti permetterà di impostare 2FA per il tuo account utente. Dovresti fare clic sul pulsante “Configura 2FA ora“.
Configurazione dell’autenticazione a due fattori per il tuo account utente
Inizierà una nuova procedura guidata di configurazione per aiutarti a impostare l’autenticazione a due fattori per il tuo account utente. Anche agli altri utenti sul tuo sito web verrà chiesto di fare lo stesso.
La prima cosa che dovrai decidere è quale metodo 2FA desideri utilizzare. Dovresti vedere l’opzione per un codice una tantum tramite un’app di autenticatore. Potresti anche vedere altre opzioni a seconda delle scelte che hai fatto durante la procedura guidata di configurazione.
Fai semplicemente clic sull’opzione “Codice monouso tramite app 2FA” e quindi fai clic sul pulsante “Passaggio successivo“.
Il plugin ora ti mostrerà un codice QR e un codice di testo.
Dovrai scansionare il codice QR utilizzando un’app di autenticatore. In alternativa, puoi digitare manualmente il codice di testo nell’app.
Ora dovrai prendere il tuo dispositivo mobile e aprire l’app di autenticatore preferita. Le schermate qui sotto utilizzano Authy, ma altre app funzionano in modo simile.
Innanzitutto, fai clic sul pulsante “+” o “Aggiungi account” nella tua app di autenticatore.
L’app ti chiederà quindi l’autorizzazione per accedere alla fotocamera del tuo telefono.
Devi consentire questa autorizzazione e quindi toccare il pulsante “Scansiona codice QR” in modo da poter scansionare il codice QR mostrato nella pagina delle impostazioni del plugin sul tuo computer.
Una volta che l’app riconosce il codice QR, inizierà automaticamente a salvare l’account.
Dopodiché, puoi modificare il logo predefinito e il soprannome per l’account. Quando sei pronto, tocca il pulsante “Salva“.
L’app di autenticatore ora salverà l’account del tuo sito web.
Successivamente, inizierà a mostrare una password una tantum. Dovrai inserirla nelle impostazioni del plugin sul tuo computer.
Ora devi tornare al tuo computer.
Nella procedura guidata di configurazione del plugin, fai clic sul pulsante “Sono pronto” per continuare.
Il plugin ora ti chiederà di verificare il tuo codice di autenticazione.
Digita semplicemente il codice dalla tua app mobile nel campo “Codice di autenticazione” prima che scada.
Dopodiché, dovresti fare clic sul pulsante “Valida e salva” per finalizzare la configurazione.
Successivamente, ti verrà data la possibilità di generare e salvare un elenco di codici di backup. Questi codici possono essere utilizzati nel caso in cui tu non abbia accesso al tuo telefono.
Dovresti fare clic sul pulsante “Genera elenco di codici di backup“.
Verranno generati e visualizzati i codici di backup.
Puoi scaricare questi codici di backup in una posizione sicura sul tuo computer, stamparli e metterli in un luogo sicuro oppure inviarli a te stesso via e-mail. Assicurati di conservarli in un luogo accessibile se non hai il telefono con te.
Dopodiché, puoi fare clic sul pulsante “Sono pronto, chiudi la procedura guidata” per uscire dalla procedura guidata di configurazione.
Utilizzo dell’autenticazione a due fattori durante l’accesso
La prossima volta che i tuoi utenti accedono, vedranno una notifica che devono impostare l’autenticazione a due fattori, insieme alla data di scadenza alla fine del periodo di grazia.
Possono fare clic su un pulsante per configurare 2FA ora o scegliere di essere ricordati al loro prossimo accesso.
Quando fanno clic sul pulsante “Configura 2FA ora“, verranno guidati attraverso gli stessi passaggi di quando hai impostato 2FA per il tuo account utente nella sezione precedente.
Quando accedono dopo aver impostato l’autenticazione a due fattori, visualizzeranno la schermata di accesso di WordPress come di consueto. Tuttavia, quando inseriscono il loro nome utente e la password, verrà visualizzata una seconda schermata che chiede il codice dalla loro app di autenticatore.
Dovranno inserire il codice dall’app sul loro telefono prima di poter accedere. In alternativa, possono inserire un codice di backup se non hanno il telefono con sé.
Questo rende il tuo sito web più sicuro. Se un hacker impara il nome utente e la password di uno dei tuoi utenti, non sarà in grado di accedere a meno che non abbia anche accesso al loro telefono.
Suggerimento: se il tuo sito web WordPress utilizza una pagina del modulo di accesso personalizzata, puoi anche creare una pagina personalizzata in cui gli utenti possono gestire le proprie impostazioni dell’autenticatore a due fattori senza accedere all’area di amministrazione di WordPress.
Metodo 2: Aggiunta dell’autenticazione a due fattori utilizzando Two-Factor
Questo metodo è meno flessibile in quanto non ti consente di applicare l’accesso a due fattori per tutti gli utenti. Ogni utente dovrà impostarlo da solo e potrà disabilitarlo dal proprio profilo. Tuttavia, è un metodo rapido e semplice se vuoi solo impostare 2FA per il tuo account.
Innanzitutto, devi installare e attivare il plugin Two-Factor. Per maggiori dettagli, consulta la nostra guida dettagliata su come installare un plugin per WordPress.
All’attivazione, devi visitare la pagina Utenti » Profilo e scorrere verso il basso fino alla sezione “Opzioni a due fattori“.
Da qui, devi scegliere un’opzione di accesso a due fattori. Il plugin ti consente di utilizzare e-mail, un’app di autenticatore e i metodi delle chiavi di sicurezza FIDO U2F.
Ti consigliamo di utilizzare il metodo dell’app di autenticatore. Semplicemente scansiona il codice QR sullo schermo utilizzando un’app di autenticatore come Google Authenticator, Authy o LastPass Authenticator.
Una volta scansionato il codice QR, l’app ti mostrerà un codice di verifica che devi inserire nelle opzioni del plugin e fare clic sul pulsante “Invia“.
Il plugin ora imposterà la chiave segreta. Puoi reimpostare questa chiave in qualsiasi momento dalla pagina delle impostazioni per scansionare di nuovo il codice QR.
Non dimenticare di fare clic sul pulsante “Aggiorna profilo” in fondo alla pagina per salvare le tue impostazioni.
Ora, ogni volta che accedi al tuo sito web WordPress, ti verrà chiesto di inserire il codice di autenticazione generato dall’app sul tuo telefono.
Domande frequenti sull’autenticazione a due fattori (2FA) in WordPress
Ecco alcune risposte ad alcune delle domande più frequenti sull’utilizzo dell’accesso a due passaggi in WordPress.
Come faccio ad accedere con 2FA se non ho accesso al mio telefono?
Se stai utilizzando un’app di autenticatore con un’opzione di backup sul cloud come Authy, puoi installare l’app anche sul tuo laptop.
Questo ti dà accesso ai codici di autenticazione anche quando non hai il telefono con te. Ti consente anche di ripristinare facilmente le tue chiavi segrete quando acquisti un nuovo telefono.
Molte app di autenticatore ti consentono anche di generare codici di backup. Questi codici possono essere utilizzati come password una tantum quando non hai accesso al tuo telefono.
Come faccio ad accedere senza alcun codice dalla mia app di autenticatore?
Se non hai accesso al tuo telefono, laptop o codici di backup, puoi accedere solo disabilitando il plugin 2FA.
Puoi vedere la nostra guida su come disattivare tutti i plugin di WordPress quando non sei in grado di accedere all’area di amministrazione.
Una volta disattivati tutti i plugin, disabiliterai anche il plugin di autenticazione a due fattori e sarai in grado di accedere al tuo sito web WordPress.
Una volta effettuato l’accesso, puoi riattivare i plugin e reimpostare la configurazione dell’autenticazione a due fattori.
Devo proteggere con password la cartella di amministrazione di WordPress?
La sicurezza del sito web funziona meglio quando hai più livelli di sicurezza per proteggere il tuo sito web, a partire dalle basi come l’utilizzo di HTTPS e un hosting WordPress sicuro.
La verifica a due fattori rende sicuro il tuo accesso a WordPress, ma puoi renderlo ancora più sicuro proteggendo con password la directory di amministrazione di WordPress.
Ciò significa che gli utenti non saranno in grado di accedere alla tua pagina di accesso a meno che non inseriscano prima un nome utente e una password.
Guide esperte sulla protezione dell’accesso a WordPress
Ora che sai come aggiungere la verifica a 2 fattori a WordPress, potresti voler vedere alcuni altri articoli relativi a rendere più sicuro l’accesso a WordPress.
- Come e perché dovresti limitare i tentativi di accesso in WordPress
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
- Come aggiungere CAPTCHA nel modulo di accesso e registrazione di WordPress
- Come aggiungere domande di sicurezza alla schermata di accesso di WordPress
- Come disabilitare i suggerimenti di accesso nei messaggi di errore di accesso di WordPress
- Come proteggere con password la tua directory di amministrazione di WordPress (wp-admin)
- Come limitare l’accesso per IP al tuo file wp-login.php in WordPress
- Come aggiungere l’accesso senza password in WordPress con link magici
- Come proteggere il tuo sito WordPress dagli attacchi di forza bruta
Speriamo che questo articolo ti abbia aiutato ad aggiungere la verifica a 2 fattori per l’accesso a WordPress.
Se questo articolo vi è piaciuto, seguiteci su X e Facebook per rimanere aggiornati su tutte le novità e consigli utili su WordPress!
