2FA: autenticazione a 2 fattori su WordPress

Indice

A chiunque può essere capitato, durante l’accesso a specifiche app o social media, o magari per utilizzare l’home banking, di dover effettuare la cosiddetta “autenticazione a due fattori”. Nonostante possa risultare noioso, questo doppio controllo riduce il rischio di hackeraggio e risulta fondamentale per aumentare la sicurezza dei profili personali, delle transizioni, dei dati condivisi.

Anche per chi ha scelto di creare un sito web o un e-commerce con WordPress, la 2FA riveste un ruolo molto importante. Facilissima da implementare, permette, insieme ad altre pratiche, di proteggere la dashboard di amministrazione del CMS da accessi non autorizzati, riducendo il rischio di vedere irrimediabilmente compromesso il proprio spazio virtuale e il proprio business.

In questa breve guida verranno spiegati i vantaggi dell’autenticazione a 2 fattori per WordPress e i passaggi da seguire per attivarla tramite plugin.

Autenticazione a 2 fattori: in cosa consiste

La 2FA o autenticazione a 2 fattori è un metodo di protezione degli account che, in fase di login, dopo il normale inserimento della password, richiede di effettuare un secondo passaggio, il quale si traduce in un secondo livello di sicurezza. I metodi che rendono possibile questo doppio controllo sono svariati e includono, oltre all’inserimento di una seconda password e al riconoscimento biometrico:

l’inserimento di un codice monouso, anche a tempo, generato tramite specifiche app o token fisici, oppure inviato via SMS, WhatsApp, e-mail;
la riposta a una domanda di sicurezza
una semplice chiamata in entrata
la ricezione di notifiche push.

Perché attivarla su WordPress

Attivare l’autenticazione a due fattori su WordPress permette di aumentare il livello di sicurezza del login che dà accesso alla dashboard. In particolare, anche laddove un hacker riuscisse a individuare la password, verrebbe bloccato da questo secondo livello di controllo, difficile da superare soprattutto quando si opta per i codici di tipo TOTP, ossia a tempo.

Rendere più difficile l’accesso a soggetti non autorizzati aiuta a ridurre il rischio che i contenuti vengano manipolati o modificati, e permette di proteggere meglio i dati e la privacy degli utenti. Tutto questo si riflette in modo positivo sull’esperienza degli utenti e sull’immagine dell’azienda o del professionista.

Come attivare l’autenticazione a 2 fattori su WP

Su WordPress non sono presenti funzioni native per l’attivazione dell’autenticazione a 2 fattori. Per attivarla è dunque necessario ricorrere a un plugin. A seconda dei casi, si potrà optare per uno dedicato in modo esclusivo a questa funzione – come Two Factor Authentication o WP 2FA – oppure per un plugin di sicurezza come Wordfence Security che includa anche l’autenticazione a due fattori.

Laddove poi si decidesse di attivare la 2FA basata su codici monouso a tempo, noti come Time-Based One-Time Password, si dovrà procedere con l’installazione, su smartphone, tablet o computer, di un’app di autenticazione compatibile non solo con il dispositivo in uso, ma anche con il plugin scelto. Una delle più usate è Google Authenticator, disponibile sia per iOS sia per Android, ma altrettanto valide sono Free OTP, Authy, 1Password, Duo Mobile.

Di seguito verranno spiegati tutti i passaggi da seguire per attivare l’autenticazione a due fattori utilizzando Two Factor Authentication e WP 2FA. Per sapere come effettuare l’attivazione con Wordfence, è possibile consultare il paragrafo “Autenticazione a due fattori” della nostra guida dedicata alle best practice per la protezione della dashboard di WordPress.

2FA su WordPress con Two Factor Authentication

Two Factor Authentication è un plugin di WordPress realizzato dai programmatori di UpdraftPlus, semplice da utilizzare e molto efficiente. Disponibile sia in una versione gratuita sia in una più completa a pagamento, consente di attivare l’autenticazione a due fattori sia di tipo TOTP sia di tipo HOTP (Hash One-Time Password).

Per iniziare subito a utilizzarlo, accedere alla dashboard di WordPress, andare su “Plugin / Aggiungi un nuovo plugin” e digitare nella casella di ricerca “Two Factor Authentication”. Individuato il plugin che si desidera installare

e premere il pulsante “Installa ora” e poi “Attiva”.

Al termine dell’installazione, nel menu a sinistra comparirà una nuova voce, “Autentic. a due fattori”. Farvi click sopra per accedere alla seguente schermata:

Qui è possibile scegliere se utilizzare password monouso basate sul tempo (impostate di default) o basate su eventi (se si preferisce impostare questo tipo di codice, selezionare “HOTP (basato su eventi)” e premere “Salva le modifiche”).

A questo punto, aprire l’app di autenticazione (oppure installarne una, laddove non lo si fosse ancora fatto) e cercare la funzione che consente di scansionare il QR code oppure, in alternativa, di inserire manualmente il codice numerico. Nel caso in cui si fosse scelto di utilizzare Google Authenticator, premere il simbolo “+” posto in basso a destra e fare click su “Scansiona un QR code” o “Inserisci una chiave di configurazione”.

Scansionare il QR code o digitare il codice e assicurarsi che il numero visualizzato sull’app sia identico a quello indicato dal plugin. I due codici dovrebbero cambiare in simultanea.

Per abilitare l’autenticazione a due fattori, selezionare “Abilita (Codice corrente: xxxxxx)” e premere il pulsante “Salva le modifiche”.

Per accertarsi che l’operazione sia andata a buon fine, effettuare il logout dall’area di amministrazione, quindi ripetere il login. Dopo l’inserimento della normale password, dovrebbe apparire una schermata simile alla seguente:

Inserire nella casella il codice numerico indicato dall’app di autenticazione e premere “Accedi”.

Two Factor Authentication permette di rendere disponibile l’autenticazione a due fattori su WordPress per le diverse classi di utenti. Questa operazione può essere effettuata andando su “Impostazioni / Autenticazione a due fattori”, scegliendo i ruoli utente per i quali attivarla e premendo il pulsante “Salva le modifiche”.

Di default sono selezionati tutti i ruoli.

È importante ricordare che, laddove si decidesse di abilitare l’autenticazione a due fattori per tutti i ruoli, anche gli altri utenti che decidessero di attivare questo doppio livello di sicurezza dovrebbero installare, su uno dei propri dispositivi, un’app di autenticazione compatibile (per il TOTP) e seguire tutti i passaggi visti sopra.

Attivare l’autenticazione a due fattori con il plugin WP 2FA

Un altro plugin molto utilizzato per l’attivazione dell’autenticazione a due fattori su WordPress è WP 2FA. Anch’esso disponibile sia in versione gratuita sia in una versione a pagamento, ricca di funzionalità aggiuntive, risulta davvero semplice da personalizzare e attivare grazie alla procedura guidata, purtroppo in lingua inglese.

Anche in questo caso, per installare il plugin è sufficiente accedere alla dashboard di WordPress, andare su “Plugin / Aggiungi un nuovo plugin”, digitarne il nome nella casella di ricerca e, dopo averlo individuato, premere “Installa ora” e, subito dopo “Attiva”.

Terminata l’attivazione, comparirà questa schermata:

Se si desidera seguire la procedura guidata, premere “Let’s get start!”, in caso contrario scegliere “Skip wizard – I know how to do this”.

Avviando la procedura guidata si potrà innanzitutto decidere se rendere disponibili per gli utenti tutti e due i metodi di autenticazione a due fattori disponibili (TOTP – il quale richiede app di autenticazione – e HOTP – il quale invia il codice all’indirizzo e-mail dell’utente) o solo uno di essi.

Effettuata la scelta, premere “Continue setup”.

La schermata successiva

consente di scegliere il metodo di accesso alternativo da utilizzare quando il primo, per qualsiasi ragione, non può essere utilizzato. Se si dispone della versione free – come nel caso dell’esempio -, l’unica opzione disponibile è “Backup code”, la quale permette di scaricare e salvare una serie di codici monouso di emergenza.

Premere “Continue setup” per procedere. La sezione successiva delle impostazioni guidate richiede di decidere se rendere l’autenticazione a 2 fattori su WordPress:

obbligatoria per tutti gli utenti: selezionare “All users”
obbligatoria solo per specifici ruoli e utenti: scegliere “Only for specific user and role” e indicare, nelle nuove caselle che compaiono, i ruoli e gli utenti per i quali si desidera rendere obbligatoria l’attivazione della 2FA
non obbligatoria: in questo caso, lasciare selezionato “Do not enforce on any users”.

Nel caso in cui si scegliesse una delle prime due alternative, le schermate successive chiederebbero di:

indicare gli eventuali ruoli o utenti da escludere dall’obbligo

indicare il “periodo di grazia” a disposizione degli utenti per effettuare l’attivazione:

- se si desidera richiedere l’attivazione immediata, selezionare “Users have to configure 2FA straight away”
- se si preferisce lasciare qualche giorno a disposizione, scegliere “Give users a grace period to configure 2FA” e indicare il numero di giorni o di ore (il numero massimo selezionabile è, in entrambi i casi, 10) che si desidera concedere agli utenti;
decidere il tipo di comportamento che deve adottare il plugin con gli utenti che non effettuano l’attivazione entro i termini previsti. Le opzioni disponibili sono:
- “Do not let them access the dashboard / user page once they log in until they configure 2FA”: in questo caso, il sistema impedisce all’utente di accedere alla dashboard di WP o alla sua pagina personale fino a quando non attiva l’autenticazione a due fattori
- “Block the user (administrators have to manually unblock them)”: scegliendo questa opzione, il plugin blocca del tutto l’utente;
decidere come avvisare gli utenti dell’obbligo di attivazione dell’autenticazione a due fattori. È possibile optare per:
- “Show an admin notice in the dashboard”: l’avviso viene mostrato nella pagina di amministrazione
- “Show a notification on a page on its own after the user authenticates and before accessing the dashboard”: l’avviso viene mostrato, dopo il login, ma prima dell’accesso alla dashboard, in una pagina a sé stante.

Per finire, per finire, premere “All done” e poi “Configure 2FA now” per attivare immediatamente l’autenticazione a due fattori sul proprio profilo. In alternativa, scegliere “Close wizard & configure 2FA later”.

Scegliendo la prima opzione, la configurazione guidata continuerà e aiuterà ad attivare la 2FA sul proprio account. In particolare, comparirà questa finestra

la quale richiederà di selezionare il metodo 2FA preferito.

Optando per “One-time code via 2FA app”, si aprirà questa finestra

e si potrà procedere con l’attivazione del TOTP in modo simile a quello visto sopra, in relazione al plugin Two Factor Authentication. In particolare, dopo aver installato sul proprio smartphone o altro dispositivo un’app di autenticazione, non si dovrà fare altro che:

accedere, su questa, alla sezione che consente di aggiungere un nuovo account
scansionare il QR code oppure, in alternativa, digitare il codice alfanumerico
premere il pulsante “I’m ready” e digitare il codice numerico indicato dall’app di autenticazione
per finire, premere il pulsante “Validate and save”,

Nel caso in cui si preferisse utilizzare il metodo HOTP, selezionare “One-time code via email”, quindi controllare, nella nuova finestra

che l’indirizzo e-mail indicato sia corretto e premere “I’m ready”. Fatto questo, controllare la casella di posta, individuare l’e-mail inviata dal sistema e copiare il codice ricevuto nell’apposita casella.

Al termine della procedura guidata, premere “I’m ready, close the wizard”.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
ss	session	This cookie is set by the provider Eventbrite. This cookie is used for the functionality of website chat-box function.
TawkConnectionTime	session	Tawk.to, a live chat functionality, sets this cookie. For improved service, this cookie helps remember users so that previous chats can be linked together.

Cookie	Durata	Descrizione
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
psuid	8 years	This cookie is set by the provider ProveSource. This cookie is used for randomly generating unique Id for user. It helps in counting the impressions and notification display rules per user.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.

Cookie	Durata	Descrizione
_hjSession_1690540	30 minutes	No description
_hjSessionUser_1690540	1 year	No description
cookielawinfo-checkbox-altri	1 year	No description
GoogleAdServingTest	session	No description
ps5fc60e450319fc5053501647	26 days 6 hours	No description
stopbot	10 days	No description
tp_details	15 minutes	No description
vh_offer_it	session	No description
WHMCSWha6N9TIRLRk	session	No description

2FA: autenticazione a 2 fattori su WordPress

Autenticazione a 2 fattori: in cosa consiste

Perché attivarla su WordPress

Come attivare l’autenticazione a 2 fattori su WP

2FA su WordPress con Two Factor Authentication

Attivare l’autenticazione a due fattori con il plugin WP 2FA

Alcune recensioni dei nostri clienti

Partners e Brand :

Autenticazione a 2 fattori: in cosa consiste

Perché attivarla su WordPress

Come attivare l’autenticazione a 2 fattori su WP

2FA su WordPress con Two Factor Authentication

Attivare l’autenticazione a due fattori con il plugin WP 2FA

Articoli correlati

Rel noopner noreferrer: cosa sono e come si usano

S3 su NAS Synology: Guida alla configurazione

Come capire se un sito è sicuro: cosa vedere

Alcune recensioni dei nostri clienti

Partners e Brand :