Autenticazione a due fattori (2FA) per WordPress

Pubblicato: 2023-02-12

È fondamentale creare una password complessa per proteggere il tuo sito Web WordPress. Tuttavia, una password da sola non fornisce una protezione adeguata contro molte minacce che rappresentano un serio rischio per il tuo sito, come gli attacchi di forza bruta. Se utenti non autorizzati ottengono l'accesso al tuo back-end, potresti perdere il tuo sito Web e persino mettere a rischio i tuoi visitatori. Per questo motivo, hai un piano per installare e mantenere la sicurezza di WordPress.

Utilizzando l'autenticazione a due fattori (2FA), puoi aggiungere un ulteriore livello di sicurezza al tuo sito WordPress. È relativamente semplice da configurare e questa funzione ridurrà notevolmente il rischio che utenti non autorizzati accedano al tuo sito.

In questo post, introdurremo 2FA e spiegheremo come può essere utilizzato in WordPress. Ti mostreremo quindi come implementare questa funzione utilizzando i plug-in. Iniziamo!

Sommario
1. Cos'è l'autenticazione a due fattori (2FA) per WordPress?
2. Perché ho bisogno dell'autenticazione a due fattori?
3. Come funziona la 2FA per WordPress?
4. Quanto è sicuro 2FA?
5. Come posso iniziare con l'autenticazione a due fattori?
6. Plugin WordPress 2FA
6.1. Autenticazione Rublon a due fattori
6.2. Autenticazione a due fattori Duo
6.3. Google Authenticator: autenticazione a due fattori

Che cos'è l'autenticazione a due fattori (2FA) per WordPress?

L'autenticazione a due fattori (2FA) è un livello di sicurezza che richiede sia una password che un'ulteriore verifica dell'identità dell'utente. Questa verifica proviene da qualcosa a cui solo l'utente autorizzato può accedere, come messaggi di testo e vocali, collegamenti e-mail, codici QR o notifiche push. 2FA è sicuro, perché gli aggressori non hanno accesso a questi canali esterni.

Perché ho bisogno dell'autenticazione a due fattori?

L'autenticazione a due fattori (nota anche come autenticazione in due passaggi) aiuta a impedire a malintenzionati di ottenere l'accesso ai tuoi siti e potenzialmente danneggiare la tua attività. È una seconda linea di difesa per aiutare a tenere fuori i malintenzionati e assicura che anche se la tua password viene compromessa, il tuo account rimarrà sicuro fintanto che quel secondo fattore rimane fuori dalla portata di un utente malintenzionato.

L'autenticazione a due fattori di WordPress è una funzione opt-in, il che significa che devi usarla solo se lo desideri. Ma è gratuito e aggiunge un ulteriore livello di protezione, quindi perché no?

Come funziona la 2FA per WordPress?

Autenticazione a due fattori wordpress
Questo esempio di Google dimostra come funziona 2FA sul tuo sito web.

In una tipica pagina di accesso di WordPress (ovvero non 2FA), l'utente inserisce un nome utente e una password e ottiene automaticamente l'accesso al back-end del sito web. Ciò significa che chiunque capisca il tuo nome utente e la tua password può facilmente accedere a tutti gli aspetti del tuo sito web.

Come accennato in precedenza, 2FA può aiutare a prevenire che ciò accada. Quindi, come funziona su WordPress? Con la configurazione 2FA (tra poco spiegheremo come farlo), quando inserisci la password e il nome utente nella pagina di accesso, verrà inviata una notifica al tuo telefono o indirizzo e-mail. Questa notifica conterrà un pin monouso o eventualmente un collegamento o un codice QR.

Per accedere al sito Web, è quindi necessario eseguire le istruzioni del messaggio di testo o dell'e-mail, ad esempio facendo clic sul collegamento o inserendo il PIN sul proprio sito.

Quanto è sicuro 2FA?

Rispetto alla protezione con password standard, 2FA è molto più sicuro. Dopotutto, richiede di sfruttare qualcosa che possiedi da solo (il tuo telefono, il tuo account di posta elettronica privato, ecc.) per ottenere l'accesso al tuo sito. Ciò significa che la probabilità di un hack del sito Web è ridotta, rendendo 2FA il modo migliore per prevenire meglio vari problemi di sicurezza (in particolare gli attacchi di forza bruta).

Ora che conosci i vantaggi di 2FA e come funziona, discutiamo di come puoi effettivamente incorporare questa funzionalità nel tuo sito WordPress.

Come posso iniziare con l'autenticazione a due fattori?

Se sei un cliente di WP Engine, puoi abilitare 2FA nel portale utenti di WP Engine. Se il tuo sito non è ospitato su WP Engine, puoi comunque implementare un metodo di autenticazione a due fattori (o anche un metodo di autenticazione a più fattori), ma richiede l'aiuto dei plugin di WordPress.

Plugin WordPress 2FA

Come cliente di WP Engine, puoi implementare 2FA tramite il Portale utenti. Motore non WP
Gli utenti possono anche implementare 2FA, ma richiede l'aiuto dei plugin di WordPress. Ecco alcune opzioni che puoi provare tu stesso.

Autenticazione Rublon a due fattori

plug-in di sicurezza wordpress

Rublon Two-Factor Authentication è un semplice plug-in WordPress 2FA, che ti consente di proteggere rapidamente il tuo sito Web da accessi non autorizzati. Quando accedi per la prima volta al tuo account WordPress con il plug-in di sicurezza installato, ti verrà richiesto di fare clic sul link di verifica che viene inviato al tuo indirizzo email. Puoi quindi scegliere di salvare il tuo dispositivo, il che significa che non dovrai più verificare la tua identità mentre utilizzi lo stesso browser.

Questa è un'opzione eccellente per i siti Web con un solo utente, sebbene possa essere applicata anche ai siti Web multiutente (se esegui l'upgrade alla versione a pagamento).

Pro : questo plug-in offre installazione e attivazione con un clic e non richiede configurazione o formazione.

Contro : supporta solo la verifica e-mail, che può essere meno sicura dei messaggi di testo o delle notifiche push.

Costo : il plug-in personale (un sito Web) è gratuito, ma è possibile acquistare una versione aziendale (multi-sito Web) contattando il team di vendita.

Autenticazione a due fattori Duo

Plugin di autenticazione a due fattori per wordpress

Essendo uno dei plug-in 2FA più avanzati, Duo Two-Factor Authentication ti consente di configurare 2FA in base ai ruoli utente di WordPress. Ad esempio, puoi richiedere che gli autori e gli editor utilizzino 2FA per accedere, mentre gli abbonati devono solo inserire la loro password.

L'autenticazione a due fattori Duo offre anche varie opzioni per la verifica, anche tramite SMS, un'app mobile o una telefonata.

Pro : questo plug-in supporta la configurazione del ruolo utente e include vari metodi di verifica.

Contro : Non c'è supporto per WordPress Multisite.

Prezzo : il plug-in gratuito abilita 2FA per un massimo di 10 utenti sul tuo sito Web, ma puoi aumentare tale limite a partire da $ 3 per utente al mese.

Google Authenticator: autenticazione a due fattori

plug-in di verifica in due passaggi

Infine, Google Authenticator offre una varietà di metodi di verifica per proteggere il tuo sito Web da accessi non autorizzati, inclusi codici QR, messaggi e-mail e notifiche push. Come con Duo Two-Factor Authenticator, puoi utilizzare questo plug-in per impostare 2FA per ruoli utente specifici.

Google Authenticator può essere configurato per richiedere un nome utente, una password complessa e un fattore o solo un nome utente e un fattore.

Pro : questo plug-in supporta 2FA per ruoli specifici e offre un'ampia gamma di metodi di verifica (inclusi QR, SMS, telefonate e notifiche push).

Contro : La versione gratuita è piuttosto limitata in termini di funzionalità.

Costo : il plug-in gratuito offre 2FA per un solo utente, ma puoi eseguire l'upgrade a partire da $ 15 all'anno.

È importante ricordare che il tuo sito Web WordPress è sicuro quanto la pagina di accesso dell'amministratore e che una password da sola non è sufficiente. L'implementazione di un autenticatore a due fattori può aiutare a proteggere i visitatori del tuo sito. Se sei pronto per passare a un host che ti offra tranquillità, puoi dare un'occhiata ai piani di hosting WordPress gestiti di WP Engine!