Noi di Kinsta prendiamo molto sul serio la sicurezza, ed è per questo che offriamo l’autenticazione a due fattori per tutti i clienti del nostro servizio di hosting WordPress. Niente potrebbe essere peggio di qualcuno che dirotta l’accesso a tutti i vostri siti! Questa funzionalità è disponibile nelcruscotto MyKinsta e consigliamo vivamente a tutti di approfittarne. Oggi discuteremo approfonditamente del perché l’autenticazione a due fattori è importante in WordPress, come funziona la nostra funzione 2FA e descriveremo un ottimo metodo gratuito per impostare i due fattori sul vostro sito WordPress.

Perché l’Autenticazione a Due Fattori è Importante

Se confrontato con le migliori piattaforme CMS come Joomla!, Drupal e Magento, WordPress è leader con oltre il 62.5% di quota di mercato. Questa sua popolarità implica anche che WordPress è attaccato più degli altri. Non si può davvero dire che una piattaforma sia più sicura dell’altra. Il maggior numero di attacchi si verifica soprattutto in conseguenza del mero volume di siti pubblicati.

Un altro motivo è legato all’inesperienza dei proprietari di siti. WordPress è fantastico perché quasi chiunque può prenderlo e iniziare a usarlo, ma questo significa anche che ci sono molti principianti che molto probabilmente lasceranno le porte di dietro spalancate non installando le patch, non chiudendo l’accesso alle risorse con i permessi corretti, ecc.

Nel 2016, WordFence ha condotto un sondaggio su un gran numero di proprietari di siti WordPress chiedendo loro di rispondere alla seguente domanda: “Se sai come il tuo sito è stato compromesso, descrivi come gli hacker hanno avuto accesso.” Il 61,5% ha risposto dicendo di non sapere come chi attaccava abbia violato il sito web.

Hanno anche condotto un altro sondaggio per vedere cosa fanno gli hacker con i siti WordPress compromessi. Come potete vedere, il 25% viene in genere messo offline o rovinato. Questa è probabilmente una delle peggiori cose che potrebbero accadervi se gestite un’attività aziendale con WordPress. Ecco perché è necessario implementare le misure di sicurezza prima, non dopo.

Cosa fa chi attacca WordPress
Cosa fa chi attacca WordPress

Ci sono molti modi in cui potete bloccare un sito WordPress, un semplice trucco è quello di modificare l’URL di accesso di WordPress. Questo ridurrà istantaneamente il numero di tentativi falliti di accesso al vostro sito WordPress da parte di bot e script che scandiscono costantemente il web alla ricerca di un modo per entrare. Ma una delle cose più importanti che potete fare è semplicemente scegliere una password complessa.

Sembra abbastanza facile, vero? Bene, date un’occhiata all’elenco annuale del 2018 di SplashData delle password più popolari rubate durante l’anno (ordinate in ordine di popolarità).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Giusto! La password più popolare è “123456”, seguita da una sorprendente “password”. Questo è uno dei motivi per cui qui da Kinsta, sulle nuove installazioni di WordPress forziamo l’utilizzo di una password complessa per il login wp-admin (come spiegato di seguito a proposito della procedura di installazione ad un clic).

Forzare la generazione di password sicura
Forzare la generazione di password sicura

La sicurezza inizia dalla base. Google ha alcuni buoni consigli da darci su come scegliere una password sicura. E uno dei loro consigli è quello di abilitare l’autenticazione a due fattori.

L’autenticazione a due fattori prevede una procedura in 2 passaggi in cui è necessaria non solo la password per accedere, ma anche un secondo metodo. Generalmente si tratta di un testo (SMS), una telefonata o una password monouso basata sul tempo (TOTP). Nella maggior parte dei casi questo metodo è efficace al 100% nel prevenire attacchi brute force sul vostro sito WordPress. Perché? Perché è quasi impossibile che chi attacca abbia sia la vostra password che il vostro cellulare.

Scopriamo come abilitare l’autenticazione a due fattori in WordPress.

Autenticazione a Due Fattori di Kinsta

Qui a Kinsta prendiamo molto sul serio la sicurezza degli utenti. Per aiutare i nostri clienti a proteggere i loro account MyKinsta e i loro siti WordPress, offriamo un supporto con autenticazione a due fattori (2FA) basato su Authenticator.

Rispetto al tradizionale metodo 2FA basato su SMS che invia i codici di accesso via SMS, il metodo basato su Authenticator usa codici generati dinamicamente in Google Authenticator, 1Password e altre applicazioni 2FA. Ciò significa che la vostra configurazione 2FA è protetta da attacchi di sicurezza di base come lo scambio di SIM.

Abilitare l’Autenticazione a Due Fattori in WordPress

Ora che avete protetto il vostro cruscotto di Kinsta, potete anche abilitare l’autenticazione a due fattori di WordPress per il vostro sito web. Vi consigliamo uno dei seguenti plugin.

Two Factor Authentication

Il plugin di WordPress Two Factor Authentication è sviluppato dagli stessi autori di UpdraftPlus, il popolare plugin di backup. Il plugin supporta i protocolli TOTP + HOTP standard (Google Authenticator, Authy e molti altri). C’è sia una versione gratuita che premium.

Il plugin Two Factor Authentication per WordPress
Il plugin Two Factor Authentication per WordPress

Al momento conta oltre 10.000 installazioni attive, con una valutazione di 4,5 stelle su 5, e presenta le seguenti caratteristiche:

  • Codici QR grafici per una facile scansione mobile
  • Include il supporto per i form di login di WooCommerce e Affiliates-WP
  • Compatibile con WordPress Multisite (il plugin deve essere attivato per il network)
  • Codici di emergenza e design premium del layout (versione premium)

Google Authenticator

Se state cercando una soluzione completamente gratuita, il plugin di WordPress Google Authenticator va alla grande. Nota: ciò significa tuttavia che dovrete saltare tra due diverse app. Potete stabilire quale sia, delle due, la più efficiente in termini di tempo per il vostro ambiente. Se volete utilizzare una sola app, l’aggiornamento al piano starter potrebbe essere la soluzione giusta. In questo esempio utilizzeremo la versione gratuita di Google Authenticator.

Il plugin Google Authenticator vanta oltre 30.000 installazioni attive, con una valutazione di 4,5 stelle su 5. È completamente gratuito e potete configurarlo per un numero illimitato di utenti. Noterete che la maggior parte degli altri plugin di autenticazione in circolazione ha delle limitazioni, a meno che non facciate un upgrade ad un piano a pagamento. Potete scaricare il plugin Google Authenticator dalla repository di WordPress o cercarlo nella dashboard di WordPress alla voce “Aggiungi nuovo” plugin.

Una volta installato, potete fare clic sul vostro profilo utente, contrassegnarlo come attivo e creare una nuova chiave segreta o fare la scansione del QR code.

configurazione autenticazione a due fattori in WordPress
Impostazioni Google Authenticator

Potrete, quindi, utilizzare una delle Authenticator App gratuite sul telefono:

Dopo l’abilitazione, vi richiederà la normale password per accedere e il codice dall’app Google Authenticator sul telefono. Noterete un campo aggiuntivo che appare sulla vostra pagina di accesso a WordPress. Inoltre, questo plugin è completamente compatibile con il plugin che abbiamo consigliato in precedenza per cambiare l’URL di accesso di WordPress.

Login WordPress con Google Authenticator
Login WordPress con Google Authenticator

E questo è tutto! Ora avete l’autenticazione a due fattori sia sul vostro account di Kinsta, sia sul vostro sito WordPress.

Riepilogo

Siamo lieti di offrire l’autenticazione a due fattori ai clienti di Kinsta, in quanto questa è stata una delle nostre funzionalità più richieste. Proteggere i vostri siti WordPress è diventato un po’ più semplice! Ricordatevi di leggere la nostra guida più avanzata sulla sicurezza di WordPress per vedere come bloccare sul serio gli accessi al vostro sito.

Avete qualche domanda su come funziona l’autenticazione a due fattori di WordPress? Lasciateci un commento qui sotto oppure aprite un ticket di supporto all’interno del vostro cruscotto MyKinsta.

QR Code è un marchio registrato di DENSO WAVE INCORPORATED negli Stati Uniti e in altri Paesi.

Brian Jackson

Brian ha una grande passione per WordPress, lo usa da più di dieci anni e sviluppa anche un paio di plugin premium. Brian ama i blog, i film e le escursioni. Entra in contatto con Brian su Twitter.