Noi di Kinsta prendiamo molto sul serio la sicurezza, ed è per questo che offriamo l’autenticazione a due fattori per tutti i clienti del nostro servizio di hosting WordPress. Niente potrebbe essere peggio di qualcuno che dirotta l’accesso a tutti i vostri siti! Questa funzionalità è disponibile nelcruscotto MyKinsta e consigliamo vivamente a tutti di approfittarne. Oggi discuteremo approfonditamente del perché l’autenticazione a due fattori è importante in WordPress, come funziona la nostra funzione 2FA e descriveremo un ottimo metodo gratuito per impostare i due fattori sul vostro sito WordPress.

Perché l’Autenticazione a Due Fattori è Importante

Se confrontato con le migliori piattaforme CMS come Joomla!, Drupal e Magento, WordPress è leader con oltre il 60.8% di quota di mercato. Questa sua popolarità implica anche che WordPress è attaccato più degli altri. Non si può davvero dire che una piattaforma sia più sicura dell’altra. Il maggior numero di attacchi si verifica soprattutto in conseguenza del mero volume di siti pubblicati.

Un altro motivo è legato all’inesperienza dei proprietari di siti. WordPress è fantastico perché quasi chiunque può prenderlo e iniziare a usarlo, ma questo significa anche che ci sono molti principianti che molto probabilmente lasceranno le porte di dietro spalancate non installando le patch, non chiudendo l’accesso alle risorse con i permessi corretti, ecc.

Nel 2016, WordFence ha condotto un sondaggio su un gran numero di proprietari di siti WordPress chiedendo loro di rispondere alla seguente domanda: “Se sai come il tuo sito è stato compromesso, descrivi come gli hacker hanno avuto accesso.” Il 61,5% ha risposto dicendo di non sapere come chi attaccava abbia violato il sito web.

Hanno anche condotto un altro sondaggio per vedere cosa fanno gli hacker con i siti WordPress compromessi. Come potete vedere, il 25% viene in genere messo offline o rovinato. Questa è probabilmente una delle peggiori cose che potrebbero accadervi se gestite un’attività aziendale con WordPress. Ecco perché è necessario implementare le misure di sicurezza prima, non dopo.

Cosa fa chi attacca WordPress

Cosa fa chi attacca WordPress

Ci sono molti modi in cui potete bloccare un sito WordPress, un semplice trucco è quello di modificare l’URL di accesso di WordPress. Questo ridurrà istantaneamente il numero di tentativi falliti di accesso al vostro sito WordPress da parte di bot e script che scandiscono costantemente il web alla ricerca di un modo per entrare. Ma una delle cose più importanti che potete fare è semplicemente scegliere una password complessa.

Sembra abbastanza facile, vero? Bene, date un’occhiata all’elenco annuale del 2017 di SplashData delle password più popolari rubate durante l’anno (ordinate in ordine di popolarità).

  1. 123456
  2. Password
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. letmein
  8. 1234567
  9. football
  10. iloveyou

Giusto! La password più popolare è “123456”, seguita da una sorprendente “password”. Questo è uno dei motivi per cui qui da Kinsta, sulle nuove installazioni di WordPress forziamo l’utilizzo di una password complessa per il login wp-admin (come spiegato di seguito a proposito della procedura di installazione ad un clic).

Forzare la generazione di password sicura

Forzare la generazione di password sicura

La sicurezza inizia dalla base. Google ha alcuni buoni consigli da darci su come scegliere una password sicura. E uno dei loro consigli è quello di abilitare l’autenticazione a due fattori.

La sicurezza inizia dalla base. Utilizza l'autenticazione a due fattori e password complesse! Sono lì per un motivo. Click to Tweet

L’autenticazione a due fattori prevede una procedura in 2 passaggi in cui è necessaria non solo la password per accedere, ma anche un secondo metodo. Generalmente si tratta di un testo (SMS), una telefonata o una password monouso basata sul tempo (TOTP). Nella maggior parte dei casi questo metodo è efficace al 100% nel prevenire attacchi brute force sul vostro sito WordPress. Perché? Perché è quasi impossibile che chi attacca abbia sia la vostra password che il vostro cellulare.

Scopriamo come abilitare l’autenticazione a due fattori in WordPress.

Autenticazione a Due Fattori di Kinsta

Ci sono effettivamente due parti quando si tratta di autenticazione a due fattori. La prima è il l’account e/o dashboard del vostro provider di hosting. Se qualcuno ottiene l’accesso, potrebbe cambiare la vostra password, eliminare i vostri siti web, modificare i record DNS e fare ogni sorta di operazioni terribili. Ora disponiamo dell’autenticazione a due fattori, e questa è disponibile per tutti i nostri clienti nel cruscotto di MyKinsta.

Abbiamo inoltre stretto una partnership con Authy, che ha una lunga esperienza nel fornire soluzioni sicure di autenticazione dell’accesso per grandi aziende come CloudFlare, Twitch, Coinbase e SendGrid. Authy ha app desktop e mobili per ogni tipo di piattaforma, incluse le estensioni del browser.

CloudFlare afferma che Authy ha “creato un’app bella, semplice ed elegante che implementa il TOTP” – Techcrunch

Per l’abilitazione, fate semplicemente clic su “Impostazioni” nel cruscotto di MyKinsta, e in basso fate clic sul pulsante “Abilita autenticazione a due fattori”.

Abilitare l'autenticazione a due fattori in MyKinsta

Abilitare l’autenticazione a due fattori in MyKinsta

Vi verrà quindi richiesto di inserire il vostro numero di cellulare. Fate clic su “Invia”.

Configurare l'autenticazone a due fattori

Configurare l’autenticazone a due fattori

Due Opzioni per Accedere Nuovamente

Per quello che riguarda il login, avete due diverse opzioni.

Opzione 1: SMS via Periferica Mobile

La prima opzione è ricevere un messaggio SMS (testo) tramite il vostro dispositivo mobile. La volta successiva che accedete al cruscotto di MyKinsta, fate clic su “Richiedi nuovo codice” e un codice univoco sarà inviato al vostro dispositivo mobile.

Richiedi nuovo codice

Richiedi nuovo codice

Opzione 2: Authy

La seconda opzione è quella di utilizzare un’applicazione gratuita denominata Authy. Il vantaggio dell’utilizzo di Authy è nella disponibilità di applicazioni per tutti i dispositivi, inclusi desktop, dispositivi mobili e persino estensioni per i browser. Per configurarlo, dovete installare l’app Authy sul vostro dispositivo mobile o utilizzare il browser. Quindi avviatelo per confermare il vostro numero di telefono. Potete farvi chiamare o mandare un messaggio con il pin di registrazione.

Configurazione dell'app Authy

Configurazione dell’app Authy

La prossima volta che accedete alla dashboard di MyKinsta vi sarà mostrata la seguente finestra per l’inserimento del vostro codice di autenticazione.

Codice Authy

Codice Authy

Avviate la vostra app Authy e questa genererà un codice temporaneo da inserire. Questo dovrebbe apparire automaticamente se utilizzate l’estensione del browser.

Authy in MyKinsta

Authy in MyKinsta

E questo è tutto. Ora potete stare tranquilli sapendo che il vostro account Kinsta è molto più sicuro!

Abilitare l’Autenticazione a Due Fattori in WordPress

Ora che avete protetto il vostro cruscotto di Kinsta, potete anche abilitare l’autenticazione a due fattori di WordPress per il vostro sito web. Vi consigliamo uno dei seguenti plugin.

Two Factor Authentication

Il plugin di WordPress Two Factor Authentication è sviluppato dagli stessi autori di UpdraftPlus, il popolare plugin di backup. Il plugin supporta i protocolli TOTP + HOTP standard (Google Authenticator, Authy e molti altri). C’è sia una versione gratuita che premium.

Il plugin Two Factor Authentication per WordPress

Il plugin Two Factor Authentication per WordPress

Al momento conta oltre 7.000 installazioni attive, con una valutazione di 4,5 stelle su 5, e presenta le seguenti caratteristiche:

  • Codici QR grafici per una facile scansione mobile
  • Include il supporto per i form di login di WooCommerce e Affiliates-WP
  • Compatibile con WP Multisite (il plugin deve essere attivato per il network)
  • Codici di emergenza e design premium del layout (versione premium)

Google Authenticator

Se state cercando una soluzione completamente gratuita, il plugin di WordPress Google Authenticator va alla grande. Nota: ciò significa tuttavia che dovrete saltare tra due diverse app. Potete stabilire quale sia, delle due, la più efficiente in termini di tempo per il vostro ambiente. Se volete utilizzare una sola app, l’aggiornamento al piano starter potrebbe essere la soluzione giusta. In questo esempio utilizzeremo la versione gratuita di Google Authenticator.

Il plugin Google Authenticator vanta oltre 30.000 installazioni attive, con una valutazione di 4,5 stelle su 5. È completamente gratuito e potete configurarlo per un numero illimitato di utenti. Noterete che la maggior parte degli altri plugin di autenticazione in circolazione ha delle limitazioni, a meno che non facciate un upgrade ad un piano a pagamento. Potete scaricare il plugin Google Authenticator dalla repository di WordPress o cercarlo nella dashboard di WordPress alla voce “Aggiungi nuovo” plugin.

Una volta installato, potete fare clic sul vostro profilo utente, contrassegnarlo come attivo e creare una nuova chiave segreta o fare la scansione del QR code.

configurazione autenticazione a due fattori in WordPress

Impostazioni Google Authenticator

Potrete, quindi, utilizzare una delle Authenticator App gratuite sul telefono:

Dopo l’abilitazione, vi richiederà la normale password per accedere e il codice dall’app Google Authenticator sul telefono. Noterete un campo aggiuntivo che appare sulla vostra pagina di accesso a WordPress. Inoltre, questo plugin è completamente compatibile con il plugin che abbiamo consigliato in precedenza per cambiare l’URL di accesso di WordPress.

Login WordPress con Google Authenticator

Login WordPress con Google Authenticator

E questo è tutto! Ora avete l’autenticazione a due fattori sia sul vostro account di Kinsta, sia sul vostro sito WordPress.

Riepilogo

Siamo lieti di offrire l’autenticazione a due fattori ai clienti di Kinsta, in quanto questa è stata una delle nostre funzionalità più richieste. Proteggere i vostri siti WordPress è diventato un po’ più semplice! Ricordatevi di leggere la nostra guida più avanzata sulla sicurezza di WordPress per vedere come bloccare sul serio gli accessi al vostro sito.

Avete qualche domanda su come funziona l’autenticazione a due fattori di WordPress? Lasciateci un commento qui sotto oppure aprite un ticket di supporto all’interno del vostro cruscotto MyKinsta.

22
Condivisioni