Noi di Kinsta prendiamo molto sul serio la sicurezza, ed è per questo che offriamo l’autenticazione a due fattori per tutti i clienti del nostro servizio di hosting WordPress. Niente potrebbe essere peggio di qualcuno che dirotta l’accesso a tutti i vostri siti! Questa funzionalità è disponibile nelcruscotto MyKinsta e consigliamo vivamente a tutti di approfittarne. Oggi discuteremo approfonditamente del perché l’autenticazione a due fattori è importante in WordPress, come funziona la nostra funzione 2FA e descriveremo un ottimo metodo gratuito per impostare i due fattori sul vostro sito WordPress.

Perché l’Autenticazione a Due Fattori è Importante

Se confrontato con le migliori piattaforme CMS come Joomla!, Drupal e Magento, WordPress è leader con oltre il 37.6% di quota di mercato. Questa sua popolarità implica anche che WordPress è attaccato più degli altri. Non si può davvero dire che una piattaforma sia più sicura dell’altra. Il maggior numero di attacchi si verifica soprattutto in conseguenza del mero volume di siti pubblicati.

Un altro motivo è legato all’inesperienza dei proprietari di siti. WordPress è fantastico perché quasi chiunque può prenderlo e iniziare a usarlo, ma questo significa anche che ci sono molti principianti che molto probabilmente lasceranno le porte di dietro spalancate non installando le patch, non chiudendo l’accesso alle risorse con i permessi corretti, ecc.

Nel 2016, WordFence ha condotto un sondaggio su un gran numero di proprietari di siti WordPress chiedendo loro di rispondere alla seguente domanda: “Se sai come il tuo sito è stato compromesso, descrivi come gli hacker hanno avuto accesso.” Il 61,5% ha risposto dicendo di non sapere come chi attaccava abbia violato il sito web.

Hanno anche condotto un altro sondaggio per vedere cosa fanno gli hacker con i siti WordPress compromessi. Come potete vedere, il 25% viene in genere messo offline o rovinato. Questa è probabilmente una delle peggiori cose che potrebbero accadervi se gestite un’attività aziendale con WordPress. Ecco perché è necessario implementare le misure di sicurezza prima, non dopo.

Cosa fa chi attacca WordPress

Cosa fa chi attacca WordPress

Ci sono molti modi in cui potete bloccare un sito WordPress, un semplice trucco è quello di modificare l’URL di accesso di WordPress. Questo ridurrà istantaneamente il numero di tentativi falliti di accesso al vostro sito WordPress da parte di bot e script che scandiscono costantemente il web alla ricerca di un modo per entrare. Ma una delle cose più importanti che potete fare è semplicemente scegliere una password complessa.

Sembra abbastanza facile, vero? Bene, date un’occhiata all’elenco annuale del 2018 di SplashData delle password più popolari rubate durante l’anno (ordinate in ordine di popolarità).

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou

Giusto! La password più popolare è “123456”, seguita da una sorprendente “password”. Questo è uno dei motivi per cui qui da Kinsta, sulle nuove installazioni di WordPress forziamo l’utilizzo di una password complessa per il login wp-admin (come spiegato di seguito a proposito della procedura di installazione ad un clic).

Forzare la generazione di password sicura

Forzare la generazione di password sicura

La sicurezza inizia dalla base. Google ha alcuni buoni consigli da darci su come scegliere una password sicura. E uno dei loro consigli è quello di abilitare l’autenticazione a due fattori.

Click to Tweet

L’autenticazione a due fattori prevede una procedura in 2 passaggi in cui è necessaria non solo la password per accedere, ma anche un secondo metodo. Generalmente si tratta di un testo (SMS), una telefonata o una password monouso basata sul tempo (TOTP). Nella maggior parte dei casi questo metodo è efficace al 100% nel prevenire attacchi brute force sul vostro sito WordPress. Perché? Perché è quasi impossibile che chi attacca abbia sia la vostra password che il vostro cellulare.

Scopriamo come abilitare l’autenticazione a due fattori in WordPress.

Autenticazione a Due Fattori di Kinsta

Tutti gli utenti di Kinsta hanno accesso all’autenticazione a due fattori basata su Authenticator nel cruscotto di MyKinsta. Rispetto al 2FA basato sugli SMS, il 2FA basato su Authenticator è più sicuro perché non si basa su numeri di cellulare che possono essere scambiati con la SIM. È anche più comodo perché può essere utilizzato con i più diffusi gestori di password come 1Password e LastPass.

Per abilitare l’autenticazione a due fattori, fate clic sul vostro avatar nell’area in basso a sinistra del vostro cruscotto MyKinsta e poi su “User Settings.” Fate scroll verso il basso e poi clic sul pulsante “Enable Two-Factor Authentication”.

Abilitare l’autenticazione a due fattori su MyKinsta.

Abilitare l’autenticazione a due fattori su MyKinsta.

Vi verrà quindi richiesto di scansionare il codice QR 2FA con un’applicazione Authenticator. Se utilizzate un gestore di password come 1Password o LastPass, vi consigliamo di utilizzare la funzione 2FA integrata in queste applicazioni. In alternativa, anche Google Authenticator è una buona opzione. Dopo aver scansionato il codice QR, digitare il codice a sei cifre dell’applicazione Authenticator e premere “Verify”.

Impostare l'autenticazione a due fattori in MyKinsta.

Impostare l’autenticazione a due fattori in MyKinsta.

Quando la 2FA è attiva, la vedrete nella colonna 2FA della schermata “User Management”. Se la 2FA è disattivata sul vostro account, riceverete subito un’email di notifica. Se ricevete una di queste notifiche e non siete stati voi a disattivare la 2FA, contattate immediatamente il nostro servizio di supporto.

Lo status della 2FA in MyKinsta.

Lo status della 2FA in MyKinsta.

La prossima volta che effettuerete il login a MyKinsta, vi verrà richiesto un codice di verifica a sei cifre. Basta aprire l’applicazione Authenticator per trovare il codice 2FA, inserirlo nel campo “6-digit verification code” e premere “Login”.

MyKinsta effettua il login con 2FA.

MyKinsta effettua il login con 2FA.

Con l’impostazione di 2FA, ora potete stare tranquilli sapendo che il vostro account Kinsta è molto più sicuro!

E questo è tutto. Ora potete stare tranquilli sapendo che il vostro account Kinsta è molto più sicuro!

Abilitare l’Autenticazione a Due Fattori in WordPress

Ora che avete protetto il vostro cruscotto di Kinsta, potete anche abilitare l’autenticazione a due fattori di WordPress per il vostro sito web. Vi consigliamo uno dei seguenti plugin.

Two Factor Authentication

Il plugin di WordPress Two Factor Authentication è sviluppato dagli stessi autori di UpdraftPlus, il popolare plugin di backup. Il plugin supporta i protocolli TOTP + HOTP standard (Google Authenticator, Authy e molti altri). C’è sia una versione gratuita che premium.

Alle prese con i tempi di inattività e problemi di WordPress? Kinsta è la soluzione di hosting progettata per farvi risparmiare tempo! Scopri i nostri servizi
Il plugin Two Factor Authentication per WordPress

Il plugin Two Factor Authentication per WordPress

Al momento conta oltre 10.000 installazioni attive, con una valutazione di 4,5 stelle su 5, e presenta le seguenti caratteristiche:

  • Codici QR grafici per una facile scansione mobile
  • Include il supporto per i form di login di WooCommerce e Affiliates-WP
  • Compatibile con WordPress Multisite (il plugin deve essere attivato per il network)
  • Codici di emergenza e design premium del layout (versione premium)

Google Authenticator

Se state cercando una soluzione completamente gratuita, il plugin di WordPress Google Authenticator va alla grande. Nota: ciò significa tuttavia che dovrete saltare tra due diverse app. Potete stabilire quale sia, delle due, la più efficiente in termini di tempo per il vostro ambiente. Se volete utilizzare una sola app, l’aggiornamento al piano starter potrebbe essere la soluzione giusta. In questo esempio utilizzeremo la versione gratuita di Google Authenticator.

Il plugin Google Authenticator vanta oltre 30.000 installazioni attive, con una valutazione di 4,5 stelle su 5. È completamente gratuito e potete configurarlo per un numero illimitato di utenti. Noterete che la maggior parte degli altri plugin di autenticazione in circolazione ha delle limitazioni, a meno che non facciate un upgrade ad un piano a pagamento. Potete scaricare il plugin Google Authenticator dalla repository di WordPress o cercarlo nella dashboard di WordPress alla voce “Aggiungi nuovo” plugin.

Una volta installato, potete fare clic sul vostro profilo utente, contrassegnarlo come attivo e creare una nuova chiave segreta o fare la scansione del QR code.

configurazione autenticazione a due fattori in WordPress

Impostazioni Google Authenticator

Potrete, quindi, utilizzare una delle Authenticator App gratuite sul telefono:

Dopo l’abilitazione, vi richiederà la normale password per accedere e il codice dall’app Google Authenticator sul telefono. Noterete un campo aggiuntivo che appare sulla vostra pagina di accesso a WordPress. Inoltre, questo plugin è completamente compatibile con il plugin che abbiamo consigliato in precedenza per cambiare l’URL di accesso di WordPress.

Login WordPress con Google Authenticator

Login WordPress con Google Authenticator

E questo è tutto! Ora avete l’autenticazione a due fattori sia sul vostro account di Kinsta, sia sul vostro sito WordPress.

Riepilogo

Siamo lieti di offrire l’autenticazione a due fattori ai clienti di Kinsta, in quanto questa è stata una delle nostre funzionalità più richieste. Proteggere i vostri siti WordPress è diventato un po’ più semplice! Ricordatevi di leggere la nostra guida più avanzata sulla sicurezza di WordPress per vedere come bloccare sul serio gli accessi al vostro sito.

Avete qualche domanda su come funziona l’autenticazione a due fattori di WordPress? Lasciateci un commento qui sotto oppure aprite un ticket di supporto all’interno del vostro cruscotto MyKinsta.


Se ti è piaciuto questo articolo, allora apprezzerai la piattaforma di hosting WordPress di Kinsta. Metti il turbo al tuo sito web e ricevi supporto 24×7 dal nostro team di veterani di WordPress. La nostra infrastruttura potenziata da Google Cloud è centrata su scaling automatico, performance e sicurezza. Permettici di mostrarti la differenza di Kinsta! Scopri i nostri piani