Condividi questo contenuto!
In questa guida ti mostreremo come aggiungere l’autenticazione a due fattori in WordPress tramite app di autenticazione o tramite un messaggio di testo SMS.
Aggiungere l’autenticazione a due fattori in WordPress garantisce la massima sicurezza per il tuo sito.
Perché aggiungere l’autenticazione a due fattori per l’accesso a WordPress?
Uno dei trucchi più comuni che usano gli hacker è chiamato attaccho brute force . Utilizzando script automatici, gli hacker cercano di indovinare nome utente e password per entrare in un sito WordPress.
Se rubano la tua password o la indovinano con precisione, possono infettare il tuo sito Web con malware.
Uno dei modi più semplici per proteggere il tuo sito Web WordPress dalla password rubata è aggiungere l’autenticazione a due fattori. In questo modo anche se qualcuno ha rubato la tua password, dovrà accedere a un codice di sicurezza dal tuo telefono per ottenere l’accesso.
Esistono due modi per impostare l’autenticazione a due fattori in WordPress:
- Verifica tramite App o con codice inviato tramite email
- Verifica SMS – dove ricevi il codice di verifica tramite messaggio di testo (+ fallback con Google Authenticator come altra opzione).
Diamo un’occhiata a come aggiungere facilmente la verifica a due fattori alla schermata di accesso di WordPress.
1. Aggiunta dell’autenticazione a due fattori in WordPress tramite app
Questo metodo è più semplice e consigliato a tutti gli utenti. È flessibile e consente di applicare l’autenticazione a due fattori per tutti gli utenti.
Innanzitutto, è necessario installare e attivare il plug-in WP 2FA. Se non sai come fare, consulta la nostra guida su come installare un plugin per WordPress.
Dopo l’attivazione, è necessario visitare la pagina Utenti »Il tuo profilo e scorrere verso il basso fino alla sezione “Impostazioni WP 2FA“.
Da qui, è necessario fare clic sul pulsante “Configura autenticazione a due fattori (2FA)” per avviare la procedura guidata di configurazione.
Il plugin ora ti chiederà di scegliere un metodo di autenticazione. Viene fornito con due opzioni:
- Codice monouso generato con la tua app preferita (consigliato)
- Codice una tantum inviato tramite e-mail
Ti consigliamo di scegliere il metodo di autenticazione tramite app, in quanto è più sicuro e affidabile. Quindi fare clic sul pulsante Avanti per continuare.
Il plug-in ora ti mostrerà un codice QR che devi scansionare utilizzando un’app di autenticazione.
Che cos’è un’app di autenticazione?
Un’app di autenticazione è un’app per smartphone che genera una password temporanea una tantum per gli account salvati al suo interno.
Fondamentalmente, l’app e il tuo server utilizzano una chiave segreta per crittografare le informazioni e generare codici monouso che puoi utilizzare come secondo livello di protezione.
Esistono molte app di questo tipo disponibili gratuitamente.
Il più popolare è Google Authenticator, tuttavia non è il migliore. Sebbene funzioni alla grande, non fornisce un backup che puoi utilizzare in caso di smarrimento del telefono.
Ti consigliamo di utilizzare Authy , poiché è un’app facile da usare e gratuita che ti consente anche di salvare i tuoi account sul cloud in un formato crittografato. In questo modo, se perdi il telefono, puoi semplicemente inserire la tua password principale per ripristinare tutti i tuoi account.
Altri gestori di password come LastPass , 1password, ecc. sono tutti dotati della propria versione di autenticatore che sono tutti migliori di Google Authenticator poiché consentono di ripristinare le chiavi.
Per questo tutorial, useremo Authy. Se lo desideri, puoi seguire il nostro tutorial utilizzando un’app diversa, poiché funzionano tutte allo stesso modo.
Innanzitutto, fai clic sul pulsante Aggiungi account nella tua app di autenticazione:
L’app chiederà quindi l’autorizzazione per accedere alla fotocamera del telefono. Devi consentire questa autorizzazione in modo da poter scansionare il codice QR mostrato nella pagina delle impostazioni del plug-in.
L’app di autenticazione ora salverà l’account del tuo sito Web e inizierà a mostrare una password monouso che puoi utilizzare per accedere.
Nella procedura guidata di configurazione del plug-in, fai clic sul pulsante “Sono pronto” per continuare.
Il plugin ora ti chiederà di verificare la tua password monouso. Basta fare clic sul tuo account nell’app di autenticazione e ti mostrerà una password monouso di sei cifre che puoi inserire.
Successivamente, il plugin ti darà un’opzione per generare e salvare i codici di backup. Questi codici possono essere utilizzati nel caso in cui non si abbia accesso al telefono. Puoi stampare questi codici di backup e metterli in un posto sicuro.
Successivamente, puoi uscire dalla procedura guidata di installazione.
Impostazione dell’accesso a due fattori per tutti gli utenti di WordPress con WP 2-FA
Se esegui un sito Web WordPress multiutente come un sito di abbonamento, il plug-in ti consente anche di abilitare o applicare l’autenticazione a due fattori per tutti gli utenti del tuo sito.
Vai semplicemente alla pagina Impostazioni »Autenticazione a due fattori per configurare le impostazioni del plug-in.
Il plug-in consente di abilitare l’accesso a due fattori per tutti gli utenti, renderlo obbligatorio per tutti gli utenti e concedere agli utenti tempo sufficiente per configurarlo.
Se il tuo sito Web WordPress utilizza una pagina di login personalizzata, puoi anche creare una pagina personalizzata in cui gli utenti possono gestire le impostazioni dell’autenticatore a due fattori senza accedere all’area di amministrazione di WordPress.
Non dimenticare di fare clic sul pulsante Salva modifiche per memorizzare le nuove impostazioni.
Ecco come la schermata di accesso predefinita di WordPress richiederà il codice di autenticazione a due fattori dopo che gli utenti hanno inserito la loro normale password di WordPress.
2. Come aggiungere autenticazione a due fattori con SMS in WordPress
Questo metodo è un po’ meno flessibile in quanto non consente di imporre l’accesso a due fattori per tutti gli utenti. Ogni utente dovrà configurarlo da solo e potrà disabilitarlo dal proprio profilo.
Esso aggiunge una verifica SMS in due passaggi alla schermata di accesso di WordPress. Dopo aver inserito il nome utente e la password di WordPress, riceverai un messaggio di testo tramite SMS sul telefono con un codice.
Per prima cosa dovrai installare i due plugin Two Factor e Two Factor SMS. Se non sai come fare, consulta la nostra guida passo passo su come installare un plugin WordPress .
Il primo plug-in chiamato Two Factor offre diversi modi per impostare la verifica in due passaggi in WordPress. Il secondo plugin, che si chiama Two Factor SMS, è un componente aggiuntivo per il primo plugin. Aggiunge il supporto per la verifica SMS in due passaggi. Avrai bisogno di entrambi questi plugin installati e attivati.
Dopo l’attivazione, devi andare alla pagina Utenti »Il tuo profilo e scorrere fino alla sezione “Two-Factor Options”
Seleziona la casella accanto all’opzione “SMS (Twilio)” e fai clic sul pulsante di opzione per renderlo il metodo di verifica principale.
Quindi scorrere verso il basso fino alla sezione Twilio.
Ti verrà chiesto di fornire le informazioni del tuo account Twilio.
Twilio è un servizio online che offre servizi telefonici, di messaggistica vocale e SMS da utilizzare con le proprie applicazioni. Hanno anche un piano gratuito limitato che è sufficiente per il nostro scopo qui.
Vai al sito web di Twilio e crea il tuo account gratuito.
Nella pagina di iscrizione ti verranno chieste le solite informazioni personali. Successivamente ti verrà chiesto quali prodotti desideri utilizzare per primi.
Devi selezionare SMS e quindi selezionare l’autenticazione a 2 fattori per l’opzione “Cosa stai costruendo (What are you building?)“. Infine seleziona PHP per il tuo linguaggio di programmazione.
Dopo aver effettuato la registrazione per un account, raggiungerai la dashboard di Twilio dove dovrai fare clic sul pulsante Inizia.
Questo ti porterà a una procedura guidata di impostazione in cui è necessario fare clic sul pulsante “Ottieni il tuo primo numero Twilio”.
Apparirà un popup che mostra un numero di telefono con sede negli Stati Uniti. Copia e salva questo numero in un file di testo, quindi fai clic sul pulsante “Scegli questo numero”.
Ora puoi uscire dalla procedura guidata e andare alla pagina Impostazioni »Autorizzazioni geografiche .
Qui devi selezionare i paesi in cui invierai gli SMS. Dal momento che stai utilizzando il servizio per ricevere SMS per te stesso, puoi selezionare il paese in cui vivi e i paesi in cui viaggi.
Successivamente, è necessario visitare la dashboard della console Twilio per copiare il proprio SID account e token di autenticazione.
Ora hai tutte le informazioni di cui hai bisogno.
Vai alla pagina del profilo utente sul tuo sito WordPress e inserisci il tuo SID account Twilio, token di autenticazione e numero di telefono del mittente.
Aggiungi il tuo numero di telefono come “Numero di telefono del destinatario”.
Non dimenticare di fare clic sul pulsante “Aggiorna profilo” per salvare le impostazioni.
Ora puoi disconnetterti dal tuo sito WordPress per vedere il plugin in azione.
Nella schermata di accesso, prima fornirai il nome utente e la password di WordPress. Successivamente, riceverai una notifica SMS sul tuo telefono e ti verrà chiesto di inserire il codice che hai ricevuto.
Dopo aver inserito il codice SMS, sarai in grado di accedere alla tua area di amministrazione di WordPress.
Nota: questo metodo funziona alla grande, ma cosa succede se viaggi e non riesci a ricevere messaggi di testo sul tuo numero di telefono?
Risolviamo questo problema aggiungendo anche un’opzione di fallback.
2. Come aggiungere autenticazione a due fattori in WordPress con Google Authenticator
Come opzione di fallback, imposteremo la verifica a 2 fattori utilizzando Google Authenticator.
La verifica tramite SMS sarà comunque il tuo metodo di verifica principale. Nel caso in cui non ricevi l’SMS, potrai comunque accedere utilizzando l’app Google Authenticator sul tuo telefono.
Vai alla pagina Utenti »Il tuo profilo e scorri verso il basso fino alla sezione Two-Factor Options.
Fai clic sulla casella di controllo Abilitato accanto a “Password una tantum basata sul tempo (Time Based One-Time Password) (Google Authenticator)“, quindi fai clic sul link “Visualizza opzioni (View Options)” per avviare la configurazione di Google Authenticator.
Ora vedrai un codice QR che dovrai scansionare con l’app Google Authenticator.
Vai avanti e installa l’ app Google Authenticator sul tuo telefono.
Dopo aver installato l’app, aprila e fai clic sul pulsante Aggiungi +.
Ora devi scansionare il codice QR mostrato nella pagina delle impostazioni del plugin usando la fotocamera del tuo telefono.
L’app rileverà e aggiungerà il tuo sito web. Ti mostrerà anche un codice di sei cifre. Inserisci il codice nella pagina delle impostazioni del plug-in e il gioco è fatto.
Non dimenticare di fare clic sul pulsante “Aggiorna profilo” per salvare le modifiche.
Ora puoi disconnetterti dal tuo sito WordPress per vederlo in azione.
Per prima cosa dovrai inserire il nome utente e la password di WordPress. Dopo di che ti verrà chiesto di inserire il codice di verifica SMS.
Se non hai ricevuto il codice SMS, puoi fare clic sul link “Usa metodo di backup (Use your backup method)” e inserire il codice generato dall’app Google Authenticator sul telefono.
Attenzione! Se si perde l’accesso al telefono, potrebbe non essere possibile accedere all’area di amministrazione di WordPress con questo metodo. In quel caso dovrai reimpostare gli accessi accedendo sul tuo server del sito e disabilitando il plugin Two-Factor. Guarda la nostra guida su come disabilitare i plugin quando non si riesce ad accedere a WordPress.
E’ tutto! Speriamo che questo articolo ti abbia aiutato ad imparare come aggiungere l’autenticazione a due fattori in WordPress, ossia tramite la verifica SMS e con Google Authenticator per effettuare il login in WordPress. Potresti anche voler consultare la nostra guida ai migliori plugin per la sicurezza di WordPress.
Condividi questo contenuto!
Related Posts
