Come impostare l'autenticazione a due fattori in WordPress: una guida passo-passo

Sapevi che puoi impostare l'autenticazione a due fattori in WordPress? Se non sei sicuro di integrare questa funzione di sicurezza nel tuo sito Web WordPress, ecco qualcosa da considerare: quanti account hai online? Sono tutti protetti da password? Quanti di questi account condividono la stessa password? Se un visitatore indesiderato ottiene l'accesso a un account, è probabile che possano accedere anche agli altri. Il problema peggiora ancora se si utilizzano password facili da guidare o accedi su reti pubbliche (ti consigliamo di utilizzare una VPN per crittografare il traffico se utilizzerai una rete pubblica). La tua password è il nome del tuo cane? La tua data di matrimonio? L'hai scritto in un diario?

Ogni giorno, i robot attaccano migliaia di siti Web WordPress, esponendo i visitatori al malware. I siti Web infestati da robot sono spesso delegati da motori di ricerca come Google. I fornitori di hosting possono bloccare l'accesso a tali siti e il traffico mirato inizia a precipitare. Tutto il tuo duro lavoro non può essere ridotto a nulla. Se si desidera andare oltre l'autenticazione a due fattori (2FA), l'autenticazione a più fattori (MFA) fornisce ulteriori livelli di sicurezza, combinando password con biometria o token di sicurezza per una protezione ancora maggiore contro le minacce.

Cos'è l'autenticazione a due fattori (2FA)?

Le password possono essere compromesse, soprattutto attraverso attacchi di forza bruta. Fare affidamento esclusivamente su una password per la sicurezza viene definita autenticazione a fattore singolo (SFA). È qui che può aiutare un secondo livello di sicurezza, oltre una semplice password. L'autenticazione a due fattori (2FA o TFA) aggiunge questo livello aggiuntivo. In effetti, molti siti Web popolari (ad es. Facebook, Gmail, PayPal) utilizzano l'autenticazione a due fattori per migliorare la sicurezza e ridurre le violazioni, anche se le credenziali di un utente sono trapelate.

Allora, cos'è esattamente 2FA? In sostanza, è un processo che richiede agli utenti di verificare la propria identità con qualcosa che possiedono, oltre alla loro password.

In generale, 2FA non sostituisce la password; Lo completa con un ulteriore passo a cui è possibile accedere solo all'utente (come amministratore).

Ecco un esempio di come funziona

Accedi come al solito, quindi appare un messaggio, dicendo che un codice è stato inviato al tuo dispositivo. Ricevi ed inserisci quel codice inviato al tuo telefono, a un altro dispositivo o e -mail. Questo codice, spesso chiamato password una tantum (OTP), viene consegnato a un numero di cellulare o un indirizzo e-mail registrato. Senza questo codice extra, gli hacker non possono accedere al tuo sito Web, anche se hanno la tua password.

In sintesi, in autenticazione a due fattori, ci devono essere due distinte categorie di autenticazione:

• Qualcosa che sai (ad esempio una password o un pin).
• Qualcosa che hai (ad es. Un token di sicurezza o uno smartphone con un'app di autenticazione).
• Qualcosa che sei (ad es. Biometria come impronte digitali o riconoscimento facciale).

Cos'è l'autenticazione a più fattori (MFA)?

L'autenticazione a più fattori (MFA) è un processo di sicurezza che richiede agli utenti di verificare la propria identità utilizzando più metodi prima di ottenere l'accesso a un sistema o account. Invece di fare affidamento esclusivamente su una password, MFA aggiunge ulteriori livelli di protezione, spesso combinando qualcosa che l'utente sa (come una password), qualcosa che l'utente ha (come un dispositivo mobile o un segno di sicurezza) e talvolta anche qualcosa di unico per l'utente, come un'impronta digitale o il riconoscimento facciale. Questo approccio riduce significativamente il rischio di accesso non autorizzato, in quanto rende più difficile per gli aggressori violare i conti, anche se hanno rubato una forma di autenticazione. È uno strumento potente per mantenere i dati personali e aziendali sicuri nel mondo digitale di oggi.

Affinché l'MFA sia in vigore, ci devono essere almeno due livelli di autenticazione che vanno oltre la tipica combinazione 2FA (vedere la sezione 2FA come funziona sopra). Ad esempio:

• La biometria (qualcosa che sei) abbinato a un token di sicurezza (qualcosa che hai) supera la configurazione di base a due fattori.
• Se una password (qualcosa che sai) viene aggiunta insieme a questi due, rafforza ulteriormente i livelli di autenticazione.

L'MFA è essenzialmente un'estensione di 2FA, offre una maggiore sicurezza utilizzando tre o più fattori. Quindi, ad esempio, mentre la biometria e i token di sicurezza potrebbero far parte dell'MFA, da soli non sarebbero considerati MFA se non accoppiati con ulteriori metodi di verifica.

Qual è la differenza tra l'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA)?

La differenza chiave tra autenticazione multi-fattore (MFA) e autenticazione a due fattori (2FA) risiede nel numero di passaggi di autenticazione.

2FA richiede esattamente due fattori separati per verificare l'identità di un utente. Ad esempio, una password e un codice una tantum inviato al loro indirizzo e-mail.

L'MFA , d'altra parte, è un concetto più ampio che comprende 2FA ma può includere tre o più livelli di autenticazione. Ad esempio, l'MFA potrebbe combinare una password, una scansione delle impronte digitali (fattore biometrico) e un token di sicurezza. Mentre 2FA fornisce una forte barriera contro l'accesso non autorizzato, MFA offre una difesa ancora più completa, particolarmente adatta per gli ambienti che richiedono livelli più elevati di sicurezza.

In sostanza, tutto il 2FA è MFA, ma non tutto MFA è 2FA.

Tieni presente che mentre la sicurezza è cruciale, è altrettanto importante mantenere la facilità di accesso per i tuoi clienti e visitatori. Colpire il giusto equilibrio è la chiave. Non vuoi renderlo troppo difficile per i tuoi clienti e visitatori . Per la maggior parte delle situazioni, l'autenticazione a due fattori offre una protezione sufficiente. Una semplice combinazione di accesso alla password seguita da un codice di verifica inviato alla loro e -mail in genere fornisce sia sicurezza che comodità.

Metodi per ottenere il codice di verifica

Prima di implementare 2FA sul tuo sistema, è utile capire come funziona il secondo passo in modo da poter scegliere il metodo più adatto per te. Il codice di verifica può essere ottenuto attraverso metodi come questi:

1. Servizi e -mail : il codice viene inviato direttamente al tuo indirizzo e -mail registrato.
2. SMS : il codice viene inviato al tuo telefono cellulare tramite un messaggio di testo.
3. Codici generati dalle app : app come Google Authenticator generano un nuovo codice a breve intervalli. Quando si accede, si inserisce manualmente il codice attualmente visualizzato. Potrebbe essere necessario qualche configurazione.
4. Token USB : questo metodo prevede l'inserimento di un token USB nel tuo dispositivo e l'inserimento di una password token. È altamente sicuro poiché il processo di autenticazione non può essere intercettato. Tuttavia, potrebbe non funzionare con i telefoni cellulari poiché è richiesta una porta USB (anche se è possibile utilizzare un adattatore USB-C a USB-A, che è importante avere in giro).

I primi due metodi richiedono connettività Internet o dei dati cellulari, mentre gli ultimi due no.

Forme popolari di 2FA e MFA

Mentre l'elenco di cui sopra evidenzia i metodi di sicurezza che funzionano ricevendo e inserendo un codice, ci sono molti altri metodi che non richiedono l'uso di un codice di verifica.

Ecco un elenco completo delle forme più popolari di 2FA e MFA , inclusi metodi di autenticazione basati su codice e non codi, attualmente impiegati da vari servizi:

• Autenticazione basata su PIN : immettere un codice PIN secondario che solo tu conosci.
• Autenticazione basata sulla conoscenza (KBA) : rispondere alle domande di sicurezza (ad es. "Qual era il nome del tuo primo animale domestico?").
• Autenticazione basata su e-mail : ricevere ed immettere un codice inviato al tuo indirizzo e-mail.
• Autenticazione basata su SMS : ricezione e immissione di un codice inviato al telefono tramite messaggio di testo (SMS).
• Autenticazione basata sulle chiamate telefoniche : ricevere una chiamata vocale che fornisce una password una tantum o richiede conferma vocale.
• Autenticazione basata su app di autenticatore : immissione di un codice da un'applicazione di autenticatore, come Microsoft Authenticator o Google Authenticator.
• Autenticazione basata su push o autenticazione della notifica push : conferma del tuo accesso su un'app correlata tramite una notifica push inviata al dispositivo registrato. L'app richiede all'utente di approvare o negare il tentativo di accesso con un semplice tocco (ad esempio, l'app Wise Bank (precedentemente TransferWise) che chiede di confermare toccando "approvare" o "sì").
• Autenticazione biometrica : verifica delle impronte digitali usando un sensore di impronte digitali (ad es. Sul tuo laptop o dispositivo mobile).
• Autenticazione del token hardware: utilizzando una chiave di sicurezza USB fisica o un dispositivo, come i token USB, per autenticare l'accesso di accesso.
• Autenticazione del token di sicurezza: utilizzando un token di sicurezza fisico o digitale per verificare l'identità durante l'accesso. Questi token possono generare password una tantum (OTP), funzionare come dispositivi hardware come chiavi USB o generare codici di accesso senza richiedere una connessione USB.
• Autenticazione del codice di backup: l'immissione dei codici di backup pre-generati come metodo di fallback per riconquistare l'accesso quando altre opzioni di autenticazione (come SMS o app di autenticatore) non sono disponibili.

Qui ci sono metodi specializzati 2FA e MFA:

• Autenticazione basata sul codice QR : scansionare un codice QR con un'app di autenticatore per verificare l'accesso.
• Password One-Time (TOTP) basata sul tempo : generazione di una password temporanea che cambia ogni pochi secondi, spesso utilizzata nelle app di autenticatore.
• Password One-Time Basata su HMAC (HOTP) : HMAC sta per il codice di autenticazione dei messaggi basato su hash. Un sistema simile a TOTP, ma i codici rimangono validi fino a quando non vengono utilizzati.
• Autenticazione basata sulle chiamate telefoniche : ricevere una chiamata vocale che fornisce una password una tantum o richiede conferma vocale.
• Autenticazione basata su Bluetooth : utilizzando Bluetooth per verificare l'identità, spesso richiede la vicinanza tra i dispositivi.
• Autenticazione della smart card : utilizzando una smart card fisica inserita in un dispositivo per l'autenticazione, comune nella sicurezza aziendale.
• Autenticazione basata su comportamenti comportamentali : analizzare i modelli di sequestro, movimenti del mouse o altre biometrie comportamentali.
• Autenticazione basata su geolocalizzazione : limitare i tentativi di accesso in base alla posizione fisica di un utente o agli indirizzi IP noti.
• Autenticazione FIDO2/WebAuthn : utilizzando le chiavi di sicurezza crittografica, come Yubikeys, per autenticare senza password.
• Autenticazione basata su pattern : disegnare uno schema su un touchscreen (comune nella sicurezza del dispositivo mobile).

Scegliere il servizio giusto

Come puoi vedere, ce ne sono molti tra cui scegliere e non tutti i plug -in Services e WordPress offrono tutte queste opzioni, quindi dovrai decidere quale funziona meglio per te. Alcuni servizi offrono più opzioni, consentendo di scegliere tra un menu a discesa. Se si sceglie di utilizzare i plug -in WordPress per integrare 2FA, il processo di configurazione sarà più conveniente per te.

Durante il processo di configurazione, potresti anche essere fornito con codici di recupero. Assicurati di annotarli e conservarli in modo sicuro. Questi codici di backup ti aiuteranno a recuperare il tuo account nel caso in cui venga bloccato a causa di 2FA/MFA.

Plugin WordPress consigliati per 2FA

Per semplificare l'impostazione dell'autenticazione a due fattori sul tuo sito WordPress, abbiamo compilato un elenco dei migliori plugin 2FA. Questi plugin sono facili da usare, includono istruzioni chiare di configurazione e sono dotati di una documentazione completa. Non dovresti incontrare difficoltà. Sentiti libero di condividere i tuoi plug -in 2FA preferiti o sollevare eventuali problemi di sicurezza nella sezione commenti qui sotto.

Senza ulteriori indugi, iniziamo!

1. Google Authenticator

Il primo plug -in sul nostro elenco è Google Authenticator di MinioRange, uno sviluppatore di plug -in WordPress affidabile. Questo plugin fornisce una soluzione completa per proteggere le pagine di accesso WordPress senza richiedere di spendere un centesimo.

Google Authenticator è un eccellente plug-in di autenticazione a due fattori per WordPress che è sia semplice da configurare che intuitivo. Viene fornito con una gamma impressionante di funzionalità progettate per tenere a bada anche gli hacker più persistenti.

Alcune delle caratteristiche chiave del plug-in includono un'interfaccia utente elegante, più metodi di autenticazione (supportando anche Microsoft Authenticator), supporto multi-linguaggio, TOTP (password One Time Based Time) e supporto HMAC basato su HMAC), prevenzione degli attacchi della forza Brute.

La versione principale del plugin è gratuita per un singolo utente e di solito puoi trovare assistenza sul forum di supporto del plug -in.

2. A due fattori

Il plugin WordPress a due fattori è un progetto completamente gratuito e open source guidato da George Stephanis, con contributi di vari altri sviluppatori. È uno dei plug-in di autenticazione a due fattori più semplici che puoi utilizzare per il tuo sito WordPress.

Dopo aver installato il plug-in, navigare su utenti> il tuo profilo e scorrere verso il basso fino alla sezione Opzioni a due fattori . Qui, puoi abilitare e configurare le impostazioni di autenticazione a due fattori desiderate.

Questo plugin supporta quattro metodi di autenticazione:

1. Codici e -mail : codici di verifica inviati direttamente al tuo indirizzo e -mail.
2. Password One-Time (TOTP) basata sul tempo : una password dinamica generata utilizzando app come Google Authenticator.
3. Fido Universal 2nd Factor (U2F) : un metodo di autenticazione basato su hardware che richiede una chiave di sicurezza USB.
4. Codici di verifica di backup : codici monouso che puoi archiviare in modo sicuro per le emergenze.

C'è anche un metodo fittizio disponibile, che è particolarmente utile per scopi di test. Oltre a queste funzionalità, il plugin supporta 15 lingue e ha oltre 80.000 installazioni attive al momento della stesura.

Il plugin funziona eccezionalmente bene ed è affidabile per migliorare la sicurezza di WordPress. Sarebbe emozionante vedere una versione premium in futuro, offrendo funzionalità ancora più avanzate.

3. Verifica in 2 fasi di WordPress

Hai trovato un plug-in di autenticazione a due fattori per WordPress che si adatta ancora alle tue esigenze? In caso contrario, siamo felici di introdurre il plug-in di verifica in 2 passaggi di WordPress di AS247, uno sviluppatore PHP di talento dal Vietnam.

Siate tranquilli, non dovrai preoccuparti che gli hacker rubino le credenziali di accesso quando usi questo plugin. Il plug-in di verifica in 2 passaggi WordPress incorpora robuste misure di sicurezza 2FA nella pagina di accesso, garantendo che gli aggressori rimangano bloccati dall'area di amministrazione.

Il plug -in è facile da installare e configurare e puoi avere tutto impostato in soli 10 minuti. Se riscontri problemi, AS247 offre assistenza utile tramite i forum di supporto WordPress.org.

Caratteristiche che si distinguono

La verifica in 2 passaggi di WordPress è ricca di una varietà di caratteristiche impressionanti, tra cui:

• Supporto multi-sito : perfetto per la gestione di più installazioni WordPress.
• Codici e -mail : codici di verifica inviati alla tua e -mail registrata.
• Codici generati dalle app : codici dinamici generati da app come Google Authenticator.
• Verifica SMS : codici consegnati tramite messaggio di testo.
• Codici di backup : utili per le emergenze quando il solito metodo di verifica non è disponibile.

Inoltre, se si perde l'accesso al tuo telefono o codice di verifica, il plug -in consente un facile ripristino tramite FTP, un salvavita in situazioni critiche. Puoi anche disattivare la verifica in 2 passaggi su dispositivi affidabili, come il tuo personal computer.

Ti chiedi come il plug-in supporti i codici generati dall'app? AS247 fornisce un'app di autenticatore sul Play Store, che semplifica la generazione di password sicure per applicazioni che non supportano la verifica in 2 fasi.

Personalizzazione e compatibilità

Hai bisogno di aiuto per personalizzare il tuo tema WordPress? Esistono numerose aziende che offrono servizi di personalizzazione del tema WordPress di prim'ordine per soddisfare le tue esigenze.

Attualmente, il plugin non supporta l' editor Gutenberg , quindi dovrai invece attivare l'editor classico. È in corso lavori per aggiungere supporto per Gutenberg, ma se ti senti a tuo agio nell'uso dell'editor classico, il plug-in di verifica in 2 passi di WordPress è una scelta eccellente.

4. Autenticazione a due fattori di Rublon

Il quarto plug-in nella nostra lista è l'autenticazione a due fattori di Rublon . L'obiettivo principale di questo straordinario plug -in WordPress è quello di tenere fuori gli utenti non autorizzati e lo realizza senza sforzo. Offre un modo semplice per abilitare l'autenticazione a due fattori sul tuo sito Web WordPress.

Il plug-in di autenticazione a due fattori Rublon è estremamente intuitivo e facile da installare. Non hai bisogno di competenze tecniche o formazione speciale per iniziare. Basta installare il plug -in, quindi collegarlo all'API Rublon utilizzando un token di sistema e una chiave di sicurezza.

Dopo aver completato questi passaggi, riceverai un link di conferma via e -mail. Una volta verificata la tua identità, è possibile configurare ulteriori opzioni per migliorare la sicurezza del tuo sito.

Caratteristiche e funzionalità

Rublon supporta una vasta gamma di metodi di autenticazione a due fattori, tra cui:

• Verifica e -mail
• Codici SMS
• Scansione del codice QR
• Push Notifiche
• Password una tantum basate sul tempo (TOTP)

Inoltre, è possibile dispositivi di fiducia nella whitelist, eliminando la necessità di autenticazione a due fattori durante gli accessi futuri su questi dispositivi.

Esperienza utente

Il plugin offre un'interfaccia back-end intuitiva e intuitiva, rendendo facile l'integrazione dell'autenticazione a due fattori nel tuo sito Web WordPress. Supporta cinque lingue e riceve revisioni brillanti sia da professionisti della sicurezza che da principianti. Gli utenti lodano spesso la sua funzionalità e affidabilità.

5. API Gateway

Se gli altri plug-in di autenticazione a due fattori nella nostra lista non soddisfano le tue esigenze di utilizzo, lasciaci conoscere GateWayapi . Questo plug-in utile e diretto è più di un semplice strumento di autenticazione a due fattori: è un motore potente che ti consente di inviare messaggi SMS direttamente dal pannello di amministrazione di WordPress. Inoltre, include una funzione di autenticazione a due fattori gratuita e intuitiva.

Caratteristiche chiave di gatewayapi

Gatewayapi è pieno di funzionalità utili, tra cui:

• Contenuto SMS personalizzabile : aggiungi informazioni su misura ai tuoi messaggi.
• Importazione CSV : caricare facilmente gli elenchi dei destinatari.
• Messaggistica sfusa : inviare messaggi SMS a grandi gruppi contemporaneamente.
• Segmentazione del destinatario : creare e gestire gruppi per messaggi mirati.
• Codici brevi : semplificare la gestione dei messaggi.
• Facilità d'uso : un'interfaccia pulita e intuitiva che chiunque può navigare.
• Opzioni di autorizzazione : autorizzare ad ogni accesso o ricordare dispositivi di fiducia per 30 giorni.
• Funzionalità della posta in arrivo : ricevi e leggi i messaggi in arrivo direttamente tramite il numero di telefono.
• E molto di più!

Iniziare con gatewayapi

Per iniziare, basta installare il plug -in e iscriverti a un account gratuito su gatewayapi.com. Non preoccuparti se ti imbatti in difficoltà, il plug-in viene fornito con una guida dettagliata dettagliata, completa di schermate, rendendo il processo di configurazione senza soluzione di continuità. Onestamente, potrebbe non essere nemmeno necessario leggere la documentazione per consentire l'autenticazione a due fattori. È così semplice!

6. Duo Autenticazione a due fattori

Il plug-in duo rende l'integrazione di sicurezza a due fattori nel sito Web di WordPress facile e semplice. Gli utenti e gli amministratori possono verificare le loro identità utilizzando i dispositivi che già possiedono, come token hardware o telefoni cellulari. Inoltre, questo plug -in ti aiuta a monitorare le attività degli utenti sul tuo sito, aggiungendo un ulteriore livello di responsabilità.

Come usare il plug -in duo

Per iniziare a utilizzare il plugin:

1. Installa e attivalo sul tuo sito WordPress.
2. Iscriviti ai servizi di Duo per accedere alle chiavi di sicurezza.
3. Definire i ruoli utente specifici che richiedono autenticazione a due fattori.

Opzioni di autenticazione

Il plugin duo offre più metodi di autenticazione:

• SMS OTPS : password una tantum inviate ai telefoni cellulari tramite servizi di messaggistica.
• Token hardware OTP : password generate da dispositivi fisici.
• Duo Mobile App : gli utenti possono generare OTP o utilizzare l'autenticazione a un tap tramite l'app.
• Autenticazione di chiamata : Duo chiama il telefono dell'utente per la conferma.

Queste opzioni versatili garantiscono un'autenticazione sicura e flessibile per tutti gli utenti.

Quale plugin è giusto per te?

Speriamo che questo elenco ti abbia aiutato a trovare il tuo plug-in di autenticazione a due fattori preferito. Ci sono anche suite di sicurezza all-in-one come Wordfence, Solid Security e All-In-One Security (AIOS) che includono 2FA e una serie di altre funzionalità di sicurezza. Se sei ancora indeciso, ti consigliamo di installarli tutti e di provarli. La bellezza di WordPress è quanto puoi fare tutto questo. Installa un plug -in, attivalo e provalo. Non è felice? Disattivare ed eliminarlo.

Pensieri finali

Ricorda, la sicurezza di WordPress è un aspetto vitale del mantenimento di un sito Web di successo. L'implementazione dell'autenticazione a due fattori è un modo efficace per mantenere gli utenti non autorizzati fuori dall'area di amministrazione di WordPress. Richiedendo una fase di verifica aggiuntiva, 2FA protegge il tuo sito da violazioni della sicurezza, attacchi di forza bruta e credenziali di accesso compromesso.

Sia che tu opti per i plug -in WordPress o altri metodi di integrazione, la configurazione di 2FA è un modo semplice ma potente per migliorare la sicurezza del tuo sito Web. Prendersi il tempo per attuare questa misura precauzionale ti darà tranquillità e contribuirà all'affidabilità a lungo termine della tua presenza online. Rimani proattivo e dà la priorità alla sicurezza per proteggere il tuo sito WordPress dalle potenziali minacce.

Quale plugin 2FA è il tuo preferito? Hai domande, preoccupazioni o suggerimenti da condividere? Ci piacerebbe avere tue notizie nella sezione commenti.