Come recuperare da un blocco 2FA di WordPress

L'utilizzo di 2FA per proteggere il tuo sito Web WordPress è di gran lunga una delle migliori misure di sicurezza che puoi adottare. Aggiunge un ulteriore livello di sicurezza pur essendo molto facile da configurare. Inoltre, ha una comprovata esperienza nel bloccare la stragrande maggioranza degli attacchi basati sull'accesso, come gli attacchi di forza bruta. Mentre molti amministratori di WordPress hanno già implementato la 2FA, molti ancora evitano questa tecnologia. Uno dei motivi principali di ciò è l'idea sbagliata sui blocchi.

In questo articolo, esamineremo i passaggi preventivi che puoi adottare per evitare i blocchi. Vedremo anche cosa puoi fare se sei stato bloccato a causa di una perdita del dispositivo 2FA o di un'interruzione del servizio.

Sommario

• • 2FA su WordPress
  • Come pianificare in anticipo: come prevenire i blocchi 2FA
  • • Periodo di tolleranza per impostare 2FA
    • Metodi alternativi di verifica 2FA
  • Come pianificare in seguito: come accedere se al momento sei bloccato
  • Perché si verificano i blocchi?
  • • Autenticazione e-mail 2FA
    • Autenticazione dell'app di autenticazione 2FA
    • WP2FA – Prendi la torta 2FA e mangiala anche tu
  • Domande frequenti
  • • Non ricevo la mia email 2FA - cosa devo fare?
    • Come posso risolvere i problemi di consegna delle e-mail di WordPress?

2FA su WordPress

2FA può essere facilmente implementato su qualsiasi sito Web WordPress utilizzando un plug-in di WordPress. Nella maggior parte dei casi, il plug-in funziona indipendentemente da qualsiasi altro servizio e non richiede alcun abbonamento di terze parti. Ciò riduce il numero di "parti mobili" nell'ecosistema. Alcuni metodi 2FA, come SMS, Whatsapp e voce, richiedono un abbonamento separato per funzionare poiché dipendono da reti di terze parti per fornire l'OTP (One Time Password) richiesto per il funzionamento di 2FA.

In questo articolo, utilizzeremo il plug-in WP 2FA per illustrare le opzioni di ripristino 2FA quando si utilizza 2FA su WordPress. Va notato che WP 2FA viene fornito con non meno di sei diversi canali di autenticazione tra cui scegliere, rendendolo uno dei plug-in WordPress 2FA più completi disponibili oggi sul mercato.

Come pianificare in anticipo: come prevenire i blocchi 2FA

Pianificare in anticipo è spesso il modo migliore per evitare i fastidi di un blocco 2FA. Sia che tu abbia già configurato 2FA o che tu sia ancora in fase di ricerca, ci sono passaggi che puoi adottare per evitare i blocchi. Questo non solo allevierà la tua apprensione e quella dei tuoi utenti riguardo alla tecnologia, ma eviterà anche tempi di inattività ed eliminerà la perdita di produttività.

Periodo di tolleranza per impostare 2FA

Uno dei problemi che molti amministratori di WordPress devono affrontare è che gli utenti non impostano l'autenticazione a due fattori entro il periodo di tolleranza previsto. A seconda di come è configurato il criterio, l'account utente potrebbe essere bloccato, richiedendo a un amministratore di sbloccarlo.

Sebbene questa potrebbe essere l'opzione più sicura, se sei un amministratore che gestisce più della tua giusta quota di utenti distratti, potresti voler bloccare l'accesso al dashboard fino a quando non viene configurato 2FA. Ciò garantisce che gli utenti configurino 2FA senza richiedere l'intervento da parte tua per sbloccare l'account.

Metodi alternativi di verifica 2FA

WP2FA offre una selezione di metodi di autenticazione 2FA alternativi per aiutarti a prevenire i blocchi. Poiché i blocchi possono verificarsi per vari motivi che possono essere al di fuori del tuo controllo, ad esempio un utente che dimentica o perde il telefono, adottare misure preventive è sempre una scelta intelligente.

Metodi di verifica alternativi ti consentono di scegliere un metodo 2FA alternativo in caso di errore del metodo principale. Qui, un utente può impostare uno qualsiasi dei metodi disponibili come metodi primari e quindi preconfigurare un metodo secondario. Illustriamolo con un esempio. Un utente potrebbe avere l'app TOTP Authenticator impostata come metodo principale e l'e-mail come secondo metodo. Se dovessero dimenticare il telefono, portarlo in riparazione o esaurire la batteria, possono semplicemente scegliere di ricevere il loro OTP via e-mail.

WP 2FA offre anche codici di backup che gli utenti possono pre-scaricare da utilizzare nel caso in cui non fossero in grado di accedere con il loro metodo principale.

Come pianificare in seguito: come accedere se al momento sei bloccato

Se al momento sei bloccato e non hai configurato un metodo di backup o un metodo secondario, puoi comunque riottenere l'accesso al tuo account WordPress. Tuttavia, ci vorrà solo un po' più di lavoro, ma non dovrebbe richiedere più di qualche minuto.

Prima di andare oltre, dovresti prima controllare se c'è qualche altro utente amministratore che ha ancora accesso a WordPress. In tal caso, puoi chiedere loro di reimpostare la tua configurazione 2FA tramite la pagina del profilo.

Se nessuno può reimpostare la tua configurazione 2FA, dovrai disabilitare manualmente il plug-in in modo da poter accedere a WordPress senza dover inserire il tuo codice 2FA. Avrai bisogno dell'accesso FTP/SFTP o SSH per rinominare il nome della cartella del plugin. Ciò disattiverà efficacemente il plug-in, consentendoti di accedere senza 2FA.

Perché si verificano i blocchi?

I blocchi 2FA possono verificarsi per diversi motivi, a seconda del metodo scelto. Sapere perché non ricevi un codice o perché il codice non funziona può aiutarti a risolvere i problemi molto più velocemente.

Autenticazione e-mail 2FA

L'autenticazione e-mail è uno dei modi più semplici con cui gli utenti possono ottenere il proprio codice di autenticazione per accedere. Sebbene questo metodo funzioni perfettamente, è necessario ricordare che dipende dal fatto che il tuo sito Web WordPress sia in grado di inviare e-mail in modo tempestivo. Dipende anche da fattori al di fuori del tuo controllo, come il provider di hosting che inoltra tali e-mail.
WordPress utilizza la funzione wp_mail per inviare e-mail. La funzione si basa sulla funzione di posta PHP, che non è l'opzione più affidabile per garantire la consegna delle e-mail. Un'altra cosa da considerare è il tuo hosting. Alcuni provider di hosting vietano completamente la posta elettronica per evitare che i loro server vengano utilizzati come spam.

Autenticazione dell'app di autenticazione 2FA

App come Google Authenticator e Authy spesso forniscono un modo semplice per ricevere il codice una tantum richiesto per l'accesso con 2FA. Queste app utilizzano un algoritmo basato sul tempo per rimanere sincronizzate, con la prima sincronizzazione eseguita tramite un codice QR.

App e server possono non essere sincronizzati, quindi la risincronizzazione dell'app potrebbe risolvere i problemi. Se stai cambiando telefono, Google Authenticator ti consente di trasferire i tuoi codici da un telefono all'altro. D'altra parte, Authy ti consente di eseguire backup su cloud dei tuoi codici, quindi tutto ciò che devi fare per recuperare i tuoi codici è accedere con le tue credenziali, che si tratti di un nuovo telefono o anche del tuo PC o laptop.

WP2FA – Prendi la torta 2FA e mangiala anche tu

La sicurezza di WordPress è fondamentale per garantire la longevità del tuo sito web. 2FA è un frutto a basso impatto che offre un ottimo rapporto qualità-prezzo. Con molte grandi aziende ed esperti che si stanno mobilitando dietro la tecnologia, la sua efficacia è indiscutibile. Tuttavia, molti amministratori temono che i blocchi degli utenti siano più problematici di quanto valga la 2FA. Come ha mostrato questo articolo, questo non è il caso di WP2FA.

Con così tanti modi per evitare i blocchi degli utenti, non c'è motivo per cui gli amministratori di WordPress non dovrebbero offrire 2FA ai propri utenti. Pianificare in anticipo è sempre consigliato, ma siamo tutti più saggi quando guardiamo in retrospettiva. Questo è il motivo per cui abbiamo anche accennato a cosa puoi fare per ripristinare l'accesso dopo il fatto, fornendoti tutte le informazioni necessarie per assicurarti che la tua implementazione 2FA sia un clamoroso successo.

Domande frequenti

Non ricevo la mia email 2FA - cosa devo fare?

Ci sono molti possibili motivi per cui potresti non ricevere la tua email 2FA. Nella maggior parte dei casi, potrebbe trattarsi di un problema con WordPress che ha difficoltà a inviare e-mail o un nodo della catena, per un motivo o per l'altro, non inoltra correttamente l'e-mail.

WP 2FA viene fornito con un tester di posta elettronica integrato che può consentire di verificare che l'e-mail venga inviata. Tuttavia, questa non è l'intera storia e, come tale, vale la pena dedicare un minuto a capire come vengono inviate e consegnate le e-mail.

In poche parole, WP 2FA compone l'e-mail e la inoltra a WordPress, che quindi invia l'e-mail al server SMTP configurato. WordPress lo fa usando una funzione chiamata wp_mail, che è costruita sulla funzione mail di PHP. Mentre questo tende a funzionare abbastanza bene fuori dagli schemi, può essere soggetto a problemi.

Come posso risolvere i problemi di consegna delle e-mail di WordPress?

Un plugin come Check & Log Email è un ottimo strumento da avere. Registra tutte le email inviate e fornisce strumenti per il debug. WP 2FA ti consente anche di testare la consegna della posta elettronica a cui puoi accedere navigando su WP 2FA> Impostazioni> Impostazioni e modelli di posta elettronica. Se tutto va bene qui, il problema potrebbe trovarsi più in basso. Potresti prendere in considerazione la possibilità di optare per un plug-in di posta elettronica SMTP per migliorare l'affidabilità della consegna della posta elettronica.