È fondamentale utilizzare una password forte per proteggere il tuo sito WordPress. Tuttavia, una password da sola non fornirà una protezione adeguata contro molte minacce che rappresentano un serio rischio per il tuo sito. Un esempio sono gli attacchi brute force, in cui un automatismo prova ogni combinazione di caratteri fino a trovare quella corretta. Non scordare che se utenti non autorizzati ottengono accesso al back-end, potresti perdere tutto il sito web e mettere a rischio i dati dei tuoi utenti.
Utilizzando l’autenticazione a due fattori (2FA), puoi aggiungere un ulteriore livello di sicurezza al sito. È relativamente semplice da configurare e questa funzione ridurrà significativamente il rischio di utenti non autorizzati ad accedere al tuo portale.
In questo articolo, ti spiego l’autenticazione a due fattori e come può essere utilizzata in WordPress. Ti mostrerò poi come implementare questa funzione utilizzando un semplice plugin, un’app e senza spendere un centesimo.
Per ulteriori informazioni sulla protezione del tuo sito, non perderti la guida definitiva alla sicurezza WordPress per il 2021.
Cos’è l’autenticazione a due fattori
L’autenticazione a due fattori è un livello di sicurezza che richiede sia una password che un’ulteriore fattore di autenticazione per accedere a un servizio. Per meglio capire la procedura, è bene chiedersi cosa siano i fattori di autenticazione.
Fattori di autenticazione
Per accedere a un servizio online, solitamente si usano due informazioni: l’indirizzo email (o user name) e la password. Possiamo intendere questi dati come delle chiavi: una è pubblica (o meglio, nota), l’email, mentre l’altra è segreta.
La chiave pubblica rappresenta l’identità di chi vuole accedere, ma poiché chiunque potrebbe spacciarsi per qualcun altro, è necessario richiedere un’informazione aggiuntiva. Questa informazione è un fattore di autenticazione.
I fattori si classificano in 3 tipologie:
- Ciò che sai
- Ciò che hai
- Ciò che sei
È necessario usare almeno un fattore di autenticazione per proteggere i dati o le cose. Per essere abbastanza sicuri, bisognerebbe usare un sistema di autenticazione a due fattori.
Ciò che sai
Il primo fattore di autenticazione si riferisce a un’informazione che solo tu puoi o dovresti avere. La password è un esempio classico, ma anche il pin del cellulare è un esempio valido.
La richiesta di accesso viene fatta da qualcuno con una certa identità (chiave pubblica) e la password o il pin forniscono il primo fattore di sicurezza.
Ciò che hai
Un secondo tipo di fattore di autenticazione è un oggetto di cui sei in possesso. La chiave di casa, per esempio, o la ricevuta della lavanderia, sono due esempi di questo. C’è una richiesta (entrare in casa o ritirare un capo in lavanderia) e un oggetto abilita l’azione.
Ciò che sei
Con l’avanzare della tecnologia, le misurazioni biometriche si sono fatte alla portata di tutti. Non è necessario un dispositivo particolarmente avanzato per leggere le impronte digitale, la fisionomia del volto o l’iride di una persona.
Queste informazioni che portiamo sempre con noi, sono inequivocabilmente uniche della nostra persona e non possono essere cedute a terzi. Gli altri fattori, invece, possono essere passati a un’altro individuo.
Perchè usare l’autenticazione a due fattori
Torniamo in ambito informatico e cerchiamo di capire quali sono le motivazioni per utilizzare due fattori di autenticazione.
L’autenticazione a due fattori aiuta a prevenire che i criminali accedano a un sito e che possano danneggiarlo o trafugare dati. È una seconda linea di difesa per aiutare a tenere fuori i cattivi e assicura che anche se la tua password è compromessa il tuo account rimarrà sicuro finché il secondo fattore rimane fuori dalla portata di un attaccante.
Infatti, con un solo fattore di autenticazione le probabilità di violazione dell’account sono abbastanza elevate. Le password possono essere indovinate, un oggetto può essere smarrito e alcuni tratti biometrici possono essere dedotti da una foto, o prelevati con la forza senza alcun problema.
L’autenticazione a due fattori è una funzione opt-in, il che significa che devi usarla solo se vuoi. Ma è gratuita e aggiunge un ulteriore livello di protezione, quindi perché no?
Come funziona con WordPress
In una tipica (cioè non-2FA) pagina di login di WordPress, l’utente inserisce un’email (o username) e una password e viene automaticamente concesso l’accesso al back-end del sito web. Questo significa che chiunque scopra il tuo nome utente e la password può facilmente ottenere l’accesso a ogni parte del tuo sito web.
Nella pratica, con l’autenticazione a due fattori impostata, quando inserisci la password sulla pagina di login, una notifica sarà inviata al dispositivo collegato o a un indirizzo e-mail. Questa notifica conterrà un codice unico, o eventualmente un link. Per accedere al sito web, si deve inserire un il codice o cliccare su un link autogenerato.
Questi fanno parte della tipologia di fattori di autenticazione “ciò che hai”. Per accedere a WordPress, infatti, dovrai avere accesso materiale al tuo cellulare o alla tua casella email.
Quanto è sicura la 2FA?
Rispetto alla protezione con password standard, la 2FA è molto più sicura. Dopo tutto, richiede l’uso di qualcosa che solo tu possiedi (il telefono, l’account di posta elettronica privato, etc.) al fine di ottenere l’accesso al sito.
Questo significa che la probabilità di un hacking del sito è estremamente ridotta, rendendo la 2FA il modo migliore per prevenire vari problemi di sicurezza (in particolare gli attacchi brute force).
Ora che ci siamo fatti un’idea precisa di cosa sia e di come funzioni, abilitiamo la funzione su un sito WordPress.
Abilitare l’autenticazione a due fattori
Procederemo ora con l’installazione di un plugin nel sito e di un’app sul cellulare. Le due parti verranno collegate tramite un codice, in modo che l’app comunichi in ogni momento un dato che permetta il login nel sito.
Ci sono vari plugin disponibili, così come diverse app. Puoi scegliere plugin e app indipendentemente. Se già utilizzi un’app per la 2FA per altri servizi, puoi aggiungere il tuo sito a quella.
Installare il plugin
Il plugin che ti propongo si chiama WP 2FA, è molto semplice da impostare e permette sia di impostare un’app, un indirizzo email o entrambi, come fattori di autenticazione.
Dopo aver installato e abilitato il plugin, ti ritroverai nella schermata di setup.
Una volta che sarai nella procedura di setup, dovrai seguire tutti i passaggi, tra cui installare un’app sul cellulare. Sono presenti i link per scegliere l’app che preferisci.
La procedura ti guiderà lungo i seguenti step:
Scelta del metodo di attivazione
A prescindere dal metodo che vorrai usare per accedere al sito (via one-time code dell’app o via email), il sistema ti chiede con quale dei due modi vuoi settare il plugin. Io ti consiglio di usare il one-time code generato dall’app.
Installare App e registrare il sito
Nella schermata vedrai un codice e un QR code. Dopo aver installato l’app, dovrai aggiungere il servizio premendo un pulsante a schermo. Solitamente il tasto presenta un grande “più”. L’app chiederà se vorrai scansione un QR code o immettere un codice. La scelta sta a te.
Una volta registrato il sito nell’applicazione, questa inizierà a generare dei codici che potrai usare per accedere al sito.
Quando avrai finito questo passaggio e cliccherai su “I’m ready”, dovrai immettere per la prima volta uno di questi codici, solitamente a 6 cifre.
A questo punto hai abilitato il plugin. Dalla pagina di ogni profilo utente si potrà trovare un nuovo tasto che permetterà a ognuno di abilitare l’autenticazione a due fattori. Ma non è tutto, ci sono ancora alcune impostazioni interessanti da vedere.
Scegliere come accedere al sito
In questa schermata puoi scegliere come accedere al sito, se attraverso l’uso di un codice generato dall’applicazione o tramite email. Puoi lasciare abilitate entrambe le possibilità. Ogni utente può scegliere come gestire questo aspetto in autonomia.
Nello stesso passaggio, suddiviso in 4 ulteriori passi, puoi scegliere se
- obbligare i tuoi utenti registrati a usare questo metodo di login
- se richiederlo solo per alcuni ruoli o escluderne alcuni
- quale sia il periodo di grazie (grace period), cioè quanto tempo hanno gli utenti per abilitare la funzionalità, se obbligatoria
I codici di backup
Nell’ultimo passaggio del setup, puoi generare dei codici di backup. Questi codici sono usabili una volta sola ciascuno e servono in caso tu non abbia accesso al cellulare o alle email. Per un motivo qualunque, infatti, potresti essere impossibilitato a usare il dispositivo registrato per l’autenticazione a due fattori. Potrai quindi usare uno di quei codici.
Salva i codici in un luogo ben protetto, possibilmente senza scrivere cosa siano. Puoi sempre generarne di nuovi dal tuo pannello utente.
Conclusioni
Abilitare la funzionalità di autenticazione a due fattori sul tuo sito WordPress è semplice e aumenta moltissimo la sicurezza del sito. Inoltre è gratuito.
Personalmente utilizzo l’applicazione di Google per tutti i servizi in cui ho abilitato la 2FA. La trovo molto facile da usare ed estremamente semplice.
La mia best practice è quella di abilitare la 2FA per tutti gli amministratori di un sito WordPress.
Attenzione! Se perdi il dispositivo con cui hai abilitato l’autenticazione a due fattori, dovrai usare uno dei codici di backup. Se avrai impostato la possibilità di accesso tramite codice inviato via email, anche quella è una possibilità. Non hai altre possibilità oltre queste due. Custodisci gelosamente i codici di backup.