In questi giorni sto scrivendo diversi articoli su come rendere WordPress più sicuro e quindi proteggerlo da possibili attacchi informatici. Oggi vi spiego come potete installare un ulteriore livello di protezione della pagina di login, tramite una verifica in due passaggi.
Esistono diversi modi con i quali una password può cadere in mano a dei malintenzionati. Se utilizzate la stessa password per diversi siti web, potete rischiare di perderla aumentando la possibilità di essere hackerati. Se il vostro computer è infetto da malaware o se condividete la vostra password con qualcun’altro. L’inserimento dell’autenticazione a due fattori sta diventando molto comune ultimamente e la cosa non può che far piacere. Anche WordPress.com ha deciso di introdurre la possibilità di aggiungere uno “strato ulteriore di protezione” alla semplice autenticazione con password, vediamo insieme come abilitarla rapidamente anche su un sito WordPress self-hosted.
Cos’è la verifica in due passaggi?
La verifica in due passaggi aggiunge un ulteriore livello di sicurezza agli account di WordPress, grazie a questa tecnica, nel momento del login, verrà richiesto di immettere un codice di verifica oltre al nome utente e alla password.
In questo modo è possibile proteggere l’account degli utenti dall’accesso non autorizzato nel caso in cui qualcuno riesca a ottenere la password. Anche se una password viene indovinata o rubata, i malintenzionati non possono accedere senza i codici di verifica dell’utente, questi infatti sono ottenibili solo tramite il proprio telefono cellulare.
Dal momento che il vostro blog è direttamente connesso con il vostro cellulare, allora voi sarete gli unici ad avere accesso al codice univoco generato ad ogni tentativo di login. Il codice univoco identificativo scade dopo un certo periodo di tempo e viene quindi cancellato per ovvi motivi di sicurezza.
Requisiti necessari prima di iniziare
- Un telefono cellulare che può ricevere il codice di verifica tramite SMS o chiamata telefonica.
- Un telefono Android, BlackBerry o iPhone. Questi dispositivi utilizzano un’applicazione per generare il codice di verifica.
- Un plugin da installare su WordPress (Tra i più famosi Duo Two-Factor Authentication o Google Authenticator 2-step Verification)
Come impostare la verifica in due passaggi di Google Authenticator
1. Per prima cosa dovete installare l’applicazione Google Autenticator sul vostro smartphone, potrete trovarla all’interno dell’Apple Store o del Google Market, a seconda che stiate utilizzando iOS o Android. Spiegherò succesivamente a cosa serve questa applicazione e come utilizzarla nel modo corretto.
2. Installate ed attivate in WordPress il plugin Google Autenticator
3. Nel menu di WordPress all’nterno del pannello di amministrazione andate alla voce Utenti -> Profilo e troverete le impostazioni di Google Authenticator come vedete nell’immagine di seguito.
Active – Spuntate questa opzione se volete attivare e utilizzare Google Authenticator nel vostro blog. (Spuntate quetsa voce solo dopo avere impostato le altre voci e finisto con tutti i settaggi del plugin)
Relaxed Mode – Normalmente il codice di verifica scade e viene rigenerato ogni minuto. Utilizzando questa opzione invece questo processo verrà eseguito ogni 4 minuti. Non vi consiglio di attivare questa opzione a meno che non siate davvero leti nel digitare il codice di verifica, il quale è di soli 6 caratteri.
Description and Secret Key – La descrizione vi permetterà di identificare il vostro blog all’intenro dell’applicazione sui vostri smartphone. La chiave segreta o il QR code permetterà di associare il vostro blog in maniera univoca. Il QR code fuziona solamente se inserite una descrizione senza spazi.
Enable App Password – Dovete attivare questa opzione solo se utilizzate XML-RPC (remote publishing) sul vostro blog. Se usate WordPress iOS app, o Windows Live Writer. Non vi consiglio di spunatre questa opzione in quanto potrebbe diminuire la sicurezza di login.
Una volta che avete configurato il pluign all’interno del pannello di amministrazione di WordPress passiamo all’utilizzo dell’applicazione che avete scaricato ed installato nei vostri smartphone.
1. Vi consiglio di utilizzare l’opzione time-based piuttosto che counter-based. Time-based offre una protezioen migliore contro il phishing e keyloggers dal momento che ogni codice è valido solo per un certo lasso di tempo. Se volete utilizzare l’opzione counter-based, dovete premere il pulsante refresh per generare un nuovo codice.
2. Scansione del QR Code vi permette di connettere il vostro smartphone senza utilizzare la Secret Key.
Da questo momento in poi ogni volta che volete eseguire il login vi comparirà il campo nel quale scrivere il codice di verifica di Google Authenticator. Spero che questa guida sia stata utile. Avete deciso di implementare questa funzione nel vostro blog? Scrivete delle vostre esperienze.
Nelida Hollar dice
Howdy! I could have sworn I’ve been to this site before but after checking through some of the post I realized it’s new to me. Anyhow, I’m definitely glad I found it and I’ll be book-marking and checking back often!
Vincenzo dice
Hi Nelida, thanks for yor comment 😉
Marco dice
Bell’articolo ma fastidiosissimi i popup che appaiono su questo sito.
Vincenzo Vecchio dice
Ciao Marco ti ringrazio e terrò in considerazione il tuo feedback riguardo ai popup.