I grandi siti web come Facebook e Google prendono sul serio la sicurezza e chiedono di utilizzare l’autenticazione a due fattori (2FA) per proteggere il proprio account. Questo perché la 2FA aggiunge un ulteriore livello di sicurezza che, secondo la nostra esperienza, rende molto più difficile l’accesso agli hacker.
Ora potete rendere il vostro sito WordPress altrettanto sicuro. L’aggiunta dell’autenticazione a due fattori per i vostri utenti WordPress è una mossa intelligente, sia che gestite un piccolo blog o un negozio online molto frequentato.
Questo articolo vi guiderà nell’impostazione della 2FA sul vostro sito WordPress utilizzando un plugin e un’app autenticatore. È più facile di quanto si pensi e fa una grande differenza nel mantenere il vostro sito sicuro.
Perché aggiungere l’autenticazione a due fattori in WordPress?
Uno dei trucchi più comuni utilizzati dagli hacker è quello chiamato ” attacco a forza bruta”. Durante uno di questi attacchi, utilizzano script automatici che cercano di indovinare il nome utente e la password giusti per poter accedere al vostro sito WordPress.
Un attacco di forza bruta riuscito può consentire agli hacker di accedere all’area di amministrazione del vostro sito web. Possono installare malware, rubare informazioni sugli utenti e cancellare tutto ciò che è presente sul vostro sito.
Uno dei modi più semplici per proteggere il vostro sito WordPress dal furto di password è aggiungere l’autenticazione a due fattori (2FA). Con questa impostazione, per accedere al vostro sito web dovrete inserire sia la vostra password che un codice secondario (da un’app, un’e-mail o un messaggio di testo).
In questo modo, anche se qualcuno rubasse la password, dovrebbe comunque inserire un codice di sicurezza dal telefono per accedere.
Che cos’è un’app Authenticator?
Esistono diversi modi per impostare il login in due passaggi in WordPress. Tuttavia, il metodo più sicuro e semplice è l’utilizzo di un’app Authenticator.
Un’app autenticatore è un’applicazione per smartphone che genera una password temporanea una tantum per gli account salvati in essa.
In pratica, l’app e il server utilizzano una chiave segreta per crittografare le informazioni e generare codici monouso che possono essere utilizzati come secondo livello di protezione.
Ci sono molte applicazioni disponibili gratuitamente:
- L’applicazione più popolare è Google Authenticator, ma non è la scelta migliore. Infatti, se si perde il telefono, non c’è modo di recuperare gli account a meno che non si crei una copia di backup in anticipo.
- Vi consigliamo di utilizzare Authy, un’applicazione gratuita e facile da usare che consente anche di salvare i vostri account sul cloud in formato crittografato. In questo modo, se si perde il telefono, è sufficiente inserire la password principale per ripristinare tutti gli account.
- Altri gestori di password come LastPass e 1Password sono tutti dotati di una propria versione di autenticatore. Sono migliori di Google Authenticator perché consentono di ripristinare le chiavi.
Per questo tutorial utilizzeremo Authy. Se volete, potete seguire la nostra guida utilizzando un’altra applicazione, poiché funzionano tutte allo stesso modo.
Detto questo, vediamo come aggiungere la 2FA in WordPress. Fate semplicemente clic sui link sottostanti per passare al metodo che preferite:
Vediamo ora come aggiungere facilmente e gratuitamente la verifica a due fattori alla schermata di login di WordPress.
Metodo 1: Aggiungere l’autenticazione a due fattori con WP 2FA
Questo metodo è facile e consigliato per tutti gli utenti. È flessibile e consente di applicare l’autenticazione a due fattori a tutti gli utenti.
Innanzitutto, è necessario installare e attivare il plugin WP 2FA – Autenticazione a due fattori. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.
Dopo l’attivazione, la procedura guidata per l’impostazione di WPA 2FA verrà avviata automaticamente. Altrimenti, è possibile visitare la pagina Utenti ” Il tuo profilo e scorrere fino alla sezione “Impostazioni WP 2FA”.
Facendo clic sul pulsante “Configura l’autenticazione a due fattori (2FA)” si avvia la procedura di configurazione guidata.
La configurazione guidata di WP 2FA
È sufficiente fare clic sul pulsante “Let’s Get Started!” per iniziare a configurare il plugin.
Nella pagina successiva, vi verrà chiesto di scegliere un metodo di autenticazione.
Esistono due opzioni:
- Codice una tantum generato con l’applicazione 2FA scelta (consigliato)
- Codice unico inviato via e-mail
Si consiglia di scegliere il metodo di autenticazione tramite app 2FA (TOTP), in quanto più sicuro e affidabile.
Una volta effettuata la scelta, è possibile fare clic sul pulsante “Continua configurazione” per passare alla pagina successiva della procedura guidata di configurazione.
Vi verrà chiesto quali metodi 2FA alternativi volete che i vostri utenti utilizzino nel caso in cui il metodo 2FA primario fallisca, ad esempio se perdono il telefono.
Nel piano gratuito, sarà disponibile solo il metodo del codice di backup. Se desiderate altri metodi 2FA alternativi, dovrete effettuare l’aggiornamento a WP 2FA Premium.
È sufficiente fare clic sul pulsante “Continua impostazione” per passare alla pagina successiva.
In questa pagina è possibile rendere obbligatorio il login a due fattori per alcuni o tutti gli utenti. Vi consigliamo di farlo, soprattutto se gestite un sito WordPress multiutente, come un sito associativo.
Se si desidera applicare la 2FA a tutti gli utenti del sito web, è sufficiente selezionare l’opzione “Tutti gli utenti” e fare clic su “Continua la configurazione”.
Ora tutti gli utenti dovranno utilizzare la 2FA.
Tuttavia, forse ci sono alcuni utenti sul vostro sito web che non volete obbligare a usare la 2FA. La pagina successiva consente di digitare i nomi utente o i ruoli di questi membri del team.
Una volta fatto ciò, facendo clic sul pulsante “Continue Setup” si accede a una pagina in cui è possibile decidere entro quanto tempo gli utenti devono iniziare a utilizzare la 2FA.
Si può richiedere che inizino subito, oppure si può concedere un periodo di tolleranza di, ad esempio, 3 giorni, in modo che abbiano il tempo di configurare le cose. Basta cliccare sull’opzione che si desidera utilizzare sul proprio sito web.
Se si desidera concedere un periodo di tolleranza, è possibile scegliere il numero di ore o di giorni. L’impostazione predefinita di 3 giorni funziona bene per la maggior parte dei siti web.
Sono disponibili anche opzioni per il comportamento da adottare al termine del periodo di tolleranza se alcuni utenti non hanno impostato la 2FA. Potete lasciarli entrare ma non farli accedere alla dashboard o bloccarli del tutto. Per la maggior parte dei siti web, la prima opzione è la migliore.
Una volta effettuata la scelta, si può fare clic su “Tutto fatto” per uscire dalla procedura guidata. Congratulazioni, avete impostato l’autenticazione a due fattori sul vostro sito!
Verrà visualizzata la schermata Fine dell’installazione con un messaggio di congratulazioni. Verrà inoltre visualizzato un pulsante che consentirà di configurare la 2FA per il proprio account utente. È necessario fare clic sul pulsante “Configura 2FA ora”.
Configurazione dell’autenticazione a due fattori per il proprio account utente
Verrà avviata una nuova procedura guidata per impostare l’autenticazione a due fattori per il proprio account utente. Agli altri utenti del vostro sito web verrà richiesto di fare lo stesso.
La prima cosa da decidere è quale metodo 2FA si desidera utilizzare. Dovreste vedere l’opzione per un codice una tantum tramite un’app autenticatore. È possibile che vengano visualizzate anche altre opzioni, a seconda delle scelte effettuate durante la procedura guidata di configurazione.
È sufficiente scegliere l’opzione “Codice una tantum tramite app 2FA” e poi fare clic sul pulsante “Passo successivo”.
Il plugin mostra ora un codice QR e un codice di testo.
È necessario scansionare il codice QR utilizzando un’app di autenticazione. In alternativa, è possibile digitare manualmente il codice di testo nell’app.
Ora dovrete prendere il vostro dispositivo mobile e aprire l’app di autenticazione che preferite. Le schermate che seguono utilizzano Authy, ma altre app funzionano in modo simile.
Innanzitutto, fare clic sul pulsante “+” o “Aggiungi account” nell’app Authenticator.
L’applicazione chiederà quindi il permesso di accedere alla fotocamera del telefono.
È necessario autorizzare questa autorizzazione e poi toccare il pulsante “Scansione codice QR” in modo da poter scansionare il codice QR mostrato nella pagina delle impostazioni del plugin sul computer.
Una volta riconosciuto il codice QR, l’app inizierà automaticamente a salvare l’account.
Successivamente, è possibile modificare il logo e il nickname predefiniti dell’account. Quando si è pronti, si deve toccare il pulsante “Salva”.
L’app Authenticator salverà ora l’account del sito web.
Successivamente, verrà visualizzata una password unica. È necessario inserirla nelle impostazioni del plugin sul computer.
Ora è necessario tornare al computer.
Nella procedura guidata di configurazione del plugin, fare clic sul pulsante “Sono pronto” per continuare.
A questo punto il plugin chiederà di verificare la password unica.
È sufficiente digitare il codice dall’app mobile nel campo “Codice di autenticazione” prima che scada.
Successivamente, si deve fare clic sul pulsante “Convalida e salva” per finalizzare la configurazione.
Successivamente, vi sarà data la possibilità di generare e salvare un elenco di codici di backup. Questi codici possono essere utilizzati nel caso in cui non si abbia accesso al telefono.
Fare clic sul pulsante “Genera elenco di codici di backup”.
I codici di backup verranno generati e visualizzati.
Potete scaricare questi codici di backup in una posizione sicura sul vostro computer, stamparli e metterli in un posto sicuro, oppure inviarli a voi stessi via e-mail. Assicuratevi di tenerli in un luogo raggiungibile se non avete il telefono.
Dopodiché, è possibile fare clic sul pulsante “Sono pronto, chiudi la procedura guidata” per uscire dalla procedura guidata.
Utilizzo dell’autenticazione a due fattori durante l’accesso
Al prossimo accesso, gli utenti vedranno una notifica che li avvisa della necessità di impostare l’autenticazione a due fattori, insieme alla data di scadenza del periodo di grazia.
Possono cliccare su un pulsante per configurare subito la 2FA o scegliere di essere avvisati al prossimo accesso.
Facendo clic sul pulsante “Configura 2FA ora”, verranno eseguiti gli stessi passaggi della configurazione di 2FA per il proprio account utente nella sezione precedente.
Quando accedono dopo aver impostato l’autenticazione a due fattori, vedranno la schermata di accesso a WordPress come di consueto. Tuttavia, quando inseriscono il nome utente e la password, viene visualizzata una seconda schermata che richiede il codice dell’app Authenticator.
Prima di poter effettuare l’accesso, è necessario inserire il codice dall’app sul telefono. In alternativa, possono inserire un codice di riserva se non hanno con sé il telefono.
Questo rende il vostro sito web più sicuro. Se un hacker viene a conoscenza del nome utente e della password di uno dei vostri utenti, non sarà in grado di accedere a meno che non abbia accesso anche al suo telefono.
Suggerimento: se il vostro sito WordPress utilizza una pagina di modulo di accesso personalizzata, potete anche creare una pagina personalizzata in cui gli utenti possono gestire le impostazioni dell’autenticatore a due fattori senza accedere all’area di amministrazione di WordPress.
Metodo 2: Aggiungere l’autenticazione a due fattori Utilizzando l’autenticazione a due fattori
Questo metodo è meno flessibile, in quanto non consente di imporre il login a due fattori a tutti gli utenti. Ogni utente dovrà impostarlo da solo e potrà disattivarlo dal proprio profilo. Tuttavia, è un metodo semplice e veloce se si vuole impostare il 2FA solo per il proprio account.
Per prima cosa, è necessario installare e attivare il plugin Two-Factor. Per maggiori dettagli, consultate la nostra guida passo passo su come installare un plugin di WordPress.
Dopo l’attivazione, è necessario visitare la pagina Utenti ” Profilo e scorrere fino alla sezione “Opzioni a due fattori”.
Da qui, è necessario scegliere un’opzione di accesso a due fattori. Il plugin consente di utilizzare l’e-mail, un’app autenticatore e i metodi FIDO U2F Security Keys.
Si consiglia di utilizzare il metodo dell’app autenticatore. È sufficiente scansionare il codice QR sullo schermo utilizzando un’app di autenticazione come Google Authenticator, Authy o LastPass Authenticator.
Una volta scansionato il codice QR, l’app mostrerà un codice di verifica che dovrà essere inserito nelle opzioni del plugin e cliccare sul pulsante “Invia”.
Il plugin imposta ora la chiave segreta. È possibile reimpostare questa chiave in qualsiasi momento dalla pagina delle impostazioni per eseguire nuovamente la scansione del codice QR.
Non dimenticate di cliccare sul pulsante “Aggiorna profilo” in fondo alla pagina per salvare le impostazioni.
Ora, ogni volta che accedete al vostro sito web WordPress, vi verrà chiesto di inserire il codice di autenticazione generato dall’app sul vostro telefono.
Domande frequenti sull’autenticazione a due fattori (2FA) in WordPress
Ecco le risposte ad alcune delle domande più frequenti sull’utilizzo del login in due passaggi in WordPress.
1. Come faccio ad accedere con 2FA se non ho accesso al mio telefono?
Se si utilizza un’app di autenticazione con un’opzione di backup nel cloud, come Authy, è possibile installare l’app anche sul computer portatile.
In questo modo è possibile accedere ai codici di autenticazione anche quando non si ha con sé il telefono. Inoltre, consente di ripristinare facilmente le chiavi segrete quando si acquista un nuovo telefono.
Molte app di autenticazione consentono anche di generare codici di backup. Questi codici possono essere utilizzati come passcode una tantum quando non si ha accesso al telefono.
2. Come accedere senza codici dalla mia app Authenticator?
Se non si ha accesso al telefono, al portatile o ai codici di backup, è possibile accedere solo disattivando il plugin 2FA.
Potete consultare la nostra guida su come disattivare tutti i plugin di WordPress quando non riuscite ad accedere all’area di amministrazione.
Una volta disattivati tutti i plugin, si disattiverà anche il plugin di autenticazione a due fattori e si potrà accedere al proprio sito WordPress. Una volta effettuato l’accesso, è possibile riattivare i plugin e ripristinare l’impostazione dell’autenticazione a due fattori.
3. Devo proteggere con una password la cartella di amministrazione di WordPress?
La sicurezza di un sito web funziona al meglio quando si dispone di più livelli di sicurezza per proteggere il sito, a partire dalle basi come l’utilizzo di HTTPS e di un hosting WordPress sicuro.
La verifica a due fattori rende sicuro il vostro accesso a WordPress, ma potete renderlo ancora più sicuro proteggendo con una password la directory di amministrazione di WordPress. Ciò significa che gli utenti non potranno accedere alla vostra pagina di login se prima non inseriscono un nome utente e una password.
Guide di esperti sulla protezione dell’accesso a WordPress
Ora che sapete come aggiungere la verifica a due fattori a WordPress, potreste voler vedere altri articoli relativi a come rendere più sicuro il login a WordPress.
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
- Come aggiungere il CAPTCHA nel modulo di accesso e registrazione di WordPress
- Come aggiungere domande di sicurezza alla schermata di login di WordPress
- Come disattivare i suggerimenti di accesso nei messaggi di errore di accesso di WordPress
- Come proteggere con password la directory di amministrazione di WordPress (wp-admin)
- Come limitare l’accesso per IP al file wp-login.php in WordPress
- Come aggiungere il login senza password in WordPress con i link magici
- Come proteggere il vostro sito WordPress dagli attacchi Brute Force
Speriamo che questo articolo vi abbia aiutato ad aggiungere la verifica a due fattori per il login di WordPress. Potreste anche voler consultare la nostra guida su come ottenere un certificato SSL gratuito per il vostro sito WordPress o la nostra scelta dei migliori plugin di sicurezza per WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Felix
Cloud Syncing feature is now available at Google Authenticator. So, you won’t lose your accounts even if the phone is lost. For me, personally, I use Google Authenticator because it’s more convenient for me as a Google user.
Moinuddin Waheed
two factor authentication is a must have things for the security of the websites.
I have used it after learning a horrible lesson from a shared hosting account. my website was corrupted and malfunctioned and I had no clue what to do.
when I made fresh installation the first thing I did to enable two factor authentication.
this might at times seem an additional thing to do while logging in but it saves from a large headache that may cause if account is compromised.
I want to know how the hackers or brute force attackers target a website?
do they have database of websites stolen from hosting providers or just they do it randomly?
WPBeginner Support
There are different ways that sites are targeted but in the long run it is random.
Admin
Jiří Vaněk
I use two-factor authentication for administration integrated into the Wordfence plugin, which also serves for overall website protection. Additionally, I would recommend changing the URL address from wp-admin to something custom for added security.
WPBeginner Support
While that can be done we would warn against it. If you change the wp-admin url it can cause conflicts with some plugins and can make any site troubleshooting more difficult.
Admin
Jiří Vaněk
Okay, thank you for the advice. I’ve changed the URL on many websites, and so far, I’ve never had any issues with it. It might also be because I use a very similar, trusted series of plugins on many of these sites that I’m familiar with. Nevertheless, thanks for the warning.
J P Welch
I’d like to use 2FA on one link to several pages of data, but not the entire site. Is that possible?
WPBeginner Support
While possible, we don’t have a recommended plugin to achieve that at the moment, we will be sure to keep an eye out!
Admin
Skye
What if you migrate your website to a different domain- will your 2FA be linked to the old domain? Would you have to deactivate it before migrating your website to the new host and domain?
Bikash Rai
How to remove two factor authentication that I get every time I login. I want to simply get rid of this thing.
Thanks in advance!
WPBeginner Support
It would depend on which method you used to set it up, if you used the plugin then you would remove the plugin to remove the two factor authentication. Should you be unable to remove it, if you reach out to your hosting provider they should be able to assist.
Admin
MuZa
Hey please update this post. This plugin is too old and not tested on three major updates of WordPress.
WPBeginner Support
Thank you for letting us know about the plugin not being updated we’ll be sure to take a look at it. The Two Factor SMS plugin is the only one not updated, the first plugin has been updated
Admin
Lisa Smith
Found this to be really helpful related to Two Factor, but FYI – the Two Factor SMS plugin hasn’t been updated in several WP versions.
WPBeginner Support
Thank you for letting us know, we’ll be sure to take a look into this for other plugin options
Admin
Harman
You can simply do it via wordpress.com.
Anna Walton
I’ve followed your exact instructions just now to set up 2FA with Twilio. I logged out after finishing the set-up as per the article, and now I can’t get back into my site! I get the code from Twilio, but it says there’s an error! Unfortunately, I’d not yet set up the 2FA with the authenticator app, as I followed the steps in the article, which was to log out first to see it working. Can you advise please? I’ve checked your article https://www.wpbeginner.com/wp-tutorials/locked-out-of-wordpress-admin/, but this doesn’t seem to cover getting locked out due to 2FA error. I use your site loads, and think your guidance is great! Please help on this one!!
WPBeginner Support
Hi Anna,
You can manually delete the plugin using FTP. Connect to your website and go to /wp-content/plugins/ folder and then delete two-factor and two-factor-sms folders. You can always reinstall the plugins after login.
Admin
Patrick Bartkus
FreeOTP is an Open Source alternative to Google Authenticator. It is not controlled by Google and is maintained by Red Hat under the Apache 2.0 license. It is available for iOS and Android. It also works on Google sites.