Come impostare l’autenticazione a due fattori con WordPress

Aggiornato il: 26-06-2022 22:05

Introduzione

L’autenticazione a due fattori è utile per proteggere i nostri account da accessi indesiderati: se infatti di norma basta inserire una password per accedere al nostro account social o email, mediante autenticazione 2FA (2 Factor Authentication) si inserisce un ulteriore livello di protezione per l’accesso. In questo articolo vedremo come funziona la 2FA nel dettaglio, come attivarla su WordPress e come funziona tecnicamente.

Come attivare l’autenticazione a due fattori su WordPress

Per quanto riguarda le versioni di WordPress hosted, attualmente il plugin Google Authenticator permette di introdurre in WP l’autenticazione “alla Google”: nella pratica, se anche un attaccante riuscisse ad indovinare username e password dell’utente, sarebbe di fatto impossibilitato a procedere oltre nel curiosare nel nostro blog, poichè dovrebbe confermare il codice inviato via SMS e, a meno che non ci abbia sottratto il telefono, non potrebbe fare più nulla (se non con probabilità  piuttosto basse di indovinare quel codice casuale).

Google Authenticator richiede un server NTP attivo e funzionante sull’hosting wordpress attivo (di solito avviene di default su ogni hosting di questo tipo) in modo da gestire correttamente il timestamp, e dalle valutazioni positive ricevute sembra essere un buon prodotto gratuito.

Al momento (11 agosto 2018) non sembrano esistere soluzioni di 2FA per WordPress con invio di SMS per l’Italia.

Dettagli tecnici

I tentativi di attacco al file wp-login.php mediante tecniche di scripting brute force – nei quali un attaccante prova ad indovinare le credenziali di accesso dell’amministratore mediante tentativi su file dizionario – rendono necessaria, cosଠcome accade su altri sistemi informatici, l’introduzione di un ulteriore fattore di sicurezza.

L’autenticazione a due fattori, sfruttata ad esempio dai siti delle banche online per rendere più protette le transazioni e le operazione di consultazione dell’account, serve esattamente a questo: Two Factor Auth (2FA) viene implementata da numerosi siti (qui c’è una lista aggiornata), attualmente, tra cui anche Google / Gmail e Box.com, ed è già  presente ed attivabile su WordPress.com.

Il suggerimento di base è quello di adottare questo sistema di sicurezza, che rende il login tradizionale da una procedura con una semplice verifica:

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919
  1. verifica la correttezza di username e password;

un processo con duplice autenticazione:

  1. verifica la correttezza di username e password;
  2. invia un SMS con un codice casuale al cellulare del proprietario dell’account, e richiedilo come “seconda password”.

Come variante più generale, l’invio di SMS può essere sostituito dalla generazione, a parte, di un codice di autenticazione denominato “One Time Password“, cioè una password univoca che funzioni solo per brevi periodi di tempo e venga rigenerata volta per volta, in modo da ridurre le possibilità  per l’attaccante di violare il sistema. Di solito, superata la fase due, l’utente acquisisce un cookie personalizzato che fa in modo che i successivi login vengano “dati per buoni” sulla stessa macchina (PC o smartphone), in modo che l’utente non sia costretto a ricevere un messaggio ogni volta, quantomeno per un dato periodo di tempo. Ovviamente è necessario non lasciare sessioni aperte su computer pubblici e proteggere sempre l’accesso a questi dispositivi da occhi indiscreti.

Photo by dogsbodyorg



Questo blog pubblica contenuti ed offre servizi free da 11 anni. – Leggi un altro articolo a caso – Per informazioni contattaci
Non ha ancora votato nessuno.

Ti piace questo articolo? Vota e fammelo sapere.

Come impostare l’autenticazione a due fattori con WordPress
Keliweb : il servizio di hosting italiano
5752309755 0932b0efb4 two factor
Torna su