Apri Ticket
Menu
Sicurezza Wordpress

Come implementare l’autenticazione a due fattori su WordPress

Gianluca Gentile · · 6 min di lettura
autenticazione due fattori wordpress

Come implementare l’autenticazione a due fattori su WordPress

La password da sola non basta più a proteggere il tuo sito WordPress. Attacchi brute force, phishing e data breach espongono le credenziali di milioni di utenti ogni anno. L’autenticazione a due fattori (2FA) aggiunge un secondo livello di verifica al login, rendendo l’accesso non autorizzato praticamente impossibile anche se la password viene compromessa. In questa guida ti mostro come configurare il 2FA su WordPress passo dopo passo, quale metodo scegliere e come gestire le situazioni di emergenza.

Come funziona il 2FA

L’autenticazione a due fattori richiede due elementi distinti per verificare la tua identità:

  • Qualcosa che conosci: la password.
  • Qualcosa che possiedi: il telefono (che genera un codice temporaneo), una chiave di sicurezza fisica o un’email con un codice.

Dopo aver inserito username e password, WordPress chiede un codice temporaneo che cambia ogni 30 secondi. Questo codice viene generato dall’app di autenticazione sul tuo telefono. Un attaccante che conosce la tua password non può accedere perché non ha il tuo telefono. Anche in caso di phishing, il codice rubato scade in pochi secondi ed è inutilizzabile.

Metodi 2FA disponibili per WordPress

Esistono diversi metodi per il secondo fattore di autenticazione, ciascuno con vantaggi e limitazioni:

  • App TOTP (Time-based One-Time Password): app come Google Authenticator, Authy o Microsoft Authenticator generano codici a 6 cifre che cambiano ogni 30 secondi. È il metodo più sicuro e consigliato. Non richiede connessione internet o ricezione SMS.
  • Codici via email: WordPress invia un codice alla tua email a ogni login. Meno sicuro dell’app TOTP (l’email può essere compromessa) e più lento, ma non richiede installazione di app.
  • Chiavi di sicurezza hardware (WebAuthn/FIDO2): dispositivi fisici come YubiKey che si collegano via USB o NFC. Il metodo più sicuro in assoluto, immune a phishing. Più costoso e meno pratico per l’uso quotidiano.
  • SMS: codice inviato via messaggio di testo. Sconsigliato perché vulnerabile al SIM swapping e all’intercettazione. Meglio di niente, ma le app TOTP sono superiori sotto ogni aspetto.

Configurare WP 2FA: il plugin consigliato

WP 2FA è il plugin di autenticazione a due fattori più completo e facile da configurare per WordPress. La versione gratuita supporta TOTP (Google Authenticator e simili) e codici via email. Ecco come configurarlo:

  1. Installa e attiva il plugin WP 2FA – Two-factor authentication for WordPress dalla dashboard.
  2. Il wizard di configurazione si avvia automaticamente. Scegli “App TOTP” come metodo principale.
  3. Scegli per quali ruoli utente il 2FA è obbligatorio. Come minimo, rendilo obbligatorio per gli Amministratori e gli Editor.
  4. Configura il periodo di grazia: il tempo che gli utenti hanno per configurare il 2FA dopo il primo login. Una settimana è un periodo ragionevole.
  5. Completa il wizard e configura il tuo account: scansiona il QR code con l’app di autenticazione e inserisci il codice di verifica per confermare.

Da questo momento, a ogni login dovrai inserire prima username e password, poi il codice a 6 cifre dall’app. Il processo aggiunge circa 10 secondi al login — un prezzo minimo per una sicurezza enormemente superiore.

Alternativa: Google Authenticator plugin

Se preferisci un plugin più leggero, il Google Authenticator – WordPress Two Factor Authentication (miniOrange) è un’alternativa valida. Supporta TOTP, email e domande di sicurezza nella versione gratuita. La configurazione è semplice:

  1. Installa e attiva il plugin.
  2. Vai su miniOrange 2-Factor nel menu della dashboard.
  3. Scegli “Google/Microsoft/Authy Authenticator” come metodo.
  4. Scansiona il QR code con la tua app e verifica con il codice.

Il plugin è più leggero di WP 2FA ma offre meno opzioni di gestione per siti con più utenti. Ideale per siti con un solo amministratore.

Codici di backup: essenziali

I codici di backup (o codici di ripristino) sono un elemento critico spesso trascurato. Sono codici monouso che puoi usare al posto del codice TOTP se perdi l’accesso al telefono (telefono rotto, perso, resettato). Senza codici di backup, perdere il telefono significa perdere l’accesso al sito.

Dopo aver configurato il 2FA:

  1. Genera i codici di backup dal plugin (WP 2FA li genera automaticamente durante la configurazione).
  2. Stampa i codici e conservali in un luogo fisico sicuro (cassaforte, cassetto chiuso a chiave).
  3. In alternativa, salvali in un gestore di password come Bitwarden o 1Password.
  4. Non salvarli in un file di testo sul computer o in una nota sul telefono — se il dispositivo viene compromesso, i codici sono compromessi.

Ogni codice di backup può essere usato una sola volta. Quando li esaurisci, genera un nuovo set.

Gestire il 2FA per più utenti

Se il tuo sito ha più utenti (editor, autori, collaboratori), la gestione del 2FA richiede attenzione:

  • Rendi il 2FA obbligatorio per i ruoli critici: Amministratore e Editor devono avere il 2FA attivo. Per Autori e Collaboratori, valuta in base alla sensibilità del sito.
  • Comunica in anticipo: avvisa gli utenti prima di rendere il 2FA obbligatorio. Fornisci istruzioni chiare su come installare e configurare l’app di autenticazione.
  • Periodo di grazia: concedi almeno una settimana per la configurazione. Un’attivazione improvvisa senza preavviso genererà richieste di supporto.
  • Procedura di reset: definisci una procedura per gli utenti che perdono l’accesso al telefono. Come admin, puoi resettare il 2FA di un utente dalla dashboard e permettergli di riconfigurarlo.

Cosa fare se perdi l’accesso

Se hai perso il telefono e non hai codici di backup, puoi ancora ripristinare l’accesso:

  1. Via FTP: rinomina la cartella del plugin 2FA (es. wp-2fawp-2fa-disabled). Il 2FA viene disattivato e puoi accedere con solo username e password. Riattiva il plugin dalla dashboard e riconfigura il 2FA.
  2. Via database: in phpMyAdmin, cerca nella tabella wp_usermeta le righe con meta_key che contiene “2fa” o “totp” per il tuo utente e cancellale. Questo resetta la configurazione 2FA del tuo account.
  3. Via WP-CLI: wp plugin deactivate wp-2fa disattiva il plugin temporaneamente.

Dopo aver ripristinato l’accesso, riconfigura immediatamente il 2FA con un nuovo dispositivo e genera nuovi codici di backup.

Vuoi proteggere il tuo sito con il 2FA?

L’autenticazione a due fattori è una delle misure di sicurezza più efficaci e semplici da implementare. Se hai bisogno di aiuto nella configurazione del 2FA per tutti gli utenti del tuo sito, o se sei bloccato fuori dopo aver attivato il 2FA senza codici di backup, il team di SoccorsoWP può aiutarti a configurare o ripristinare l’accesso in modo sicuro. Apri un ticket e proteggi il tuo sito.

Condividi:

Articoli correlati

proteggere wp config.php wordpress

Come proteggere il file wp-config.php di WordPress
Permessi file e cartelle WordPress - sicurezza server

Come configurare i permessi corretti di file e cartelle su WordPress
Rimozione malware WordPress - sicurezza online

Come riconoscere e rimuovere malware da un sito WordPress infetto

Lascia un commento