Autenticazione a due fattori WordPress

Perché la sicurezza WordPress inizia con l’autenticazione a due fattori

Le password, anche quelle complesse, non sono più sufficienti a proteggere un sito WordPress. Attacchi di forza bruta, credential stuffing e phishing compromettono migliaia di siti ogni giorno. L’autenticazione a due fattori (2FA) aggiunge un secondo livello di verifica che rende inutile la sola password: anche se un attaccante ruba le credenziali, non può accedere senza il secondo fattore.

WordPress, essendo la piattaforma più diffusa al mondo, è il bersaglio numero uno degli attacchi automatizzati. I bot provano continuamente combinazioni di username e password su milioni di siti. Senza 2FA, l’unica difesa è una password perfetta, cambiata regolarmente e mai riutilizzata. Con la 2FA, anche una password compromessa non basta per violare l’account.

Tipi di autenticazione a due fattori per WordPress

Non tutti i metodi 2FA offrono lo stesso livello di sicurezza. La scelta dipende dal tuo contesto: un blog personale ha esigenze diverse da un negozio WooCommerce con più amministratori.

Codice via SMS

Il metodo più diffuso e semplice da configurare. Dopo aver inserito la password, ricevi un codice monouso via SMS sul tuo telefono. Il vantaggio è l’universalità: qualsiasi telefono cellulare riceve SMS. Gli svantaggi includono la dipendenza dalla copertura di rete, i costi per l’invio di SMS (se il servizio non è gratuito), e la vulnerabilità agli attacchi SIM swap, dove un attaccante convince il gestore telefonico a trasferire il tuo numero su una SIM controllata da lui.

Per la maggior parte dei siti WordPress, SMS 2FA è meglio di niente, ma non è la scelta più sicura.

App di autenticazione (TOTP)

Le app come Google Authenticator, Authy o Microsoft Authenticator generano codici a tempo (TOTP – Time-based One-Time Password) che cambiano ogni 30 secondi. Non richiedono connessione di rete per funzionare e sono più sicure degli SMS perché il codice è generato localmente sul dispositivo.

Authy offre il backup crittografato dei codici, utile quando cambi telefono. Google Authenticator è più semplice ma non ha backup nativo. Per WordPress, questo metodo è il miglior compromesso tra sicurezza e usabilità per la maggior parte degli utenti.

Hardware keys (FIDO2/WebAuthn)

Le chiavi hardware come YubiKey o Google Titan Key sono il gold standard della 2FA. Funzionano con protocolli FIDO2 e WebAuthn: inserisci la chiave nel portale USB o la avvicini al telefono (NFC) e premi un pulsante per autenticarti. Non ci sono codici da digitare, quindi non c’è rischio di intercettazione o phishing.

Le chiavi hardware sono la scelta consigliata per amministratori di siti critici, sviluppatori e chiunque gestisca accessi ad alto privilegio. Il costo (20-50 euro per chiave) è trascurabile rispetto al danno potenziale di un account WordPress compromesso.

Codice via email

WordPress invia un codice monouso all’indirizzo email associato all’account. È il metodo più semplice da implementare perché non richiede app o hardware aggiuntivo. Tuttavia, è anche il meno sicuro: se l’email viene compromessa, la 2FA viene bypassata. È preferibile rispetto a nessuna 2FA, ma andrebbe evitato per account amministrativi.

I migliori plugin 2FA per WordPress

Wordfence Security

Wordfence è il plugin di sicurezza WordPress più popolare e include 2FA nella versione premium. Oltre alla 2FA, offre firewall, scanner malware, protezione da forza bruta e monitoraggio del traffico. La 2FA di Wordfence supporta app di autenticazione e può essere resa obbligatoria per specifici ruoli utente.

Il vantaggio di Wordfence è avere tutto in un unico plugin, riducendo la complessità di gestione. Se già usi Wordfence per la sicurezza, attivare la 2FA è immediato.

Two Factor (dal team WordPress)

Sviluppato e mantenuto da contributor WordPress, Two Factor è un plugin gratuito e leggero che implementa la 2FA in modo nativo. Supporta TOTP (Google Authenticator), email, chiavi hardware FIDO2 e backup codes. Non ha fronzoli: fa solo 2FA e lo fa bene.

Essendo sviluppato dal team WordPress, l’integrazione con il sistema di autenticazione nativo è perfetta. È la scelta consigliata per chi vuole una soluzione pulita senza plugin di sicurezza completi.

Google Authenticator per WordPress

Questo plugin di lunga data permette di abilitare la 2FA con Google Authenticator su qualsiasi sito WordPress. Supporta sia la modalità obbligatoria che opzionale. La configurazione è semplice: l’utente scansiona un QR code con l’app Authenticator e inizia a ricevere codici.

Come configurare la 2FA su WordPress: guida passo passo

La configurazione varia leggermente per ogni plugin, ma il flusso generale è simile. Con il plugin Two Factor (raccomandato): installa e attiva il plugin, poi vai nel tuo profilo utente (Utenti > Profilo) dove trovi la sezione “Two Factor Options”. Scegli il metodo di autenticazione primario (consigliato: TOTP), apri l’app Authenticator sul telefono e scansiona il QR code, inserisci il codice generato dall’app per verificare la configurazione, e salva i codici di backup in un luogo sicuro.

I codici di backup sono fondamentali: se perdi il telefono o l’app smette di funzionare, puoi usarli per accedere e riconfigurare la 2FA. Stampali e conservali in un posto sicuro, o salvali in un gestore di password separato.

Gestione dei codici di backup

I codici di backup monouso sono la tua rete di sicurezza per la 2FA. Ogni codice può essere usato una sola volta per accedere senza il secondo fattore. Generali durante la configurazione iniziale e conservali con cura: in un portafoglio fisico (stampati), in un gestore di password come 1Password o Bitwarden, o in un file crittografato su cloud.

Non conservare i codici di backup nello stesso posto del telefono o del computer che usi per la 2FA: se perdi entrambi, non puoi più accedere. Plugin come Two Factor permettono di rigenerare i codici di backup in qualsiasi momento dal profilo utente.

Imporre la 2FA per specifici ruoli utente

Una strategia di sicurezza efficace richiede che la 2FA sia obbligatoria per gli account ad alto privilegio. Plugin come Wordfence e Two Factor permettono di imporre la 2FA per ruolo: amministratori, editor, shop manager (WooCommerce).

Per i siti WooCommerce, è particolarmente critico proteggere i ruoli “Shop Manager” e “Administrator”, che hanno accesso ai dati dei clienti e alle impostazioni di pagamento. Imponi la 2FA con un periodo di grazia di 7-14 giorni per permettere agli utenti di configurarla.

Per account a basso privilegio (abbonati, clienti), la 2FA può essere opzionale. Offrila come opzione di sicurezza aggiuntiva senza renderla obbligatoria, per non creare attrito nell’esperienza utente.

Bilanciare sicurezza e usabilità

La 2FA più sicura (hardware key) è anche la meno comoda da configurare e gestire. La 2FA più comoda (email) è la meno sicura. Per i siti WordPress, il bilanciamento ideale è: amministratori e ruoli critici usano TOTP con app di autenticazione, supportata da codici di backup; editor e autori possono usare SMS o email; abbonati e clienti hanno la 2FA come opzione volontaria.

Implementa la 2FA gradualmente: prima volontaria, poi obbligatoria per amministratori con preavviso, infine per altri ruoli. Comunica chiaramente i benefici e fornisci istruzioni passo passo. Un utente informato è più disposto ad accettare il piccolo attrito aggiuntivo in cambio di una sicurezza molto maggiore.

Conclusione

L’autenticazione a due fattori non è più un optional per WordPress: è una necessità. Con plugin gratuiti e configurazione semplice, puoi proteggere il tuo sito dalla stragrande maggioranza degli attacchi mirati agli account. Scegli il metodo più adatto al tuo contesto, imponilo per gli account amministrativi e non dimenticare i codici di backup. La sicurezza di WordPress inizia da una buona autenticazione: la 2FA è il singolo miglior investimento che puoi fare per proteggere il tuo sito.

Lascia una risposta