Come e perché attivare l’autenticazione a due fattori su WordPress

Come ti sentiresti se non riuscissi più ad accedere al tuo sito web perché è stato hackerato?

Sì, purtroppo può capitare anche se non usi “admin” come nome utente e “1234” come password. E visto che si tratta di uno strumento di lavoro, è importante fare il possibile per impedirlo.

Evitare che persone non autorizzate accedano agli account è lo scopo dell’autenticazione a due fattori, che avrai già incontrato durante il login sui tuoi profili Facebook, Google, Paypal… quel controllo in più un po’ fastidioso ma utile per garantire che sia proprio tu e solo tu a entrare sul tuo profilo.

E sai una cosa? Puoi attivare l’autenticazione a due fattori anche su WordPress, per migliorare la protezione degli accessi e mettere al sicuro informazioni personali e pannello di amministrazione.

Cos’è l’autenticazione a due fattori?

L’autenticazione a due fattori – o 2FA o anche doppia autenticazione – è un metodo che aiuta a proteggere l’accesso a un account aggiungendo un secondo controllo di sicurezza al normale login con le credenziali. In pratica la 2FA consiste in due verifiche dell’identità successive, ognuna delle quali si basa su un fattore, cioè un elemento che l’utente conosce, possiede o ‘è’, ovvero una sua caratteristica biometrica. 

Esistono diversi tipi di fattori:

• password o PIN – serie di caratteri alfanumerici validi a tempo indeterminato a meno che non vengano modificati, più o meno sicure a seconda della complessità;
• domande di sicurezza che riguardano la vita privata dell’utente – non sono per niente sicure perché le risposte possono essere scoperte o indovinate con facilità;
• OTP (one time password) – codici utilizzabili una volta sola, generati da sistemi automatici e inviati via mail o SMS, abbastanza sicuri ma intercettabili; 
• TOTP (time-based one time password) – codici monouso a tempo, forniti da app e dispositivi in possesso dell’utente, molto sicuri; 
• token fisici – dispositivi che generano TOTP o memorizzano codici d’accesso;
• notifiche push su un altro dispositivo dell’utente, che può così approvare l’accesso con un clic;
• riconoscimento biometrico di viso, retina, voce o impronta digitale – considerato non del tutto affidabile e da affiancare ad altri metodi.

Per ottenere un buon livello di sicurezza dell’account bisogna basare l’autenticazione su due fattori robusti, cioè che difficilmente possono essere ‘rubati’. Ad esempio, sono considerati fattori robusti gli OTP e ancor di più i TOTP, come anche le password forti, cioè quelle composte da almeno 16 caratteri, tra cui lettere maiuscole e minuscole, numeri e simboli, senza parole o sequenze prevedibili.

Da solo nessun fattore è abbastanza sicuro, ma unendo due fattori molto sicuri si può rendere quasi impossibile il login alle persone non autorizzate. 

Come funziona l’autenticazione a due fattori in WordPress? 

Nel caso di WordPress, la 2FA migliora la protezione dell’accesso al pannello di amministrazione del sito. Quando la 2FA è attiva sul tuo sito WordPress, per entrare nell’admin devi innanzitutto loggarti come sempre con nome utente e password dalla pagina di login. Poi ti verrà chiesto di identificarti una seconda volta inserendo il codice che hai ricevuto da un’app oppure via sms o mail.

Grazie al secondo controllo, se mai qualcuno dovesse riuscire a impossessarsi della password dell’amministratore, non sarebbe comunque in grado di accedere al profilo e prendere il controllo del sito a meno di non avere accesso anche al cellulare, oppure a mail, SMS o dispositivi OTP. Uno scenario improbabile ma non impossibile, motivo per cui dovresti valutare anche altre azioni per la sicurezza di WordPress.

Perché attivare l’autenticazione a due fattori su WordPress

Attivare l’autenticazione a due fattori su WordPress serve a migliorare la protezione dagli attacchi informatici che mirano a entrare nel sito attraverso il login, e ci provano in diversi modi.

Ad esempio negli attacchi di forza bruta, sistemi automatici effettuano innumerevoli tentativi di accesso con combinazioni alfanumeriche sempre diverse finché non riescono a intercettare la password. Ecco perché nessun sito protetto solo da una password può considerarsi al sicuro: per quanto lunga e complessa possa essere, un bot ha solo bisogno di tempo per indovinarla. 

Un’altra arma a disposizione degli hacker sono le credenziali raccolte attraverso data breach su altri siti; questo perché tanti utenti tendono a usare le stesse su più piattaforme (credential stuffing). 

A volte invece le password vengono rivelate dagli stessi proprietari che abboccano a campagne di phishing e le inseriscono su siti ingannevoli controllati da ladri informatici. 

WordPress è il CMS più popolare ed è fantastico perché permette a tante persone di creare un sito senza troppe competenze e soprattutto senza sapere nulla di sicurezza informatica. L’elevato numero di attacchi informatici che vanno a segno sulla piattaforma, infatti, non è dovuto a carenze di WordPress quanto alla sua diffusione e all’inesperienza degli amministratori dei siti.

Ma cosa succede quando un attacco hacker va a segno?

I proprietari subiscono danni di tutti i tipi: di immagine ed economici, e in molti casi anche legali.

Molti siti hackerati vengono messi offline; altri vengono alterati nei contenuti a scopo di propaganda. Spesso i siti compromessi sono penalizzati dai motori di ricerca perché contengono malware; così la visibilità dell’azienda crolla e gli investimenti in SEO vanno sprecati.

Per professionisti e aziende un sito sotto attacco hacker significa un rallentamento o un blocco delle attività, con danni economici che si sommano al costo della riparazione e della risoluzione di eventuali problemi legali.

Un sito può essere usato come tramite per attaccare altri siti sullo stesso server, oppure per diffondere malware sui computer degli utenti o per reindirizzarli verso siti fake costruiti a scopo di phishing. Inoltre gli hacker possono accedere a informazioni personali e finanziarie relative sia agli amministratori che ai clienti.

E anche quando non si verificano gli scenari più catastrofici, il fatto stesso che il sito sia stato hackerato può danneggiare il brand, specie se l’azienda gestisce dati sensibili, ancor più se riguardano carte di credito.

Attivando l’autenticazione a due fattori su WordPress puoi ridurre di molto il rischio di trovarti in situazioni così spiacevoli, e se la unisci alle altre azioni per la sicurezza di WordPress sarai in una botte di ferro. Tra l’altro alcuni accorgimenti per proteggere il login degli amministratori – come usare una password forte, un nome utente difficile da indovinare e una URL diversa da quella standard di WordPress – costano pochissima fatica se si usa un gestore di password. 

Metodi per attivare la 2FA su WordPress

Per attivare l’autenticazione a due fattori su WordPress bisogna installare un plugin; la scelta è tra un plugin WordPress 2FA dedicato oppure un plugin per la sicurezza di WordPress generico. Dobbiamo poi decidere come ricevere i codici che ci servono per la seconda verifica.

Come ottenere i codici per l’accesso

I codici d’accesso per la doppia autenticazione su WordPress, di solito vengono generati o inviati attraverso:

• app di autenticazione per gli smartphone – un’opzione semplice da attivare, economica e molto sicura se il telefono è protetto da blocco dello schermo;
• software di autenticazione per il pc – comodi ma un po’ meno sicuri delle app perché si trovano sullo stesso dispositivo dove avviene il login;
• email: un metodo semplice ma più rischioso poiché gli account di posta elettronica possono essere colpiti da phishing o da attacchi che intercettano la corrispondenza (man-in-the-middle).
• SMS: il codice via messaggio di testo sul cellulare è una soluzione semplice ma non al sicuro da attacchi di SIM swapping, che permettono di intercettare le comunicazioni.
• chiavi di sicurezza fisiche, cioè token come YubiKey o Google Key, da inserire nel computer o avvicinare al dispositivo mobile durante l’accesso – metodo molto sicuro che può essere più scomodo e più costoso perché richiede l’acquisto del dispositivo.

Nel complesso installare un’app di autenticazione è la soluzione migliore nella maggior parte dei casi, quindi vediamo meglio di cosa si tratta.

Come funziona un’app di autenticazione?

Le app di autenticazione sono applicazioni che servono a generare password monouso basate sul tempo (TOTP) dal proprio smartphone, per accedere con la 2FA. Funzionano così: ogni volta che entri nell’app e selezioni l’account su cui vuoi loggarti, trovi un codice che ogni 30-60 secondi scade e si rinnova. Il tutto localmente, quindi senza bisogno di connessione internet, e gratis.

Quando sul telefono sono attive le varie misure di protezione disponibili, le app sono molto sicure; e anche abbastanza comode visto che lo abbiamo sempre con noi. Tra le più usate ci sono Google Authenticator, Authy, miniOrange, Duo Mobile e 1Password.

La più popolare tra le app 2FA è Google Authenticator, che ti permette di salvare nel tuo account Google il backup delle configurazioni degli account che colleghi – quelli a cui vuoi accedere con 2FA –, così puoi scaricarle su altri dispositivi. C’è anche una funzione per trasferire i dati dall’app a un altro telefono.

Authy ha delle funzionalità in più, in particolare aggiunge un livello di sicurezza perché può essere protetta con un PIN. Inoltre ti permette di recuperare il tuo account facilmente se ti capita di non avere più il dispositivo su cui avevi installato l’app: puoi creare dei backup crittografati in cloud e proteggerli con una password, in modo da poterli ripristinare se ne hai bisogno. Puoi configurare lo stesso account Authy su diversi smartphone e tablet, per averlo sempre a portata di mano. 

Altre app conosciute, come Duo Mobile, sono molto più essenziali: offrono solo la funzione per collegare gli account e generare TOTP, e quella per il backup.

In alternativa al backup degli account, MiniOrange offre la possibilità di generare codici di ripristino per riuscire ad accedere con la 2FA anche quando il metodo primario non è disponibile.

1Password è un gestore di password che fa anche da software 2FA, quindi è accessibile sia da telefono che da pc; inoltre consente di ripristinare gli account collegati in caso di bisogno.

Se all’app preferisci un programma di autenticazione per il pc, accertati di proteggere il computer con blocco schermo, password e tutte le misure che adotteresti sul cellulare.

Plugin WordPress 2FA dedicati

Se vuoi installare uno strumento specifico, puoi scegliere tra le decine di plugin 2FA dedicati che si trovano nella directory ufficiale di WordPress. Quelli più popolari sono:

• Two-Factor (più di 80.000 installazioni attive)
• WP 2FA – Two-factor authentication for WordPress (più di 60.000 installazioni attive)
• Google Authenticator (più di 30.000 installazioni attive)
• Two Factor Authentication (più di 20.000 installazioni attive)
• miniOrange (più di 10.000 installazioni attive)
• Duo Two-Factor Authentication (più di 5.000 installazioni attive).

WP 2FA

WP 2FA è il plugin di autenticazione a due fattori per WordPress più usato. È gratuito, flessibile e facile da usare, con ottime recensioni e aggiornato frequentemente, offerto da un’azienda specializzata in sicurezza di WordPress. Ha il vantaggio di permettere all’amministratore del sito di imporre l’uso dell’autenticazione a due fattori anche agli altri utenti.

Il plugin offre diversi metodi per la verifica dell’identità: app di autenticazione, codici via email o SMS, notifiche push e codici di ripristino. In più fornisce un’API con cui integrare metodi alternativi come WhatsApp, token ecc.

WP 2FA è compatibile con le app authenticator più note:

• Authy
• Google Authenticator (app)
• Microsoft Authenticator
• Duo Mobile
• Lastpass
• FreeOTPDuo Security
• Okta Verify

L’installazione e la configurazione sono accompagnate da una procedura guidata accessibile anche alle persone non addette ai lavori, che ha solo la piccola pecca di non essere disponibile in italiano. Ma, seguendo la nostra guida passo passo qua sotto, potrai configurarlo senza problemi anche se non capisci l’inglese.

Two-Factor

Two-Factor è un plugin WordPress per 2FA che permette di configurarla velocemente sul proprio profilo ma non di imporla ad altri utenti del sito, che l’avranno a disposizione e sceglieranno se attivarla o meno. Il plugin è comunque molto comodo per chi vuole aggiungere l’autenticazione a due fattori solo al proprio account di amministratore. 

Anche Two-Factor offre diversi metodi di verifica: app di autenticazione, codici via email,  chiave di sicurezza FIDO U2F, e codici di backup. Se non conosci questi termini, non preoccuparti: spiegheremo tutto nel dettaglio tra poco.

Gli altri plugin popolari – come Google Authenticator, Two Factor Authentication, miniOrange e Duo Two-Factor Authentication – funzionano in modo simile a Two-Factor, ma non tutti forniscono codici di backup.

Plugin per la sicurezza di WordPress

Volendo, puoi attivare l’autenticazione a due fattori all’interno di un plugin che svolga anche altre funzioni per la sicurezza del tuo sito WordPress. In questo caso probabilmente non avresti a disposizione tutte le opzioni di configurazione di WP 2FA, però mantenendo tutto più semplice potresti risparmiare tempo.

Tra i migliori plugin per la sicurezza di WordPress che forniscono anche la 2FA ci sono: 

• Solid Security, ex iThemes Security, che permette di aggiungere la doppia autenticazione gratis – insieme a funzioni per migliorare la sicurezza del login, scovare vulnerabilità nel sito e tenere sotto controllo le attività degli utenti.

• Wordfence Security, un plugin per la sicurezza WordPress completo che include firewall, scansione dei malware, blocco degli IP e sistema di prevenzione degli attacchi brute force, e 2FA anche nella versione gratuita e nella versione light (Wordfence Login Security).
• Shield Security, specializzato nel difendere i siti WordPress dai tentativi di accesso dei bot pericolosi: include un firewall, limitazioni ai tentativi di login e, ovviamente, la doppia autenticazione.
• SecuPress, che include la 2FA solo nella versione a pagamento, insieme alla possibilità di eseguire scansioni anti malware automatiche, impedire il traffico da parte dei bot e attivare il blocco degli IP, anche geolocalizzato.

Come attivare l’autenticazione a due fattori su WordPress con WP 2FA 

Come si attiva la doppia autenticazione in WordPress con il plugin WP 2FA? Ecco tutti i semplici passi da seguire.

Attivazione e configurazione del plugin

Come sempre, inizia tutto con l’installazione del plugin. Vai sul pannello di amministrazione di WordPress e dalla barra laterale spostati su Plugin > Aggiungi Nuovo, cerca “WP 2FA” e clicca sul pulsante Installa adesso.

Nel giro di qualche secondo vedrai il pulsante Attiva.

Attivando il programma partirà subito la procedura guidata che puoi far partire (cliccando su Let’s get started) o saltare (Skip Wizard).

Qui decidi quali di questi metodi per l’autenticazione rendere disponibili per gli utenti (uno o entrambi):

• TOTP, codice a tempo generato con un’app 2FA a tua scelta – raccomandato perché più sicuro;
• HOTP, codice usa e getta basato su algoritmo hash, inviato via e-mail  – un po’ meno sicuro.

Qui ti suggeriscono anche di installare il plugin WP Mail SMTP, che riguarda la ricezione delle mail da WordPress e non è necessario per attivare la 2FA.

Il prossimo passo è scegliere un metodo alternativo per l’accesso, casomai quelli primari non funzionassero. Nella versione gratuita si possono scegliere solo i codici di backup, mentre in quella a pagamento sono disponibili più opzioni, come SMS e notifiche push.

Continuiamo decidendo quali gruppi di utenti saranno obbligati a usare la 2FA:

Tutti (All users) è ovviamente l’opzione più sicura, ma puoi anche definire delle regole specifiche per categoria (Only for specific users and roles), oppure mantenere il servizio facoltativo per chiunque (Do not enforce on any users).

Se scegli Only for specific users and roles, ti compaiono due campi in cui devi indicare quali utenti e ruoli WordPress saranno obbligati a usare la 2FA. Iniziando a digitare nei campi appositi potrai selezionarli da un menù a tendina. 

Se invece hai scelto di imporre la doppia autenticazione a tutti (All users), nella schermata successiva avrai la possibilità di escludere alcuni ruoli o specifici utenti compilando i campi appositi.

A questo punto puoi definire il ‘periodo di grazia’ per gli utenti obbligati ad attivare la 2FA. Scegli l’opzione Users have to configure 2FA straight away se vuoi che lo facciano subito. Scegli la seconda opzione se vuoi concedere più tempo e definisci la durata del periodo: massimo dieci giorni. 

Decidi poi come si comporterà il plugin con chi non configurerà la 2FA per tempo:

• scegliendo Block the login non permetti alle persone di accedere al pannello di controllo finché non attivano la doppia autenticazione;
• con la seconda opzione impedisci del tutto l’accesso al profilo.

Dove vuoi che gli utenti vengano avvisati dell’obbligo di usare la 2FA? Puoi scegliere se mostrare la notifica nella dashboard oppure in una pagina apposita prima della dashboard. 

Fatto questo, avrai finito con l’impostazione delle regole generali per gli utenti e potrai passare a configurare l’autenticazione a due fattori per il tuo account.

Impostare la 2FA sul proprio account

A questo punto vediamo come puoi impostare la 2FA sul tuo account, cliccando su Configure 2FA now.

Puoi scegliere tra la notifica via email e quella via app (consigliata). Per configurare l’app 2FA, seleziona One-time code via 2FA app e procedi.

Compariranno un QR code e un codice alfanumerico che potrai inserire nell’app per collegarla al plugin. Noi abbiamo usato Duo Mobile ma procedura è la stessa in tutte le app. 

Dopo averla installata sul cellulare, apri l’app di autenticazione che preferisci e configura il tuo account WordPress. Per cominciare vai su Aggiungi.

Ora la prima possibilità è usare la barra di ricerca per trovare WordPress e selezionarlo.

Poi inserire manualmente il codice generato da WP 2FA.

L’altra possibilità, più comoda, è scegliere di fare col cellulare una scansione del codice QR fornito dal plugin.

Ora torna su WordPress, clicca su I’m ready, inserisci il codice generato dall’app e poi clicca su Validate and save. 

Riceverai un messaggio che conferma l’attivazione e contiene anche un pulsante da cui generare subito i codici di backup (Generate a list of backup codes) – insieme a un altro per rinviare a un secondo momento.

I codici possono essere scaricati, stampati, inviati via email; dopodiché puoi cliccare sul pulsante I’m ready, close the wizard per terminare la procedura guidata.

Se hai reso la 2FA obbligatoria, al prossimo accesso gli utenti del tuo sito verranno avvisati e cliccando su Configure 2FA now potranno avviare la procedura di configurazione che abbiamo visto.

Altre impostazioni di WP 2FA

Nella sidebar, sotto WP 2FA troviamo le sezioni Policies e Settings, dove abbiamo sia impostazioni già viste che altre opzioni generali per gli utenti. Quelle relative alla 2FA del tuo account sono invece in fondo alla sezione Utente>Profilo.

Policies

Andando su WP 2FA > 2FA Policies possiamo modificare in qualsiasi momento le regole definite nella configurazione guidata.

In più qui è possibile decidere di reindirizzare gli utenti a una specifica pagina al termine della procedura guidata, inserendo la URL nel campo accanto a Redirect users after 2FA setup to.

Se usi pagine utente personalizzate come alternativa alla dashboard di WordPress, puoi attivare l’opzione Frontend 2FA settings page in modo che il plugin crei una pagina in cui gli utenti loggati possano configurare la 2FA. La URL della pagina è già definita ma puoi cambiarla.

Più giù hai anche la possibilità di impostare la pagina dove gli utenti saranno reindirizzati dopo l’autenticazione: anche in questo caso puoi digitare la URL nel campo apposito.

Infine c’è l’opzione Hide the Remove 2FA button, per nascondere agli utenti il pulsante che disabilita la doppia autenticazione. 

Settings 

Andando su WP 2FA > Settings ci troviamo nella tab General settings, dove abbiamo altre opzioni secondarie. Prima di tutto possiamo decidere se bloccare il login oppure no quando la 2FA non funziona.

Qui è possibile anche:

• disabilitare la protezione contro gli attacchi brute force, cioè disattivare l’invio di un nuovo codice ogni qualvolta l’utente digita un codice sbagliato – ovviamente sconsigliato;
• nascondere le impostazioni di questo plugin agli altri amministratori;
• decidere se cancellare tutti i dati del plugin in caso di disinstallazione.

La tab Emails & templates serve a personalizzare completamente le mail che il plugin invia agli utenti, dal mittente al soggetto al testo, con editor visuale o HTML.

Inoltre puoi fare una prova di invio cliccando su Test email delivery.

Infine c’è la tab White labeling, che ti permette di modificare il testo con cui il plugin chiederà agli utenti di attivare l’autenticazione a due fattori.

Sezione Utente>Profilo

In Utente>Profilo trovi un riepilogo delle tue impostazioni 2FA personali e hai la possibilità di cambiarle, generare codici di ripristino o anche disattivare l’autenticazione a due fattori.

In particolare da qui puoi cambiare il metodo primario di autenticazione passando dal codice via app a quello via mail cliccando su Change 2FA settings.

Il pulsante Change email address ti porta alla schermata in cui inserire il tuo indirizzo se vuoi che i codici ti vengano inviati via mail.

Reset key serve invece a reconfigurare l’app, utile se vuoi collegare un dispositivo diverso.

Come attivare l’autenticazione a due fattori per WordPress con Two-Factor 

Vediamo come attivare la 2FA con un altro plugin specifico più essenziale, pensato per gestire la sicurezza sul proprio account e non su quello degli altri utenti: Two-Factor.

Attivazione e configurazione del plugin

Per installare Two-Factor, dalla barra laterale del pannello di amministrazione di WordPress vai su Plugin > Aggiungi Nuovo, cerca “Two-Factor” e clicca sul pulsante Installa adesso.

Nel giro di qualche secondo comparirà il pulsante Attiva.

Ora, se dalla barra laterale vai su Utenti > Profilo, in basso nella pagina trovi la sezione Opzioni Two-Factor.

Qui puoi selezionare un solo metodo di autenticazione primario tra email, app, chiavi di sicurezza e codici di ripristino.

Invece i metodi di autenticazione secondari possono essere più di uno, anche tutti e quattro, e si attivano cliccando sulle caselline quadrate nella colonna Abilitato.

Se scegli l’email come metodo primario, i codici ti saranno inviati all’indirizzo associato al tuo account WordPress su questo sito.

Se invece vuoi usare un’app, puoi collegare il tuo account WordPress scansionando il codice QR o inserendo il codice del plugin a mano. Ne abbiamo parlato in dettaglio in Impostare la 2FA sul proprio account.

Nella sezione Utenti>Profilo c’è pure un pulsante per generare i codici di ripristino.

Ancora più in basso è possibile registrare un’eventuale chiave di sicurezza U2F (Universal 2nd Factor), cioè un token che elimina il bisogno di digitare codici (e richiede una connessione HTTPS), come FIDO U2F o YubiKey.

Come accedere con la 2FA se non si hanno telefono o codici

Cosa succede se hai attivato l’autenticazione a due fattori collegandola a un’app di autenticazione su cellulare e non hai più il cellulare né riesci ad ottenere i codici d’accesso in altro modo?

Se sei l’amministratore di un sito WordPress e non hai più i dispositivi che usavi per il login con la 2FA né i codici di ripristino, l’unico modo per tornare ad accedere al tuo account è disattivare il plugin 2FA. Ma come, visto che non hai la possibilità di entrare nel pannello di amministrazione? 

Puoi farlo dal gestore file dell’hosting, come abbiamo spiegato nella guida su come disattivare i plugin di WordPress. Dopo l’accesso al sito potrai ripristinare i plugin e la doppia autenticazione.

Ci sono però molti modi per evitare di trovarsi in una situazione del genere.

Innanzitutto puoi prevenire il problema scegliendo un’app di autenticazione che faciliti il ripristino dell’account su un nuovo dispositivo – come Authy, che ha anche il vantaggio di essere installabile su più telefoni e tablet in contemporanea. 

Inoltre varie app e plugin 2FA ti danno la possibilità di generare liste di codici di backup per quando non hai accesso al telefono e agli OTP, come quelli di cui abbiamo parlato sopra.

Anche il plugin può fare la differenza: installane uno che supporti metodi ‘di riserva’ per l’invio dei codici qualora quello primario non fosse disponibile – come WP 2FA o Two Factor – e avrai sempre un modo alternativo per recuperarli e accedere.

Se non ti piace l’idea di dipendere dal telefono per il login ma vuoi comunque usare dei codici a tempo, puoi prendere in considerazione dei programmi per TOTP accessibili dal computer, offline – come KeePass –, oppure online – 1password, Ente Auth, ecc.

Conclusioni

In questa guida abbiamo visto perché è importante attivare sul proprio sito WordPress l’autenticazione a due fattori, insieme a diversi modi per farlo, con plugin dedicati o con plugin per la sicurezza WordPress più completi.

Abbiamo parlato dei diversi fattori che possono essere sfruttati per proteggere gli accessi, dei codici OTP e TOTP e di come vengono generati e inviati, attraverso app di autenticazione, token, email ed SMS.

Abbiamo spiegato passo passo la procedura per aggiungere la 2FA con due plugin diversi: WP 2FA – che permette di imporla anche ad altri utenti del sito –, e Two Factor – comodo se la si vuole configurare solo per gli amministratori.

Tu hai già attivato l’autenticazione a due fattori per il tuo sito? Riesci a gestirla senza stress o rimpiangi i tempi in cui dovevi inserire solo username e password? Come preferisci ricevere i codici? Faccelo sapere nei commenti.