WordPress: attivare l’autenticazione a due fattori

Una guida per incrementare la sicurezza di un'installazione WordPress attraverso un sistema di autenticazione a due fattori.

WordPress

Nella guida di oggi vedremo come migliorare la sicurezza di un sito WordPress aggiungendo una procedura di autenticazione a due fattori.

Per chi non ne avesse mai sentito parlare, si tratta di un sistema di autenticazione che, oltre a richiedere le consuete credenziali di accesso, si appoggia anche ad un device, solitamente uno smartphone. Come è facile intuire eventuali malintenzionati, per accedere al sito, dovranno quindi non solo entrare in possesso di username e password ma anche entrare in possesso del device dell’obiettivo o in alternativa accedervi da remoto.

Per prima cosa accediamo al portale con un account amministratore e visitiamo la sezione dedicata all’installazione dei nuovi plugin (Plugin, Aggiungi nuovo). Digitiamo nella casella di ricerca “Two factor authentication” per visualizzare il seguente risultato:

Autenticazione a due fattori in WordPress

L’installazione e l’attivazione avvengono come sempre da bottone contestuale in pochi istanti. Ora osserviamo il menu laterale della bacheca WordPress e clicchiamo sulla voce Two Factor Auth:

Autenticazione a due fattori in WordPress

Ora dobbiamo selezionare “Enabled (Current code XXXXXXX)” mentre possiamo lasciare selezionato TOTP come algoritmo di autenticazione. Salviamo le modifiche.

Autenticazione a due fattori in WordPress

In questa schermata è presente anche il QRCODE che dovremo scansionare successivamente.

Lasciamo per un momento aperta la pagina di WordPress e raggiungiamo lo store del nostro dispositivo, in questo caso un device Android. L’applicazione consigliata è Google Authenticator:

Google Authenticator

Lanciamo l’app, eseguiamo l’accesso con un account Google e selezioniamo il bottone + in basso a destra:

2_factor_5

Scegliamo di scansionare un QRCODE ed inquadriamo con la fotocamera del dispositivo il codice mostrato nella schermata principale del plugin.

Il processo di attivazione è ora completo, al prossimo login il portale richiederà anche l’inserimento di una password temporanea generata dall’app sul nostro smartphone.