I vantaggi dell’autenticazione a due fattori
Chi ha un sito web è responsabile della salvaguardia dei suoi dati e di quelli di utenti e clienti. Sebbene le password siano una tradizionale prima linea di difesa, spesso da sole non sono sufficienti a garantire la sicurezza degli accessi.
Con l’aumento delle segnalazioni di violazioni dei dati e le crescenti preoccupazioni per la privacy, la sicurezza è diventata un fattore di differenziazione per molte aziende. L’attenzione alla sicurezza fa capire agli utenti che il proprietario del sito prende sul serio la protezione dei dati. Ecco perché andare oltre le password con l’autenticazione a due fattori (2FA) può essere una componente importante della strategia di sicurezza.
Vediamo più da vicino cos’è la 2FA e perché adottarla.
Le basi: Cosa sono MFA e 2FA?
L’autenticazione a più fattori (MFA) richiede due o più fattori di verifica agli utenti che cercano di accedere a una risorsa come un sito web, un’applicazione o un account online. Anziché limitarsi a chiedere qualcosa che si conosce (come una password), l’MFA richiede anche una risposta da parte dell’utente tramite un canale di comunicazione alternativo, la biometria o magari un dispositivo fisico come una chiave di sicurezza.
La 2FA è la forma più comune di MFA. Richiede esattamente due diversi fattori di verifica. Gli approcci più comuni prevedono una password e una conferma secondaria, spesso utilizzando uno dei seguenti fattori:
- Un codice inviato via SMS
- Un codice inviato via e-mail
- Un codice visualizzato in un’applicazione di autenticazione
- Dati biometrici tramite impronte digitali o riconoscimento facciale
- Un dispositivo fisico, come una chiave di sicurezza USB
I clienti di Kinsta, dopo aver abilitato la 2FA per accedere alle loro dashboard MyKinsta, possono scegliere di utilizzare l’e-mail o un’applicazione di autenticazione come Google Authenticator o Authy come secondo metodo di autenticazione.
Grazie all’implementazione di questo ulteriore livello di sicurezza, il rischio di accesso non autorizzato si riduce, anche se la password viene compromessa.
Il problema dell’autenticazione tramite password
Le password sono state il metodo di autenticazione principale fin dagli albori dell’informatica. Tuttavia, sono diventate sempre più vulnerabili per diversi motivi:
Riutilizzo delle password e prassi poco sicure
Nonostante i ripetuti avvertimenti, gli utenti continuano a praticare una scarsa igiene delle password:
- Utilizzo di password semplici e facilmente indovinabili
- Riutilizzo della stessa password su più siti
- Password cambiate con scarsa frequenza
- Memorizzazione delle password in luoghi accessibili
I ricercatori del Ponemon Institute hanno scoperto che anche i professionisti della sicurezza informatica spesso utilizzano le stesse password per gli account di lavoro e personali, creando un pericoloso effetto domino quando un account viene compromesso.
Violazioni di dati e credential stuffing
Le violazioni di dati di alto profilo hanno esposto miliardi di credenziali. Gli hacker utilizzano queste combinazioni di nomi utente e password trapelate in attacchi di “credential stuffing”, provandole automaticamente su più siti web.
Nel 2024, Wordfence ha bloccato oltre 55 miliardi di tentativi di violazione delle password, secondo l’ultimo report sulle vulnerabilità e le minacce (PDF). Questi attacchi prendono di mira le pagine di login di WordPress per il “credential stuffing”, oltre che per attacchi brute force e altri exploit legati alle password.
Esempi reali di vulnerabilità delle password
La violazione di Dropbox: Nel 2016, Dropbox ha riportato una violazione di quattro anni fa che ha esposto le credenziali di oltre 68 milioni di utenti. L’attacco è stato causato dal furto della password di un dipendente che ha permesso agli hacker di accedere a un documento di progetto contenente le credenziali degli utenti.
Attacco alla piattaforma WordPress VIP Go: Nel 2019, la piattaforma WordPress VIP Go ha subito un attacco significativo in cui gli hacker hanno tentato di utilizzare le credenziali rubate per accedere agli account degli amministratori. WordPress.com VIP è stato costretto a reimpostare tutte le password e a richiedere l’implementazione della 2FA per tutti gli utenti.
Il ruolo fondamentale della 2FA per i pannelli di controllo del web hosting
Un sito WordPress è sicuro quanto l’ambiente di hosting su cui gira. I pannelli di controllo degli hosting web come cPanel, Plesk o la nostra dashboard MyKinsta sono i primi obiettivi degli aggressori perché offrono un accesso completo a tutti i siti e domini dell’account.
Perché proteggere l’accesso al pannello di controllo non dovrebbe essere facoltativo
Quando un malintenzionato riesce ad accedere al pannello di controllo dell’hosting, può:
- Accedere e modificare tutti i file del sito web
- Creare o cancellare account di posta elettronica
- Installare script dannosi
- Aggiungere backdoor ai siti web
- Scaricare database completi contenenti informazioni sensibili sugli utenti
- Reindirizzare il dominio verso siti dannosi
- Utilizzare il server per campagne di phishing o per distribuire malware
Molti dei principali provider di hosting hanno segnalato un aumento dei tentativi di violazione degli account cPanel. Nel 2022, Hostinger ha documentato un aumento del 43% dei tentativi di accesso non autorizzato ai pannelli di controllo dei clienti rispetto all’anno precedente.
Implementare la 2FA nell’account di hosting
La maggior parte dei fornitori di hosting più affidabili offre soluzioni 2FA integrate nei propri pannelli di controllo:
- MyKinsta: la nostra dashboard supporta la 2FA per tutti gli utenti tramite e-mail o applicazioni di autenticazione come Google Authenticator e Authy.
- cPanel: cPanel offre la 2FA nativa con supporto delle app di autenticazione e delle chiavi di sicurezza hardware.
- Plesk: Plesk offre l’autenticazione a due fattori attraverso l’estensione Plesk.
Altri importanti provider di hosting:
- Bluehost offre la 2FA tramite Google Authenticator
- SiteGround offre una protezione 2FA proprietaria attraverso i suoi Strumenti per il Sito
- WP Engine offre la protezione 2FA per tutti gli accessi al portale degli utenti
Se il provider di hosting non offre la protezione MFA per l’accesso al pannello di controllo, questo dovrebbe essere considerato un importante segnale di allarme per la sicurezza, che potrebbe giustificare un cambio di provider di hosting.
Vantaggi dell’implementazione della 2FA per la gestione del sito WordPress
Ecco quattro buoni motivi per inserire la 2FA nei protocolli di sicurezza:
1. Riduzione drastica del rischio di accesso non autorizzato
Attivando la 2FA, anche se un malintenzionato è in possesso della password, per accedere ha bisogno del secondo fattore (in genere lo smartphone). Secondo Microsoft, gli account protetti da MFA bloccano il 99,9% degli attacchi automatici.
2. Protezione dagli attacchi di phishing
Gli attacchi di phishing possono indurre gli utenti a rivelare le password, ma la maggior parte dei metodi 2FA sono resistenti a questi attacchi poiché il secondo fattore cambia costantemente o è fisicamente separato.
3. Conformità agli standard di settore
Molti settori hanno normative che richiedono un’autenticazione più forte per i sistemi che gestiscono dati sensibili:
- PCI DSS per i siti di e-commerce che elaborano carte di credito
- HIPAA per le informazioni relative all’assistenza sanitaria
- GDPR e altre normative sulla privacy che richiedono misure di sicurezza adeguate
4. Aumento della fiducia dei clienti
Mostrare che il sito utilizza misure di sicurezza avanzate come la 2FA aiuta a creare fiducia nei clienti, soprattutto per i siti di e-commerce e le piattaforme ad iscrizione in cui gli utenti condividono informazioni personali.
Aggiungere la 2FA ai siti WordPress
Sopra abbiamo parlato di 2FA per l’accesso alle proprietà web da pannelli di controllo di terze parti come la dashboard di MyKinsta. Ma anche l’accesso a ciascun sito WordPress, in particolare agli amministratori, merita una maggiore sicurezza.
L’implementazione della 2FA su un sito WordPress è solitamente semplice, grazie a numerosi plugin disponibili. Abbiamo un approfondimento sui plugin 2FA per WordPress, ma ecco alcuni dei componenti aggiuntivi più noti e funzionali.
I migliori plugin 2FA per WordPress
È possibile prendere il controllo della 2FA sul lato WordPress con plugin come questi:
1. Two-Factor
Two-Factor è un plugin gratuito sviluppato e gestito dal team di WordPress.org, il che lo rende una soluzione altamente affidabile.
Caratteristiche principali:
- Supporto di più metodi 2FA (app autenticator, email, codici di backup)
- Procedura di configurazione semplice
- Aggiornamenti regolari e test di compatibilità
- Impatto minimo sulle prestazioni
Ideale per: siti che cercano una soluzione affidabile e senza fronzoli, supportata dal team di WordPress.
2. Wordfence Security
Wordfence Security è un plugin di sicurezza completo che include la 2FA tra le sue numerose funzioni.
Caratteristiche principali:
- Accesso tramite cellulare (2FA via SMS)
- Autenticazione TOTP (Time-based One-Time Password)
- Integrazione con una suite di sicurezza completa, che include firewall e scansione malware
- Registro dettagliato dei tentativi di accesso
Ideale per: proprietari di siti che desiderano la 2FA come parte di una soluzione di sicurezza più ampia.
3. miniOrange 2-Factor Authentication
MiniOrange 2-Factor Authentication è un plugin 2FA ricco di funzionalità che offre numerosi metodi di autenticazione.
Caratteristiche principali:
- Metodi di autenticazione multipli (Google Authenticator, SMS, email, token hardware)
- 2FA basata sui ruoli (solo per amministratori, editor, ecc.)
- Redirect personalizzato dopo il login
- Gestione dei dispositivi affidabili
Ideale per: siti che richiedono soluzioni 2FA flessibili e metodi di autenticazione multipli.
4. WP 2FA
Un’altra soluzione 2FA facile da usare è WP 2FA, che gestisce esclusivamente l’autenticazione a due fattori.
Caratteristiche principali:
- 2FA forzata per determinati ruoli utente
- Periodi di tolleranza per l’impostazione della 2FA
- Metodi di backup se la 2FA principale non è disponibile
- Opzioni di white labeling per agenzie e sviluppatori
Ideale per: siti di clienti e installazioni WordPress multiutente in cui è essenziale garantire la conformità alla 2FA.
Le best practice
Quando si aggiunge la 2FA al proprio sito WordPress, è consigliabile seguire queste best practice:
1. Iniziare con gli account degli amministratori
È opportuno cominciare abilitando la 2FA per gli account degli amministratori, in quanto sono quelli che presentano il rischio maggiore se compromessi.
Adozione di un piano di implementazione graduale
Per i siti con più utenti:
- Annuncio dell’imminente miglioramento della sicurezza
- Condivisione di istruzioni chiare per la configurazione
- Valutazione di un periodo di tolleranza per gli utenti per l’abilitazione della 2FA
- Obbligatorietà graduale della 2FA per i diversi ruoli utente
Previsione di opzioni di recupero
È utile configurare codici di backup o metodi di recupero alternativi se il secondo fattore primario viene perso o non è disponibile.
Effettuazione di un test approfondito
Prima dell’implementazione completa, è bene testare l’implementazione della 2FA su diversi dispositivi e in diverse condizioni per garantire un’esperienza utente senza problemi.
Documentazione della procedura
È importante anche creare una documentazione esplicativa sia per gli amministratori che per gli utenti:
- Come impostare la 2FA
- Cosa fare se si perde l’accesso al proprio dispositivo di autenticazione
- Informazioni di contatto per l’assistenza in caso di problemi con la 2FA
Preoccupazioni e idee sbagliate sula 2FA
“È troppo complicata per i miei utenti”
Le moderne soluzioni 2FA sono sempre più semplici da usare. La maggior parte degli utenti ha familiarità con la 2FA grazie alle applicazioni bancarie e agli account dei social media. Inoltre, puoi cominciare richiedendo la 2FA solo per i ruoli di amministratori e mantenerla facoltativa per gli iscritti.
“Creerà problemi di accesso”
Sebbene qualsiasi misura di sicurezza aggiunga un piccolo attrito alla procedura di login, questo è compensato dai significativi vantaggi in termini di sicurezza. La maggior parte delle app di autenticazione sono veloci e semplici da usare.
“Il mio sito è troppo piccolo per essere preso di mira”
I siti piccoli vengono presi di mira perché si pensa che abbiano una sicurezza più debole. I bot automatici non fanno discriminazioni in base alle dimensioni del sito, ma cercano le vulnerabilità.
Un report sull’impatto aziendale dell’ITRC del 2023 ha mostrato che il 73% delle PMI ha subito un cyberattacco, una violazione dei dati o entrambi nel corso dell’anno precedente.
Oltre WordPress: Proteggere l’intera presenza digitale
Sebbene proteggere il sito WordPress con la 2FA sia fondamentale, bisogna ricordare che un approccio alla sicurezza completo comprende:
Implementazione della 2FA ovunque sia possibile
È consigliabile estendere la protezione 2FA a tutti i servizi collegati al sito web:
- Account e-mail (in particolare quelli utilizzati per l’amministrazione di WordPress)
- Accesso FTP/SFTP
- Strumenti di gestione del database
- Servizi CDN e di ottimizzazione delle prestazioni
- Account di registrazione del dominio
Audit di sicurezza periodici
Altra misura è la programmazione di controlli di sicurezza periodici per individuare e risolvere potenziali vulnerabilità prima che vengano sfruttate.
Formazione dei dipendenti
Tutti i membri del team devono comprendere le best practice di sicurezza e l’importanza di seguire i corretti protocolli di autenticazione.
Riepilogo
L’implementazione dell’autenticazione a più fattori per il pannello di controllo dell’hosting e per il sito web è una delle misure di sicurezza più efficaci. L’investimento minimo in termini di tempo e risorse per impostare la 2FA offre un ritorno esponenziale in termini di protezione contro i vettori di attacco più comuni.
Dato che WordPress alimenta quasi il 40% di tutti i siti web su internet, rimane un obiettivo primario per gli aggressori. Adottando questo semplice livello di sicurezza per l’accesso al pannello di amministrazione di WordPress e alla dashboard dell’hosting, si riduce significativamente il profilo di rischio e si dimostrera l’impegno alla protezione dei dati e propri e di quelli degli utenti.
Nel panorama in evoluzione delle minacce alla sicurezza informatica, la 2FA non è più una funzione “bella da avere”, ma un componente essenziale di qualsiasi strategia di sicurezza seria.
Se anche tu pensi alla sicurezza come noi, dai un’occhiata alle soluzioni di hosting gestito per WordPress di Kinsta.
Kinsta
Steve Bonisteel è un Technical Editor di Kinsta che ha iniziato la sua carriera di scrittore come giornalista della carta stampata, inseguendo ambulanze e camion dei pompieri. Dalla fine degli anni ’90 si occupa di tecnologia legata a Internet.
Pendidikan
Pendidikan
Download Anime
Berita Teknologi
Seputar Teknologi
