7 migliori plugin per l'autenticazione a due fattori di WordPress: accesso sicuro

È facile trascurare l'importanza di utilizzare password sicure e sicure per i tuoi siti Web e applicazioni. In un'epoca di gravi violazioni dei dati, in cui controllare se sei stato preso in giro è diventato una necessità, nessuno può affermare di essere esente da rischi per la sicurezza potenzialmente di vasta portata.

Più di recente, una delle più grandi piattaforme social, Quota, è stata compromessa da hacker malintenzionati. Il risultato? Più di 100 milioni di utenti hanno avuto le loro informazioni personali esposte. Nomi, e-mail, password (crittografate) e altre informazioni sensibili sono state accedute da una parte esterna a Quora.

Questo tipo di attacco potrebbe sembrare che non abbia nulla a che fare con te personalmente, ma se ti sei mai registrato con Quora, sei esposto al rischio di compromettere anche gli altri tuoi account.

Altre importanti violazioni negli ultimi tempi includono Adobe, LinkedIn e, più recentemente, gli hacker hanno trovato un modo per sfruttare uno dei plugin GDPR di WordPress più popolari.

È qui che entra in gioco la 2FA (Autenticazione a due fattori) per WordPress. A differenza delle tradizionali pagine protette da password, 2FA introduce un secondo livello di verifica dell'identità in grado di proteggere i siti Web WordPress.

In questo post, mostriamo i sette migliori plugin di autenticazione a due fattori di WordPress per proteggere il tuo sito.

1. Due fattori
2. WP 2FA
3. Autenticazione a due fattori
4. miniarancione 2FA
5. Autenticazione a due fattori Duo
6. Rublo
7. SecSign

Che cos'è l'autenticazione a due fattori (2FA) di WordPress?

Hai mai dimenticato la tua password su un sito come Google o Amazon? Quando hai provato a ripristinarlo, ti è stato chiesto di verificare la tua identità utilizzando una frase memorabile o inviando un codice PIN al tuo cellulare. Questa è l'implementazione di base della verifica a due fattori.

Fondamentale nel senso che ti viene richiesto di verificare la tua identità solo dopo aver perso l'accesso al tuo account.

Un approccio più solido e sicuro consiste nel garantire che ogni tentativo di accesso sia protetto da una verifica a due fattori.

I metodi più diffusi per l'autenticazione a due fattori includono indirizzi e-mail esterni, utilizzando un'app per telefoni cellulari come Google Authenticator o Authy per accedere a un codice di sicurezza (TOTP o HOTP), token basati su hardware (es. YubiKey) che utilizzano protocolli come FIDO, SMS o telefonate e frasi memorabili oltre alla password.

Fortunatamente, è disponibile un ampio numero di plugin di WordPress che forniscono soluzioni di autenticazione a due fattori. Alcuni plug-in utilizzano servizi come Google Authentication o Authy, mentre altri implementano metodi completamente diversi, come la verifica e-mail e le notifiche push personalizzate.

I sette migliori plugin di autenticazione a due fattori di WordPress

1. Due fattori

Two-Factor è un plug-in di autenticazione a due fattori gratuito al 100% che proviene da una serie di noti contributori principali di WordPress.

Oltre ad essere gratuito, la sua caratteristica principale è che supporta una serie di diversi metodi di autenticazione, tra cui:

• Codici e-mail
• TOTP: funziona con qualsiasi app di autenticazione come Google Authenticator
• FIDO Universal 2nd Factor (U2F): consente alle persone di utilizzare chiavi di sicurezza fisiche come YubiKey
• Codici di backup

I principali svantaggi del plugin sono i seguenti:

1. Sebbene sia ottimo per proteggere il tuo account, non offre tante opzioni per applicare l'autenticazione a due fattori per diversi tipi di utenti sul tuo sito.
2. Non offre integrazioni per l'autenticazione basata su testo.

Nel complesso, se vuoi solo proteggere il tuo account WordPress (più forse gli account di alcuni contributori), questa opzione gratuita al 100% è un ottimo punto di partenza.

2. WP 2FA

WP 2FA è un popolare plug-in di autenticazione a due fattori per WordPress di WP White Security, lo stesso team dietro una serie di noti strumenti di sicurezza. In particolare, il plug-in WP Activity Log.

WP 2FA ti consente di impostare l'autenticazione a due fattori tramite una varietà di metodi, nelle sue versioni gratuite ea pagamento.

La versione gratuita supporta qualsiasi app di autenticazione popolare, ad esempio Google Authenticator o Authy. La versione a pagamento offre un'integrazione Authy più avanzata che supporta due fattori tramite SMS, notifica push, WhatsApp e chiamata in arrivo.

Supporta anche codici di backup monouso nel caso in cui gli utenti perdano l'accesso al proprio metodo.

Puoi anche impostare criteri personalizzabili a due fattori, che è una grande area in cui eccelle rispetto al plug-in precedente. Ad esempio, potresti forzare determinati ruoli utente a utilizzare due fattori rendendolo facoltativo per altri.

Puoi anche accedere ad altre funzioni utili come dispositivi affidabili, onboarding utente con configurazione a due fattori e altro ancora.

C'è una versione gratuita funzionale su WordPress.org e la versione a pagamento parte da soli $ 29.

3. Autenticazione a due fattori

Two Factor Authentication è un plug-in freemium degli stessi sviluppatori del popolare plug-in di backup UpdraftPlus.

Supporta i metodi TOTP e HOTP, che ti consentono di utilizzare qualsiasi app di autenticazione come Google Authenticator o Authy.

La versione premium aggiunge anche codici di backup di emergenza nel caso in cui l'utente perda l'accesso al dispositivo.

Una delle aree in cui questo plug-in eccelle rispetto al plug-in Two-Factor di cui sopra è quando si tratta di impostare criteri e gestire diversi tipi di utenti. Ecco alcuni esempi:

• Abilita/disabilita due fattori per ruoli utente diversi. Ad esempio, richiedilo per gli amministratori ma non per gli abbonati.
• Abilita/disabilita due fattori per ruoli utente specifici.
• Gestisci i due fattori degli altri utenti dal tuo account amministratore.
• Consenti dispositivi attendibili in modo che gli utenti non debbano verificare lo stesso dispositivo per un determinato periodo di tempo (ad es. 30 giorni).

Ha anche alcune altre caratteristiche interessanti, come un'opzione per gli utenti per gestire due fattori dal frontend.

Tuttavia, è un po' limitato nei suoi metodi a due fattori: non è possibile utilizzare chiavi hardware, e-mail o SMS/chiamate telefoniche.

C'è una versione gratuita funzionale su WordPress.org e la versione a pagamento parte da soli ~ $ 24.

4. miniOrange 2FA

miniOrange soluzioni di autenticazione senza soluzione di continuità per proteggere l'esposizione di dati sensibili. Il plug-in WordPress dell'azienda è progettato per fornire una facile integrazione con il servizio Google Authenticator. Tuttavia, puoi utilizzare metodi di autenticazione aggiuntivi come codici QR scansionabili, notifiche push, token software e domande di sicurezza.

Dopo aver attivato il plug-in, puoi andare al dashboard miniOrange e iniziare a configurare il tuo metodo preferito di verifica dell'autenticazione. Il design intuitivo dell'interfaccia semplifica la selezione rapida di una soluzione adatta a te.

È importante notare che miniOrange richiede l'installazione della sua applicazione mobile se desideri utilizzare tecniche di verifica più solide come notifiche push e codici QR.

La versione gratuita limita la 2FA a un singolo utente per sito. Se desideri abilitare 2FA per più di un utente, dovrai considerare un'opzione a pagamento. Il vantaggio dell'utilizzo della versione premium è che puoi abilitare metodi di autenticazione aggiuntivi. In particolare, verifica SMS ed Email.

Se gestisci un blog più piccolo e sei l'unico amministratore attivo, la versione gratuita dovrebbe essere più che sufficiente per fornire un'adeguata protezione della sicurezza del tuo sito.

5. Autenticazione Duo a due fattori

Duo è un robusto plug-in "2FA as a Service" per aiutare a salvaguardare la sicurezza del tuo account WordPress. Il semplice processo di onboarding richiede solo pochi minuti per la configurazione.

Dopo aver terminato la configurazione del plug-in, viene aggiunto un altro livello di sicurezza al tuo sito WordPress.

Come puoi vedere sopra, dopo che gli utenti accedono utilizzando le loro credenziali WordPress predefinite, verrà loro chiesto di verificare due volte la loro identità utilizzando uno dei metodi di autenticazione Duo scelti.

L'elenco completo dei metodi di autenticazione forniti da Duo include:

• Accesso all'accesso con un solo tocco utilizzando l'app Duo, che lo rende un modo semplice e veloce per dimostrare la tua identità.
• Passcode personalizzato generato dall'applicazione. Funziona anche in modalità offline.
• Un passcode personalizzato inviato al tuo numero di telefono tramite SMS. Ancora una volta, ottimo per quando non hai accesso a Internet.
• Semplice richiamata sia verso numeri di rete fissa che mobile.

Se vuoi stare tranquillo quando si tratta della sicurezza del tuo sito WordPress (oltre ad avere un backup), Duo è una delle scelte più facili da usare.

6. Rublo

È risaputo che gli hacker provano sempre nuovi metodi e tecniche per introdursi nei siti. E se gestisci informazioni sensibili, non ci sono scuse per evitare di fare il possibile per garantire una protezione a livello di settore.

Questa è la premessa di Rublon, una soluzione di autenticazione a due fattori avanzata e sofisticata. Puoi configurare numerosi metodi di verifica come ricevere un collegamento inviato alla tua e-mail per la conferma. Rublon salverà le informazioni sul tuo dispositivo e ti consentirà di accedere utilizzando solo una password.

Inoltre, puoi utilizzare l'app Rublon per portare con te la sicurezza del tuo sito ovunque tu vada. Accedi utilizzando il tuo nome utente/password predefinito e verifica la tua identità scansionando il codice QR utilizzando il tuo telefono.

La parte migliore è che puoi installare questo plugin e dimenticartene. Nessuna curva di apprendimento faticosa o funzionalità complesse, solo una semplice sicurezza 2FA per i siti WordPress.

7. Seg.Segno

SecSign offre un'esperienza di autenticazione 2FA universale basata su dispositivi mobili per i siti WordPress. Il plug-in utilizza metodi di crittografia all'avanguardia per garantire la protezione dalla forza bruta.

Inoltre, le chiavi private generate da SecSign non sono mai collegate a un server esterno. Invece, le chiavi vengono create direttamente dall'app mobile e tu sei l'unico a vederle.

La differenza fondamentale tra questo e altri plugin in questa carrellata è che SecSign utilizza la sua piattaforma ID personale: SecSign ID. Ciò significa che non utilizzerai affatto le tue credenziali WordPress. Piuttosto, puoi utilizzare il portale SecSign per generare nomi ID univoci per ciascuno dei tuoi utenti.

Di conseguenza, puoi sfruttare metodi di verifica come l'impronta digitale (per gli utenti Apple) e tecniche meno complesse come la selezione di immagini personalizzate.

Quale plug-in di autenticazione a due fattori dovresti usare?

La scelta del miglior plug-in di autenticazione a due fattori per WordPress dipende in realtà da due cose principali:

1. I metodi di autenticazione a due fattori che si desidera utilizzare. Ad esempio chiavi FIDO fisiche vs app per smartphone TOTP.
2. Quanta flessibilità è necessaria per applicare l'autenticazione a due fattori su diversi tipi di utenti.

Naturalmente, anche il tuo budget potrebbe entrare in gioco.

Se vuoi solo proteggere il tuo account WordPress, il plug-in Two-Factor è un ottimo punto di partenza perché supporta una gamma di metodi diversi ed è facile da usare.

D'altra parte, potresti prendere in considerazione WP 2FA o Two Factor Authentication se rientri in una o più delle seguenti situazioni:

1. Vuoi imporre l'autenticazione a due fattori per altri utenti sul tuo sito, inclusa la possibilità di avere regole diverse per diversi tipi di utenti. Ad esempio, potresti richiedere due fattori per i ruoli utente Editor ma non per i ruoli utente Sottoscrittore.
2. Si desidera utilizzare SMS o telefonate come metodo di autenticazione.

WP 2FA può gestire entrambe queste cose, il che lo rende un'ottima opzione a tutto tondo. L'autenticazione a due fattori svolge un buon lavoro nell'impostazione di criteri per diversi tipi di utenti, ma non supporta SMS o telefonate come metodo a due fattori.

Avvolgendo

Non puoi dare un prezzo alla sicurezza dei dati. L'esposizione agli attacchi può danneggiare l'identità del tuo marchio, ridurre la fiducia che gli utenti hanno nei tuoi prodotti o servizi e causare mal di testa e perdite di tempo quando il tuo sito viene violato. Sebbene la sicurezza al 100% non possa essere garantita, l'autenticazione a due fattori è una delle migliori tecniche disponibili per prevenire l'accesso non autorizzato al sito.

I plugin che abbiamo esplorato in questo post sono incredibilmente veloci da installare e indolore semplici da configurare. Anche se non ti piace l'idea di utilizzare un'applicazione mobile, usare il telefono per verificare l'accesso al tuo sito o avere un codice univoco archiviato in un posto sicuro è meglio che affidarsi a una sola password.

Per ulteriori informazioni sulle migliori pratiche di sicurezza, non perdere 14 modi per proteggere il tuo sito WordPress: passo dopo passo e 10 plug-in per aumentare la sicurezza di WordPress.