Proprio un anno fa, scrissi un articolo su come configurare l’autenticazione a 2 fattori su Wordrpess. All’epoca utilizzai l’ottimo “Mini Orange Two Factors Authentication” ed era una scheggia. Oggi questo plugin è diventato qualcosa di più che gestisce la cache, permette di difendersi da attacchi brute force, fornisce uno scanner per scovare eventuali malware sul sito e tanto altro. Tanto altro…. decisamente troppo. A me serviva solo un plugin per implementare l’autenticazione a 2 fattori su WordPress. Così l’ho disinstallato e ne ho scelto un altro.

Two Factor Authenticaton: il Plugin

Il plugin Two Factor Authentication promette si implementare solo l’autenticazione a 2 fattori su Worpdress e in effetti fa solo quello (proprio quello che cercavo).

I plugin che forniscono più opzioni possono essere buoni per nuovi progetti, ma quando il tuo sito ha già tutte le policy di sicurezza impostate, la cache l’hai ottimizzata e tutto il resto è a posto, si rischia solo di installare qualcosa di pesante e da maneggiare con cura per non andare a creare conflittualità con quanto fatto precedentemente.

Ecco perché quando Mini Orange si è dotato di tutte quelle funzionalità qualcosa ha smesso di funzionare sul mio sito, ed era perciò arrivato il momento di dire arrivederci e grazie.

Come configurare il plugin Two Factor Authentication

Configurare questo plugin per l’autenticazione a due fattori è davvero semplice ed immediato. Ci ho messo 15 minuti compreso il tempo di capire come funziona.

Io ho utilizzato l’app Google Authenticator come generatore di codici per procedere all’autenticazione. Se volete fare altrettanto, scaricatelo sul vostro smartphone. Link Android – Link Apple.

Una volta installato ed attivato, lo troveremo nell’elenco dei plugin. Sotto al nome del plugin abbiamo 3 voci:

• User Settings
• Plugin Settings
• Delete

Lasciamo stare la voce delete che, come è ovvio, permette di disinstallare il plugin.

Plugin Settings

Cliccando su plugin settings, entreremo nella dashboard per le impostazioni del plugin.

La prima cosa da notare è che è possibile impostare la disponibilità del meccanismo di autenticazione per ruolo. Possiamo quindi decidere di impostarla per l’amministratore e non per i collaboratori.

Potete comunque lasciare tutto così com’è. Vi segnalo solo la sezione Richieste XMLRPC.

Se utilizzate questo protocollo sul vostro sito, che serve ad esempio per far funzionare i pingback ed altre funzioni di comunicazione di WP (presto l’XMLRPC dovrebbe essere sostituito da una nuova API di WP leggi qui), lasciate selezionato “non richiedere 2FA su XMLRPC”.

User Settings

Portandovi su User Settings, vi ritroverete in un’altra sezione di gestione del plugin, che trovate anche nel menu di sinistra (Two Factor Auth). L’icona è quasi nera per cui si fa fatica a distinguerla.

Una volta dentro dovrete semplicemente spuntare la voce “Enable” e salvare.

A questo punto potete prendere lo smartphone, aprire l’app Google Authenticator, cliccare sulla + (per aggiungere un dispositivo) e inquadrare il Qrcode sullo schermo del computer. Fatto questo, il dispositivo sarà associato e potrete iniziare ad utilizzare l’autenticazione a 2 fattori su WordPress.

Nel momento in cui avete completato la procedura, dopo aver inserito nome utente e password per fare il login, vi verrà mostrata una nuova pagina dove inserire il codice generato dall’app.

Il plugin Two Factor dispone anche di una versione premium ad un prezzo base di 25 euro. La versione premium vi darà molte altre funzionalità, comprese alcune caratteristiche di compatibilità per chi utilizza altri sistemi per i propri moduli di login. Se dopo aver provato questo plugin per l’autenticazione a due fattori su WordPress, vi accorgeste che avete bisogno di qualche funzionalità in più, provate a vedere se nella versione premium sia presente leggendo qui.