
L’autenticazione a due fattori (2FA) protegge l’accesso a WordPress aggiungendo, oltre alla password, un secondo codice temporaneo generato dal telefono: anche se la password viene scoperta, l’attaccante non entra. È la difesa più efficace contro gli attacchi brute force, sempre più frequenti sui siti WordPress. In questa guida vedi cos’è un attacco brute force e come attivare la 2FA per mettere in sicurezza il login.
Nell’ultimo periodo sono cresciuti gli attacchi “Brute Force” ai siti web in WordPress.
Lo stesso Wordfence, che si occupa di sicurezza in WP, ha segnalato la pericolosità di questi attacchi hacker che mirano a “forzare” le password per l’accesso e (una volta ottenuto l’accesso) propagano poi l’azione attraverso una rete di siti bot infetti.
Cos’è un attacco Brute force?
Per chi non lo sapesse ancora, si parla di un attacco brute force ad un sito web in WordPress, quando attraverso un meccanismo automatizzato, gli hacker tentano di indovinare password e username di centinaia di siti. Nel caso la corrispondenza di user e password sia indovinata, ne assumeranno il controllo sul backend o pannello d’amministrazione.
Come si cade nel mirino degli hacker?
In realtà non esiste un motivo specifico che rende un sito web più “appetibile” per questo tipo di attacchi. Tuttavia, esiste una negligenza comune alla maggior parte dei proprietari di un sito web: l’attribuzione di password d’accesso semplici o addirittura “ripetute” in diverse occasioni. Questo è il principale motivo di vulnerabilità di un sito web.
Come provvedere alla sicurezza di un blog/sito WordPress?
Se possiedi un sito e ti sei accorto adesso che la tua password d’accesso è vulnerabile, non hai che da provvedere compiendo i seguenti passaggi:
- Modifica la tua Username se hai lasciato: Admin (generalmente ripeto questa buona regola ai miei clienti come un mantra)
- Modifica la password se hai messo il tuo nome, 1234, o abcd e così via
- Scegli di rendere ancora più sicuro il tuo sito con UNLOQ
Cos’è UNLOQ?
UNLOQ è un sistema distribuito di autenticazione con un livello di crittografia enterprise. I dati sono crittografati con lo standard AES-256-CBC e viene utilizzata la connessione TLS per tutte le comunicazioni.
In parole semplici, si tratta di un sistema di autenticazione a due fattori che rende l’accesso al sito in WP ancora più sicuro. Potrei definirlo “l’armatura per il tuo sito”.
Come si ottiene questa armatura?
Per mettere in sicurezza WordPress innanzitutto bisogna provvedere all’installazione del plugin sul proprio blog WordPress e ad installare sul proprio telefonino la app.
Dopo il primo setup, dovrai eseguire queste azioni:
- Clicca sul pulsante per ricevere una notifica push sul cellulare
- Conferma sulla richiesta approvandola per accedere all’area riservata.
Quindi, non avrai più bisogno di password complesse da ricordare.
E’ possibile personalizzare l’interfaccia con splash screen, logo e colori dell’azienda o del sito.
In alternativa alla notifica push è possibile utilizzare una OTP (One Time Password) o l’accesso via email.

Infine, tra le opzioni è presente anche una funzionalità Firewall: per una maggiore sicurezza è possibile infatti restringere l’accesso solo a certi IP o zone geografiche specifiche.
Naturalmente UNLOQ non è l’unico sistema di autenticazione a 2 fattori: ne esistono tanti altri tra i quali Google Authenticator e Clef (purtroppo non più attivo, e di cui avevo parlato in questo articolo).
Domande frequenti sull’autenticazione a due fattori in WordPress
Cos’è l’autenticazione a due fattori su WordPress?
È un sistema che, oltre alla password, richiede un secondo codice temporaneo generato dal telefono o da un’app come Google Authenticator. Anche se la password viene rubata, senza il secondo fattore l’accesso resta bloccato.
Come attivo la 2FA su WordPress?
Con un plugin di sicurezza dedicato: lo installi, lo colleghi a un’app di autenticazione sul telefono e da quel momento il login richiede password più codice. Si configura in pochi minuti.
Cos’è un attacco brute force?
È un attacco in cui dei bot provano automaticamente migliaia di combinazioni di username e password per forzare l’accesso. La 2FA lo rende inefficace, perché manca comunque il secondo codice.
La 2FA è davvero necessaria su WordPress?
Sì, soprattutto perché gli attacchi al login sono in costante aumento. È una delle protezioni più efficaci e semplici da attivare, e riduce molto il rischio di accessi non autorizzati.
Cosa succede se perdo il telefono con la 2FA attiva?
I plugin di 2FA forniscono codici di recupero da conservare in un posto sicuro al momento dell’attivazione. Con quelli rientri nell’account e riconfiguri il secondo fattore su un nuovo dispositivo.
Vuoi proteggere il login del tuo sito WordPress?
Chiamami al 329 6277 257. Mi occupo di sicurezza e manutenzione WordPress a Bari.
Scrivimi per una consulenzaCondividi


