Come recuperare da un blocco 2FA di WordPress

Dec 28, 2023

Home » Security Blogger Network » Come recuperare da un blocco 2FA di WordPress

Usare la 2FA per proteggere il tuo sito web WordPress è di gran lunga una delle migliori misure di sicurezza che puoi adottare. Aggiunge un ulteriore livello di sicurezza pur essendo molto facile da configurare. Inoltre, ha una comprovata esperienza nel bloccare la stragrande maggioranza degli attacchi basati sull’accesso, come gli attacchi di forza bruta. Sebbene molti amministratori di WordPress abbiano già implementato la 2FA, molti sono ancora restii ad adottare questa tecnologia. Una delle ragioni principali di ciò è l’idea sbagliata sui blocchi.

In questo articolo esamineremo le misure preventive che puoi adottare per evitare i blocchi. Vedremo anche cosa puoi fare se sei rimasto bloccato a causa della perdita del dispositivo 2FA o di un'interruzione del servizio.

Sommario

2FA può essere facilmente implementato su qualsiasi sito Web WordPress utilizzando un plug-in WordPress. Nella maggior parte dei casi, il plugin funziona indipendentemente da qualsiasi altro servizio e non richiede alcun abbonamento a terze parti. Ciò riduce il numero di "parti mobili" nell'ecosistema. Alcuni metodi 2FA, come SMS, Whatsapp e voce, richiederanno un abbonamento separato per funzionare poiché dipendono da reti di terze parti per fornire l'OTP (One Time Password) necessaria per il funzionamento di 2FA.

In questo articolo, utilizzeremo il plug-in WP 2FA per illustrare le opzioni di ripristino 2FA quando si utilizza 2FA su WordPress. Va notato che WP 2FA viene fornito con non meno di sei diversi canali di autenticazione tra cui scegliere, rendendolo uno dei plugin WordPress 2FA più completi disponibili oggi sul mercato.

Pianificare in anticipo è spesso il modo migliore per evitare i fastidi e le difficoltà di un blocco 2FA. Che tu abbia già configurato 2FA o che tu sia ancora in fase di ricerca, ci sono passaggi che puoi eseguire per evitare blocchi. Ciò non solo allevierà l'apprensione tua e dei tuoi utenti riguardo alla tecnologia, ma eviterà anche tempi di inattività ed eliminerà la perdita di produttività.

Uno dei problemi che molti amministratori di WordPress devono affrontare è che gli utenti non impostano l'autenticazione a due fattori entro il periodo di grazia fornito. A seconda di come è configurata la policy, l'account utente potrebbe essere bloccato, rendendo necessario lo sblocco da parte di un amministratore.

Anche se questa potrebbe essere l'opzione più sicura, se sei un amministratore che gestisce più della tua giusta quota di utenti distratti, potresti voler bloccare l'accesso alla dashboard finché non viene configurato 2FA. Ciò garantisce che gli utenti configurino la 2FA senza richiedere l'intervento da parte tua per sbloccare l'account.

WP2FA offre una selezione di metodi di autenticazione 2FA alternativi per aiutarti a prevenire i blocchi. Poiché i blocchi possono verificarsi per vari motivi che possono essere al di fuori del tuo controllo, ad esempio un utente che dimentica o perde il telefono, adottare misure preventive è sempre una scelta intelligente.

I metodi di verifica alternativi ti consentono di scegliere un metodo 2FA alternativo nel caso in cui il metodo principale fallisca. Qui, un utente può impostare uno qualsiasi dei metodi disponibili come metodo principale e quindi preconfigurare un metodo secondario. Illustriamolo con un esempio. Un utente potrebbe avere l'app TOTP Authenticator impostata come metodo principale e l'e-mail come secondo. Se mai dovessero dimenticare il telefono, portarlo in riparazione o esaurire la batteria, possono semplicemente scegliere di ricevere il loro OTP via e-mail.

WP 2FA offre anche codici di backup che gli utenti possono pre-scaricare da utilizzare nel caso in cui non riuscissero ad accedere con il metodo principale.

Se al momento sei bloccato e non hai configurato un metodo di backup o un metodo secondario, puoi comunque riottenere l'accesso al tuo account WordPress. Tuttavia, ci vorrà solo un po' più di lavoro, ma non dovrebbe richiedere più di qualche minuto.

Prima di andare oltre, dovresti prima controllare se c’è qualche altro utente amministratore che ha ancora accesso a WordPress. In questo caso, puoi chiedere loro di ripristinare la configurazione 2FA tramite la pagina del profilo.

Se non c'è nessuno che possa ripristinare la tua configurazione 2FA, dovrai disabilitare manualmente il plugin in modo da poter accedere a WordPress senza dover inserire il codice 2FA. Avrai bisogno dell'accesso FTP/SFTP o SSH per rinominare il nome della cartella del plugin. Ciò disattiverà effettivamente il plug-in, consentendoti di accedere senza 2FA.