Tante volte parliamo della sicurezza dei siti costruiti con WordPress e di quello che può succedere se vengono scoperte delle vulnerabilità all’interno dei plugin e dei temi.
Abbiamo anche più volte ribadito il concetto che la sicurezza è anche una questione che va oltre l’aspetto tecnico dei siti web. La sicurezza è infatti uno degli elementi su cui gli utenti finali costruiscono l’opinione di un sito web.
Per questo motivo è doppiamente fondamentale che tutto sia protetto nel migliore dei modi possibili. Per aggiungere un ulteriore strato di tranquillità mentale, WordPress.org ha deciso di aggiungere un nuovo obbligo per tutti quelli che hanno accesso ai codici dei plugin e dei temi: l’autenticazione a due fattori. Vediamo i dettagli nell’annuncio pubblicato sul sito ufficiale di Make WordPress e che cosa questo comporta per gli utenti.
Per gli autori di plugin e temi arriva l’obbligo 2FA
Sino al prossimo primo ottobre probabilmente continuerai a vedere un prompt, nel momento in cui fai il login dentro WordPress.org, che ti invita a creare un tuo sistema di autenticazione a due fattori. A partire dal prossimo primo ottobre non sarà più un prompt che si potrà scegliere di ignorare ma diventerà un vero e proprio obbligo.
Nel post è indicata anche la sezione del profilo attraverso cui puoi inserire la tua autenticazione a due fattori. La sezione è quella dedicata alla sicurezza, che trovi nel momento in cui fai login all’interno del profilo WordPress. C’è in più anche l’aggiunta di password svn. Questo è un cambiamento che si affianca all’autenticazione a due fattori.
Le password svn sono solo necessarie nel momento in cui si decide di modificare quello che c’è all’interno del codice dei plugin e dei temi. Svn sta per subversion, ovvero il sistema di gestione del codice che viene utilizzato anche per i plugin che si trovano su WordPress.
Il motivo della presenza delle password svn è quello di avere un leggero spazio tra le credenziali principali degli account di WordPress e gli accessi che si fanno nel momento in cui si devono modificare i codici.
La funzione della password svn è simile, spiega ancora il post, a una password di un account creato appositamente. È un modo per tenere sotto controllo chi accede all’account, evitando che possibili malintenzionati possano raggiungere facilmente il nome utente e la password principale. All’interno del profilo WordPress.org è facilmente possibile generare la propria password svn.
In generale la notizia è stata accolta positivamente, e del resto aggiungere sistemi di protezione non può essere che una buona notizia. C’è però chi fa notare che sarebbe forse stato meglio aggiungere codici otp anziché altre password e altri codici che possono essere dimenticati o perduti o diventare inutilizzabili per vari motivi.
Una informazione che non era espressa chiaramente nel post dedicato ai nuovi sistemi di sicurezza ma che invece si ritrova nella pagina in cui viene spiegato come si attiva l’autenticazione è che questo nuovo sistema di sicurezza è richiesto a chi si occupa di plugin ma che, per esempio, viene caldamente consigliato anche per esempio a chi gestisce i siti web relativi ai WordCamp e in generale a tutti quelli che hanno un ruolo che li coinvolge nei tool interni di WordPress.
Come si attiva la configurazione 2FA
Come accennavamo prima, per aggiungere l’autenticazione a due fattori è necessario fare login sul proprio profilo WordPress.org e aprire la sezione dedicata alla sicurezza. Vediamo però più nel dettaglio qual è la procedura e i passi da fare.
Una volta che hai fatto login devi accedere al tab Account e sicurezza. Troverai una voce apposita che si chiama Chiave sicurezza a due fattori. Una volta cliccato sulla voce ti verrà chiesto di registrare una nuova chiave. Il passaggio successivo è inserire un nome per questa chiave nello spazio apposito e cliccare su Registra.
Da questo punto in poi la procedura potrebbe essere leggermente diversa in base al browser che utilizzi. Sul sito ufficiale WordPress si consiglia di utilizzare chiavi diverse se si fa login da device diversi. E, come a voler rispondere a chi si lamentava che forse era il caso di aggiungere password One Time anziché questi sistemi di sicurezza, viene ribadito che le Security key che costituiscono la metà dell’autenticazione a due fattori sono più sicure delle password usa e getta, perché non sono vulnerabili agli attacchi phishing.
La creazione della Security key è però solo metà del lavoro. Perché ovviamente occorre aggiungere anche la password OTP, che nello specifico in questo caso è una password TOTP perché ha come variabile anche il tempo, che nei fatti sblocca l’accesso. I codici sono utilizzati in connessione con gli account e si rigenerano ogni 30 secondi. Per poter utilizzare le password TOTP è necessario avere una app di autenticazione come Google authenticator installata.
Per attivare la seconda metà dell’autenticazione a due fattori occorre di nuovo fare login nel proprio account WordPress e scegliere il tab Account e sicurezza. Sceglie poi la voce App a due fattori e segui le indicazioni che vengono richieste: scansiona quindi il codice QR che viene proposto e digita il codice che appare per attivare il sistema di autenticazione.
