Gli sviluppatori ora si affidano a un livello di sicurezza più elevato - sos-wp.it
Tante volte parliamo della sicurezza dei siti costruiti con WordPress e di quello che può succedere se vengono scoperte delle vulnerabilità all’interno dei plugin e dei temi.
Abbiamo anche più volte ribadito il concetto che la sicurezza è anche una questione che va oltre l’aspetto tecnico dei siti web. La sicurezza è infatti uno degli elementi su cui gli utenti finali costruiscono l’opinione di un sito web.
Per questo motivo è doppiamente fondamentale che tutto sia protetto nel migliore dei modi possibili. Per aggiungere un ulteriore strato di tranquillità mentale, WordPress.org ha deciso di aggiungere un nuovo obbligo per tutti quelli che hanno accesso ai codici dei plugin e dei temi: l’autenticazione a due fattori. Vediamo i dettagli nell’annuncio pubblicato sul sito ufficiale di Make WordPress e che cosa questo comporta per gli utenti.
Sino al prossimo primo ottobre probabilmente continuerai a vedere un prompt, nel momento in cui fai il login dentro WordPress.org, che ti invita a creare un tuo sistema di autenticazione a due fattori. A partire dal prossimo primo ottobre non sarà più un prompt che si potrà scegliere di ignorare ma diventerà un vero e proprio obbligo.
Nel post è indicata anche la sezione del profilo attraverso cui puoi inserire la tua autenticazione a due fattori. La sezione è quella dedicata alla sicurezza, che trovi nel momento in cui fai login all’interno del profilo WordPress. C’è in più anche l’aggiunta di password svn. Questo è un cambiamento che si affianca all’autenticazione a due fattori.
Le password svn sono solo necessarie nel momento in cui si decide di modificare quello che c’è all’interno del codice dei plugin e dei temi. Svn sta per subversion, ovvero il sistema di gestione del codice che viene utilizzato anche per i plugin che si trovano su WordPress.
Il motivo della presenza delle password svn è quello di avere un leggero spazio tra le credenziali principali degli account di WordPress e gli accessi che si fanno nel momento in cui si devono modificare i codici.
La funzione della password svn è simile, spiega ancora il post, a una password di un account creato appositamente. È un modo per tenere sotto controllo chi accede all’account, evitando che possibili malintenzionati possano raggiungere facilmente il nome utente e la password principale. All’interno del profilo WordPress.org è facilmente possibile generare la propria password svn.
In generale la notizia è stata accolta positivamente, e del resto aggiungere sistemi di protezione non può essere che una buona notizia. C’è però chi fa notare che sarebbe forse stato meglio aggiungere codici otp anziché altre password e altri codici che possono essere dimenticati o perduti o diventare inutilizzabili per vari motivi.
Una informazione che non era espressa chiaramente nel post dedicato ai nuovi sistemi di sicurezza ma che invece si ritrova nella pagina in cui viene spiegato come si attiva l’autenticazione è che questo nuovo sistema di sicurezza è richiesto a chi si occupa di plugin ma che, per esempio, viene caldamente consigliato anche per esempio a chi gestisce i siti web relativi ai WordCamp e in generale a tutti quelli che hanno un ruolo che li coinvolge nei tool interni di WordPress.
Come accennavamo prima, per aggiungere l’autenticazione a due fattori è necessario fare login sul proprio profilo WordPress.org e aprire la sezione dedicata alla sicurezza. Vediamo però più nel dettaglio qual è la procedura e i passi da fare.
Una volta che hai fatto login devi accedere al tab Account e sicurezza. Troverai una voce apposita che si chiama Chiave sicurezza a due fattori. Una volta cliccato sulla voce ti verrà chiesto di registrare una nuova chiave. Il passaggio successivo è inserire un nome per questa chiave nello spazio apposito e cliccare su Registra.
Da questo punto in poi la procedura potrebbe essere leggermente diversa in base al browser che utilizzi. Sul sito ufficiale WordPress si consiglia di utilizzare chiavi diverse se si fa login da device diversi. E, come a voler rispondere a chi si lamentava che forse era il caso di aggiungere password One Time anziché questi sistemi di sicurezza, viene ribadito che le Security key che costituiscono la metà dell’autenticazione a due fattori sono più sicure delle password usa e getta, perché non sono vulnerabili agli attacchi phishing.
La creazione della Security key è però solo metà del lavoro. Perché ovviamente occorre aggiungere anche la password OTP, che nello specifico in questo caso è una password TOTP perché ha come variabile anche il tempo, che nei fatti sblocca l’accesso. I codici sono utilizzati in connessione con gli account e si rigenerano ogni 30 secondi. Per poter utilizzare le password TOTP è necessario avere una app di autenticazione come Google authenticator installata.
Per attivare la seconda metà dell’autenticazione a due fattori occorre di nuovo fare login nel proprio account WordPress e scegliere il tab Account e sicurezza. Sceglie poi la voce App a due fattori e segui le indicazioni che vengono richieste: scansiona quindi il codice QR che viene proposto e digita il codice che appare per attivare il sistema di autenticazione.
La posta elettronica è uno strumento ormai imprescindibile in qualunque strategia di marketing ma configurare…
Su internet si trova di tutto e tu stai cercando idee per i tuoi contenuti.…
Qualunque sito viene pubblicato non vive nel vuoto pneumatico del suo server. La rete è…
I servizi per accorciare link sono molto diffusi. Tanti siti web fanno affidamento su plugin…
Come costruire credibilità, incrementare la visibilità e far crescere i profitti attraverso un sito web.…
Hai un errore nella tua Bacheca WordPress relativo alla versione PHP? Non ti preoccupare, lo…