Archives For Duo

Una domanda apparentemente complessa che merita una risposta semplice, per cercare di incontrare quanto più pubblico alle prime armi possibile. Ho risposto in separata sede, mi piace però condividere pubblicamente quella che secondo me può essere una buona scaletta per far muovere i primi passi al tuo nuovo sito web basato su WordPress (a prescindere che si tratti di blog personale o altro tipo di idea). Ti invito a dire la tua nell’area commenti, inserendo nuovi punti esclusi dalla mia personale lista, ma evidentemente non per questo non meritevoli di menzione. Cominciamo?

WordPress: ShortPixel Image Optimizer 8

#1: Creare un account amministrativo diverso

In realtà di questo argomento ne abbiamo già parlato, forse lo ricorderai. Mi cito copiando e incollando un passaggio fondamentale di questo diverso articolo:

Ciò che intendo è, per esempio, non utilizzare l’account amministrativo di default (che va quanto prima degradato a semplice utente, se non addirittura eliminato), in favore di un nuovo account da te appositamente realizzato, amministrativo, con username non facilmente indovinabile e con una password complessa (parleremo anche di password robuste quanto prima, ma ti porto a questa vignetta, che tanto spiega in merito). Non utilizzare la stessa password che hai già usato in passato per altri servizi. Fatti aiutare da un buon password manager se ti serve.

Il consiglio rimane lo stesso identico: elimina quanto prima l’account “admin” creato automaticamente da WordPress, non prima di averne creato uno diverso con gli stessi poteri, il quale dovrà avere username differente, più complesso, così come la password, che dovrà inoltre essere dedicata e non condivisa con altri servizi che sfrutti su internet. Posso comprendere che questa sia per te una scocciatura, ma ringrazierai quel giorno in cui qualcuno scoprirà (per errore altrui) qualche tua coppia di credenziali (ne parlo nell’articolo Firefox Monitor ti avvisa in caso di furto credenziali) e le userà anche per appropriarsi del tuo sito web.

Fondamentale e oggi ormai dato per scontato è il doppio passaggio di autenticazione. In passato ti ho parlato di Authy, ho poi virato verso un diverso metodo di verifica autenticazione, te ne ho parlato nell’articolo WordPress: migrazione da Authy OneTouch a Duo.

#2: Creare gli account aggiuntivi per editor e collaboratori

Che, a voler essere puntigliosi, potrebbero bastare anche alla tua quotidianità. Le operazioni da eseguire tramite l’account amministrativo sono relativamente poche se hai ormai configurato al meglio il tuo sito WordPress, per questo motivo potresti pensare di creare per te un account “Editor” in grado di scrivere, modificare o cancellare qualsivoglia contenuto pubblicato (o in attesa di pubblicazione), lasciando all’amministratore il compito della manutenzione del software, l’installazione di qualche plugin e poco più. Occhio a ciò che permetti ai tuoi collaboratori, i ruoli di WordPress sono pochi e ben spiegati nel documento Roles and Capabilities sul Codex.

Per aggiungerne di nuovi, io ho utilizzato (e utilizzo tutt’oggi) il plugin Members, fantastico per poter creare nuovi ruoli e modificarne i permessi scendendo molto nel dettaglio (puoi permettere o negare singole azioni, la granularità è davvero ottima):

Members
Members
Developer: Justin Tadlock
Price: Free

#3: Occhio al fuso orario

Sembra una banalità ma non lo è, il fuso orario di WordPress (Timezone nelle installazioni in inglese, come la mia) è fondamentale quando programmi la pubblicazione di un articolo, non vorrai mica rischiare di tirare fuori dei pezzi a orari tutt’altro che in accordo con la tua linea editoriale, vero? :-)

SettingsGeneral (Impostazioni → Generali in italiano) nella tua dashboard amministrativa, quindi seleziona Roma (immagino) nel menu a tendina in corrispondenza del fuso orario:

WordPress: muovere i primi passi post-installazione 1

#4: Permetti la Visibilità ai motori di ricerca

Altro parametro che può passare inosservato ma che è fondamentale se vuoi iniziare a macinare qualche visita oltre quelle che sei solito fare tu per amministrare il sito web o scrivere e pubblicare contenuti. All’interno delle Impostazioni di lettura troverai un’opzione relativa alla Visibilità ai motori di ricerca, ciò che permette a Google e soci di indicizzare i tuoi contenuti e renderli fruibili da chi lancia query tramite i siti web più utilizzati al mondo (i motori di ricerca, per l’appunto).

WordPress: muovere i primi passi post-installazione 2

Assicurati che questa non sia impostata per scoraggiare tale comportamento, configurazione che solitamente si usa durante la preparazione del sito web, che va assolutamente modificata quando questo andrà in produzione e farà il suo debutto sul web.

#5: Configura una corretta struttura Permalink

In breve: Un permalink o collegamento permanente è un tipo di URL che si riferisce ad una specifica informazione, implementato in modo da non cambiare o almeno da rimanere lo stesso per lunghi periodi di tempo. Il termine è spesso impiegato nell’ambito dei blog per indicare il link ad un determinato post.

Continua su it.wikipedia.org/wiki/Permalink

È ciò che condurrà il lettore al tuo articolo negli anni, a prescindere da ciò che succederà, dando stabilità ai risultati di un motore di ricerca, rendendolo ben felice di continuare a servirti e portare al tuo porto nuove visite. È una struttura molto importante, critica per certi versi, è giusto deciderla all’avvio di un tuo nuovo progetto, la puoi configurare da ImpostazioniPermalink. Per questo blog ho scelto ormai tanti anni fa quella basata su anno/mese/giorno e nome dell’articolo, se potessi tornare indietro (cosa che comunque puoi pilotare abbastanza agilmente, con tanta pazienza e qualche giusto aiuto) sceglierei quella basata solo sul nome dell’articolo.

WordPress: muovere i primi passi post-installazione 3

#6: I soli Permalink non risolvono tutto, genera una Sitemap

La Sitemap permette a Google di venire a conoscenza di tutti i collegamenti che un lettore può fruire all’interno del tuo nuovo sito web, generarla e darla in pasto al motore di ricerca toglie carico di lavoro a quest’ultimo, il quale -salvo errori- digerirà immediatamente quanto dato in pasto, generando immediatamente visite a tuo favore (ammesso che l’utente stia cercando ciò che tu metti a disposizione). Per farlo puoi farti dare una mano da uno dei tantissimi (pure troppi) plugin disponibili sul repository ufficiale di WordPress. Io, come tanti altri, utilizzo la funzione integrata all’interno di Yoast, quella che trovi all’interno di SEOFeatures → XML Sitemaps:

Yoast SEO
Yoast SEO
Developer: Team Yoast
Price: Free

WordPress: muovere i primi passi post-installazione 4

#7: Hai attivato Google Analytics?

Restiamo sull’argomento statistiche e corretta gestione da parte dei motori di ricerca. Analytics è lo strumento realizzato da Google per tenere d’occhio le proprie “performance” (che detta così suona un po’ come un film di Rocco, ma non è ciò su cui si fonda il pezzo!), per cercare di costruire una strada di costante miglioramento, seguire i gusti dei lettori (senza dimenticarsi però che l’opera è prima di tutto tua, deve piacere a te), sfoderare l’asso quando serve tirarlo fuori dalla manica.

A tal proposito, ThemeTrust aveva pubblicato un articolo molto ricco e ben realizzato (in inglese) che puoi trovare all’indirizzo themetrust.com/google-analytics-in-wordpress (se vuoi proporre un’alternativa altrettanto valida in italiano sei il benvenuto, lascia un commento a fondo articolo!).

#8: Il backup ragazzo, il backup.

Ripeti con me: creerò e manterrò un backup aggiornato del mio sito web, di ogni suo contenuto e del database. Ora continua a ripeterlo, ma nel frattempo metti in piedi una soluzione di backup del tuo WordPress. Ci sono mille metodi validi, io continuo a operare su due piani diversi, facendo più backup al giorno del database MySQL e un backup quotidiano dei file. Te ne ho già parlato qui, ma ti ripropongo lo specifico passaggio:

Avere una copia di backup aggiornata è fondamentale per evitare di incorrere in possibili disastri (causati da te, dal tuo provider o da qualcuno di completamente estraneo).
Per portare a termine questa operazione esistono decine di plugin, sia gratuiti che a pagamento. Io ho scelto di affidarmi a BackUpWordPress della Human Made.

BackUpWordPress

In conclusione

Di punti ce ne potrebbero essere molti altri, ci si ferma qui per convenienza e per non mettere ulteriore carne sul fuoco, ma sei libero di suggerirne di nuovi, per poterli integrare all’interno di questa lista o per giustificare una nuova pubblicazione dedicata, libero sfogo ai tuoi consigli quindi. Resto a disposizione anche per correggere qualche svista o migliorare qualche punto sopra riportato, un po’ come sempre capita :-)

Buon divertimento!


liberamente ispirato a themetrust.com/do-after-launching-a-wordpress-site

Condividi l'articolo con i tuoi contatti:

Che poi tanto nuova non è, ma questo dipende esclusivamente dal mio tempo libero e dalla possibilità di scrivere qui sul blog. Instagram ha finalmente abbandonato (anche se non in via esclusiva, bensì solo a richiesta dell’utente finale) la verifica in due fattori con il messaggio (SMS) post-autenticazione. Dalla notte dei tempi (in realtà da sempre), il messaggio di testo recapitato sullo smartphone non garantisce affatto la sicurezza che questo venga letto esclusivamente dal proprietario del dispositivo (e quindi proprietario anche dell’account Instagram), progressivamente questa forma di verifica sta andando –meglio tardi che mai– in pensione, lasciando spazio a soluzioni alternative più robuste.

Sicurezza: la nuova 2-step verification di Instagram

Bando alle ciance, è ora di togliere di mezzo il vecchio SMS, procediamo insieme all’abilitazione dell’autenticazione a due fattori tramite codice generato randomicamente o autorizzazione tramite diversa applicazione (nel mio caso ho usato Duo, della quale ti ho parlato in questo articolo).

  • Apri Instagram e spostati nelle Impostazioni del tuo account.
  • Sotto alla voce Privacy e sicurezza seleziona Autenticazione a due fattori.
  • Abilita la voce “App di autenticazione” quindi segui le istruzioni a video. Io, senza doverlo specificare, ho potuto procedere con “Duo Security“, in quanto l’applicazione è già installata sul mio Android per fare da tramite verso l’area amministrativa di WordPress, mi è quindi bastato confermare il tutto (e farmi riconoscere da Duo) per completare l’operazione. Tu, in alternativa, puoi selezionare la voce “Configura manualmente” (in basso nella schermata), accederai così alla configurazione che già certamente conosci per la verifica a due fattori, quella composta dal solito QR code da dare in pasto a Google Authenticator o Authy per ottenere il codice generato randomicamente.
  • Non dimenticare, in fase di termine attivazione, di accedere ai tuoi codici di backup, prendendone nota (o catturando uno screenshot), ti serviranno per eludere il controllo via 2FA nel caso in cui il tuo telefono (o applicazione di creazione codici) non sia disponibile.

Un consiglio in chiusura articolo: se vuoi, disattiva la verifica in due passaggi tramite SMS, così facendo l’unico metodo utilizzabile sarà quello basato sull’applicazione che genera i codici random, quello che generalmente bisognerebbe adottare nella totalità dei casi.

Condividi l'articolo con i tuoi contatti:

Qualche giorno fa ti ho parlato di Duo, plugin di sicurezza per WordPress che ho scelto come erede e sostituto di Authy, a seguito della cessazione dello sviluppo di quest’ultimo. Oggi ti propongo qualche nuova riga di testo per raccontarti come modificare il comportamento di Duo affinché non permetta null’altro se non la notifica push e il codice generato randomicamente (offline) per darti la possibilità di superare la fase di autenticazione 2-Step.

Duo Security: modificare i metodi di autenticazione concessi 3

Se la tua password è corretta e approdi alla schermata successiva, Duo permette –tra l’altro– di far partire una chiamata verso il numero di telefono da te associato all’account, dettando il codice di autenticazione a voce. Questo però necessita di crediti telefonici che, volendo usufruire delle funzioni gratuite di Duo, vanno contro il principio stesso di gratuità.

Per aggirare l’ostacolo, accedi alla Dashbord di Duo, quindi naviga in ApplicationsWordPress (dove WordPress in realtà potrebbe corrispondere al nome che tu hai voluto dare alla tua installazione da proteggere) → Policy. Qui, in linea con la voce Application policy, potrai specificare una nuova policy che conterrà una modifica ai metodi di autenticazione, come suggerito nella documentazione ufficiale del prodotto all’indirizzo duo.com/docs/administration-settings#authentication-methods.

Puoi ignorare tutto e andare direttamente alla voce Authentication Methods (paragrafo Authentication), togliendo il segno di spunta dall’opzione Phone callback, come nell’immagine qui di seguito:

Duo Security: modificare i metodi di autenticazione concessi 1

Salvando la nuova policy (alla quale dovrai dare un nome, e io ti consiglio di fare in modo che tu possa capire immediatamente di cosa si tratta!), questa verrà applicata all’applicazione protetta, confermato subito a video se non è stato commesso errore alcuno:

Duo Security: modificare i metodi di autenticazione concessi

La modifica è quindi già operativa e potrai tu stesso verificarla provando a collegarti alla tua installazione WordPress (magari da una sessione anonima del browser, se sei già connesso e autenticato). Noterai che gli unici metodi di conferma dell’identità disponibili saranno la notifica push (Duo Push) e un Passcode generato dall’applicazione di Duo randomicamente, come sempre accaduto con Google Authenticator o Authy:

Duo Security: modificare i metodi di autenticazione concessi 2

A questo punto potrai dimenticarti dei crediti telefonici e goderti l’autenticazione a due fattori gratuita, con la tranquillità del bivio doppio disponibile e che -in qualche maniera- ti permetterà sempre di accedere al tuo blog (o qualsivoglia altra applicazione protetta da Duo).

Buon lavoro!

Condividi l'articolo con i tuoi contatti:

Nel 2016 ti avevo parlato di come potessi rendere molto più semplice e comoda l’autenticazione in due fattori del tuo WordPress appoggiandoti al plugin ufficiale di Authy. Oggi, a distanza di meno di due anni da quel mio articolo, sono costretto a mettere tutto da parte perché Authy ha dichiarato (alcuni giorni fa) di aver abbandonato lo sviluppo del plugin, chiedendo ai suoi utilizzatori di smettere di utilizzarlo e passare a qualcosa di diverso, supportato e aggiornato.

WordPress: migrazione da Authy OneTouch a 2FAS

Il mea culpa è d’obbligo perché solo qualche fa ho rispolverato (solo proponendo la lettura) quel vecchio articolo, perché non mi ero accorto dell’annuncio ufficiale di Authy comparso su Medium, loro piattaforma di pubblicazione degli articoli che li riguardano.

View story at Medium.com

Mi sono messo quindi alla ricerca di una valida alternativa, ponendo il cuore in pace riguardo l’autenticazione con tocco singolo e l’icona personalizzata nell’applicazione per smartphone / tablet / PC che Authy ha sempre proposto. Per la prima c’è rimedio (anche se si tratta nuovamente di appoggiarsi a qualcosa di custom che un bel giorno potrebbe cessare di funzionare), per la seconda sembra meno, “echissefrega” dirai tu, cosa che vale anche per me, perché l’importante è ripristinare il secondo layer di sicurezza post-inserimento e conferma password dell’account.

Quali alternative esistono?

Una pagina del Codex di WordPress parla proprio di autenticazione a due fattori e, tra le varie, suggerisce anche alcune alternative disponibili tra i plugin che si possono cercare e installare sul proprio blog fuori da WordPress.com: codex.wordpress.org/Two_Step_Authentication#Plugins_for_Two-Step_Authentication. Mi preme segnalarti che anche Jetpack (il famoso plugin di Automattic) propone una sua autenticazione in due fattori, ma ti costringe a passare dal sistema di login di WordPress.com che io ho personalmente evitato (preferisco tenere i mondi separati).

Cosa resta quindi? Beh, di plugin fortunatamente ce ne sono davvero tantissimi, e le regole sono sempre le stesse. Ti posso consigliare in linea di massima tutto ciò che viene ancora mantenuto (quindi aggiornato costantemente), supportato (basta dare un’occhiata alle richieste di assistenza, anche sul repository di WordPress.org) e con molte installazioni all’attivo. Nonostante ci siano plugin assolutamente robusti e non più aggiornati, non posso mettere la mano sul fuoco e dirti che ci sia certezza piena che oggi questi siano ancora in linea con le misure di sicurezza necessarie per la tua tranquillità.

Questo è l’elenco proposto a oggi dal Codex, trovi il mio commento messo subito di fianco:

  • Authy: che ha dichiarato disfatta e termine dello sviluppo lo scorso 12 gennaio.
  • Duo: quello che sto attualmente utilizzando e che meglio ti spiegherò nella seconda parte di questo articolo.
  • Google Authenticator: ciò che ho utilizzato prima di passare al plugin di Authy, che però non riceve aggiornamento alcuno da circa un anno.
  • Rublon: ancora aggiornato, ma con recensioni ben poco lusinghiere in merito a malfunzionamenti e possibili punti di debolezza, considerando inoltre che si tratta di un plugin che permette di impostare il 2FA per un solo utente per installazione (stesso blog ma due autori? Puoi usarlo solo pagando), forse non la migliore opzione per un blog amatoriale senza fini di lucro.
  • WordFence: sicuramente aggiornato e supportato, ma fa ben più di ciò che serve a me e te in questo momento.

A questo elenco potrei aggiungere le due varianti di 2FAS che ho avuto occasione di mettere alla prova, plugin in versione Lite e Pro che offre alcune intelligenti possibilità e che permette l’autenticazione a due fattori basata su codice randomico (si continua quindi a usare Authy, nda). 2FAS permette inoltre di aggiungere una macchina fidata all’elenco di quelle che possono evitare la 2FA al login (Trusted), oppure utilizzare un codice di backup offline precedentemente generato, in caso di emergenza. Buona velocità di login post-riconoscimento e una possibile alternativa che però non ha moltissime installazioni, aggiornate (entrambe) nell’arco degli ultimi 10 mesi.

La mia scelta: DUO

Voce della lista Codex, Duo è un prodotto evidentemente dedicato al business che però strizza l’occhio anche alle installazioni più piccole, casalinghe, un po’ come questa che stai leggendo. Contrariamente ad altri prodotti, “tiene in casa” il mezzo di autenticazione, quindi si va oltre l’applicazione di Authy che hai già su iOS o Android, ma in cambio ti dà il clic singolo per autorizzare un login via notifica push (ciò che sostituisce il OneTouch di Authy, nda) e un più snello sistema di associazione al tuo account poiché con uno solo di questo (connesso alla tua casella di posta elettronica e al tuo device preferito), potrai confermare il collegamento a più prodotti, senza necessità di creare un QR per ciascun nuovo sito web / WordPress.

Setup

Installa il plugin all’interno del tuo WordPress e intanto vai a creare un nuovo account sul sito web ufficiale partendo da questo documento: duosecurity.com/docs/wordpress.

Duo Two-Factor Authentication
Duo Two-Factor Authentication

La creazione di un account nuovo sul sito di Duo richiederà che tu abbia a bordo del tuo smartphone l’applicazione dedicata (puoi anche farne a meno se decidi di utilizzare SMS o chiamata, ma sconsiglio entrambe le alternative, nda), puoi scaricarla partendo da questi badge (o cercarla manualmente nel tuo store di riferimento):

Duo Mobile
Duo Mobile
Price: Free
Duo Mobile
Duo Mobile
Developer: Duo Security
Price: Free

Una volta inserito il tuo numero di telefono e pochi altri dettagli che ti riguardano, avrai accesso alla console di amministrazione del servizio, dalla quale si potrà cominciare a iniziare la fase vera e propria di configurazione dell’autenticazione a due fattori. Naviga in Applications, quindi fai clic su Protect an Application. Inizia a scrivere WordPress, poi fai clic su Protect this Application in sua corrispondenza:

WordPress: migrazione da Authy OneTouch a Duo

Nella schermata che ti si caricherà, avrai già a disposizione i 3 dati fondamentali per collegare Duo al tuo blog (e relativo plugin): Integration key, Secret key e API hostname. Copia e riporta nella pagina del plugin sul tuo blog i 3 dettagli, imposta i livelli che dovranno sottostare all’autenticazione a due fattori (Enable for roles) e infine scegli se disabilitare il protocollo XML-RPC di WordPress (occhio, serve a Jetpack). Conferma il tutto con Save Changes.

A questo punto partirà la configurazione dell’account utente associato a quel blog (e ai successivi che faranno uso del plugin e saranno associati alla stessa console di amministrazione, nda). Inserisci i dettagli richiesti (non dovresti aver necessità di specificare null’altro rispetto a quanto già inserito precedentemente) e scansiona il nuovo codice QR generato per l’applicazione Duo, quindi conferma l’accesso tramite notifica push.

Salvo errori, sarai ora connesso al tuo blog e ti troverai in Dashboard, con possibilità di gestire nuovamente la tua creatura, nuovamente protetta dall’autenticazione a due fattori.

Cos’altro c’è da dire

WordPress: migrazione da Authy OneTouch a Duo 5

Duo è uno di quei prodotti parecchio strutturati, ricco di funzioni che probabilmente mai avrai necessità di utilizzare, ma è certamente interessante scoprire la console e ogni sua voce, esplorare, modificare, sperimentare. Io non mi voglio addentrare in alcuna di queste perché la maggior parte sono legate a un abbonamento di tipo Premium dal costo di 6$/mese/utente che ti viene dato in prova per 30 giorni, oltre i quali l’account verrà scalato a gratuito (perdendo quelle caratteristiche extra), utile per gestire l’autenticazione a due fattori di WordPress ma anche di altre applicazioni (ecco, di quelle possiamo anche parlarne in futuro, in un altro articolo magari).

WordPress: migrazione da Authy OneTouch a Duo 6

Una chicca però che rimarrà c’è ed è subito sfruttabile, è quella relativa all’access log, una panoramica su chi ha fatto accesso, da dove / quando / perché / “un fiorino” (irresistibile, dovevo scriverla). Puoi darci un’occhiata anche tu andando in ReportsAuthentication Log:

WordPress: migrazione da Authy OneTouch a Duo 7

Ricordati che una rapida panoramica (contenente inoltre una mappa del mondo per mostrare graficamente i punti di accesso) è sempre disponibile nella pagina principale della Dashboard (di Duo, nda).

In conclusione

Credo di aver detto praticamente tutto e averti trattenuto più del dovuto sull’articolo (grazie per essere arrivato a leggere fino a qui), ma ci tenevo a pubblicare ogni dettaglio utile per la tua migrazione a un nuovo alleato per la 2FA su WordPress. Probabilmente in futuro proverò altre soluzioni ma, almeno per il momento, questa è quella che ho reputato essere la migliore nel rapporto tra pro e contro, di certo –per quanto riguarda questi ultimi– mi mancherà il non poter approvare l’accesso direttamente dall’applicazione installata sul mio PC, ma poco male, il telefono è quasi sempre a portata di mano.

Fammi sapere nei commenti se tu hai usato altre alternative, sai bene che mi piace sempre confrontare ogni possibile soluzione.

Cheers.

Condividi l'articolo con i tuoi contatti: