DataFirefly 2FA Fortress — Guida completa
Installare, configurare e gestire l'autenticazione a due fattori per il back-office di WordPress e gli account dei clienti WooCommerce: TOTP, e-mail, codici di recupero, applicazione per ruolo e periodo di tolleranza.
DataFirefly 2FA Fortress aggiunge un’autenticazione a due fattori completa al back-office di WordPress e agli account dei clienti di WooCommerce. Decidete, ruolo per ruolo, se la 2FA è disattivata, opzionale o obbligatoria, con un periodo di tolleranza prima del blocco. Sono disponibili tre metodi: app di autenticazione (TOTP), codice via e-mail e codici di recupero monouso. Questa guida copre l’installazione, le impostazioni, l’attivazione da parte dell’utente e del cliente, l’accesso, l’amministrazione e la risoluzione dei problemi.
Installazione
- Scaricate l’archivio
df-twofactor.zipdal vostro account DataFirefly. - Bacheca di WordPress → Plugin → Aggiungi nuovo → Carica plugin → inviate lo ZIP, poi Attiva.
- All’attivazione, il plugin crea la sua tabella di registro di sicurezza, genera una chiave di cifratura dedicata e aggiunge il menu DataFirefly 2FA.
Compatibile con WordPress da 6.0 a 7.x e PHP da 8.1 a 8.3. Compatibile con WooCommerce HPOS (archiviazione ordini ad alte prestazioni) e Cart/Checkout Blocks, multisito e multilingua. Nessuna dipendenza da Composer.
Avvio rapido in tre minuti
- Aprite DataFirefly 2FA → Impostazioni e scegliete la modalità per ruolo (almeno Obbligatoria per gli amministratori).
- Definite un periodo di tolleranza (7 giorni per impostazione predefinita) per dare a tutti il tempo di configurare la 2FA.
- Andate sul vostro profilo e attivate l’app TOTP: scansionate il codice QR, inserite il codice a 6 cifre e scaricate i vostri codici di recupero.
- Disconnettetevi e riconnettetevi: ora viene richiesto un codice dopo la password.
Attivate sempre almeno un metodo di recupero (codici di recupero o e-mail) prima di rendere la 2FA obbligatoria: è ciò che evita il blocco in caso di smarrimento del telefono.
Impostazioni generali (back-office)
Tutte le impostazioni si trovano in DataFirefly 2FA → Impostazioni.
Applicazione per ruolo
Per ogni ruolo (amministratore, editore, gestore del negozio, cliente…), scegliete una delle tre modalità:
- Disattivata: la 2FA non è né proposta né richiesta per questo ruolo.
- Opzionale: gli utenti possono attivarla se lo desiderano.
- Obbligatoria: l’utente deve configurarla; superato il periodo di tolleranza, l’accesso è bloccato finché non è attiva.
Quando un utente ha più ruoli, si applica il livello più restrittivo.
Periodo di tolleranza
Il periodo di tolleranza (in giorni) si applica agli utenti soggetti a 2FA obbligatoria che non l’hanno ancora configurata. Durante questo intervallo, un promemoria indica i giorni rimanenti. A 0 giorni, la configurazione è richiesta dal primo accesso.
Metodi consentiti
Attivate i metodi offerti ai vostri utenti: app TOTP, codice via e-mail e codici di recupero. TOTP è consigliato come metodo principale; i codici di recupero fungono da rete di sicurezza. Il campo Nome visualizzato (issuer) definisce l’etichetta mostrata nell’app di autenticazione (per impostazione predefinita, il nome del sito).
Dispositivi attendibili
L’impostazione Ricorda il browser (in giorni) consente a un utente di non essere più sottoposto alla verifica su un dispositivo convalidato per la durata scelta. Il valore 0 disattiva completamente questa funzione.
Protezione anti forza bruta
Definite il numero di tentativi consentiti prima del blocco temporaneo e la durata di tale blocco. La tolleranza TOTP compensa gli orologi leggermente sfasati: 1 accetta il codice precedente e quello successivo. Aumentarla riduce la sicurezza.
Codice via e-mail
Impostate la validità del codice ricevuto via e-mail e il tempo minimo tra due invii (anti-spam). Il codice è monouso e scade automaticamente.
Clienti e notifiche
- Opt-in del cliente: consente ai clienti di attivare la 2FA da «Il mio account» in WooCommerce.
- Nuovo dispositivo: invia un’e-mail informativa a un accesso convalidato da un dispositivo mai visto.
Attivare la propria 2FA (amministratori e team)
Ogni utente configura la propria 2FA dal proprio profilo (Utenti → Profilo), nella sezione «Autenticazione a due fattori».
App di autenticazione (TOTP)
- Fate clic su Configura sotto «App di autenticazione».
- Scansionate il codice QR con Google Authenticator, Authy, Microsoft Authenticator, 1Password, ecc. Se il QR non può essere scansionato, inserite manualmente la chiave mostrata sotto.
- Inserite il codice a 6 cifre generato dall’app, poi fate clic su Conferma e attiva.
Il segreto TOTP viene cifrato lato server (AES-256-GCM) prima di essere memorizzato. Non viene mai mostrato in chiaro una volta completata la configurazione.
Codice via e-mail
Fate clic su Attiva sotto «Codice via e-mail»: un codice di verifica viene inviato al vostro indirizzo. Inseritelo per confermare. Se il codice è scaduto, usate Invia un nuovo codice.
Codici di recupero
Non appena un metodo viene attivato, vengono generati dieci codici di recupero monouso e mostrati una sola volta. Usate i pulsanti Scarica (.txt) o Copia per conservarli in un luogo sicuro. Ogni codice funziona una sola volta; potete rigenerarli in qualsiasi momento (i vecchi vengono invalidati).
Attivare la 2FA per i clienti (WooCommerce)
Quando l’opt-in del cliente è attivo, i vostri clienti dispongono di una scheda Sicurezza (2FA) in «Il mio account». Lì attivano l’app TOTP o il codice via e-mail, esattamente come nel back-office, e conservano i propri codici di recupero. Potete anche rendere la 2FA obbligatoria per il ruolo cliente.
Accedere con l’autenticazione a due fattori
Una volta attiva la 2FA, l’accesso avviene in due passaggi: nome utente e password abituali, poi una schermata di verifica che richiede il codice del metodo principale.
Cambiare metodo o inviare di nuovo un codice
Nella schermata di verifica, alcuni link consentono di passare a un altro metodo attivato (ad esempio dal TOTP al codice via e-mail) o di usare un codice di recupero. Per il metodo e-mail, un link consente di inviare di nuovo un codice se necessario.
Ricordare il dispositivo
Se i dispositivi attendibili sono attivati, una casella «Ricorda questo dispositivo» evita di richiedere di nuovo un codice su questo browser per la durata configurata. Da evitare su una postazione condivisa.
Configurazione forzata (2FA obbligatoria)
Se la 2FA è obbligatoria per il ruolo e il periodo di tolleranza è scaduto, l’utente deve configurarla direttamente nella schermata di accesso: inserisce la password, poi attiva l’app TOTP prima di accedere al sito. I suoi codici di recupero vengono mostrati subito dopo.
Prima di impostare un ruolo su «Obbligatoria» con un periodo di tolleranza breve, avvisate gli utenti interessati e assicuratevi che sia disponibile un metodo di recupero. In caso di blocco, un amministratore può sempre reimpostare la 2FA di un account.
Codici di recupero: uso, download, rigenerazione
I codici di recupero permettono di accedere quando il dispositivo principale non è disponibile. Nella schermata di verifica, scegliete «Usa un codice di recupero» e inserite uno dei vostri codici non utilizzati. Dal profilo, la scheda «Codici di recupero» indica quanti ne restano e consente di rigenerarli. Alla generazione, i codici possono essere scaricati in un file .txt (intestazione con sito, account e data) o copiati negli appunti.
Gestire la 2FA degli utenti (amministratore)
Colonna 2FA e reimpostazione
L’elenco Utenti mostra una colonna 2FA che indica lo stato dell’autenticazione a due fattori di ogni utente (Attivata, In attesa, Bloccata o Inattiva). Il link Gestisci apre il pannello 2FA dell’utente, dove un amministratore può reimpostarne la configurazione (ad esempio dopo lo smarrimento di un dispositivo).
Registro di sicurezza
Il menu DataFirefly 2FA → Registro di sicurezza conserva gli ultimi 200 eventi: accessi riusciti e falliti, attivazioni e disattivazioni, uso di un codice di recupero, blocchi anti forza bruta e reimpostazioni da parte dell’amministratore. Le voci più vecchie di 180 giorni vengono eliminate automaticamente.
Sicurezza e archiviazione dei dati
- I segreti TOTP sono cifrati con AES-256-GCM tramite una chiave dedicata generata all’attivazione, indipendente dalle chiavi di salt di WordPress.
- I codici di recupero sono sottoposti ad hash (mai memorizzati in chiaro) e invalidati dopo l’uso.
- La protezione anti forza bruta blocca temporaneamente un account dopo troppi tentativi falliti.
- I dispositivi attendibili si basano su un token casuale, memorizzato sottoposto ad hash lato server.
Compatibilità e note tecniche
- WordPress da 6.0 a 7.x, PHP da 8.1 a 8.3, multisito.
- WooCommerce: compatibilità con HPOS e Cart/Checkout Blocks dichiarata.
- Multilingua: è incluso un modello di traduzione
.pot(compatibile con Polylang, WPML, Loco Translate). - Architettura estendibile tramite provider di metodi (vedi la sezione sviluppatori), pronta per aggiungere WebAuthn / passkey in seguito.
Per gli sviluppatori (hook e filtri)
df2fa_providers(filtro): aggiunge o rimuove metodi di verifica.df2fa_ip_headers(filtro): personalizza le intestazioni usate per determinare l’IP del cliente.df2fa_email_code_message(filtro): personalizza il messaggio dell’e-mail contenente il codice.df2fa_event_logged(azione): attivata a ogni registrazione scritta nel registro di sicurezza.df2fa_login_success(azione): attivata dopo un accesso convalidato dalla 2FA.
Disinstallazione
L’eliminazione del plugin dalla schermata dei plugin esegue una pulizia completa: la tabella del registro di sicurezza viene eliminata, le opzioni e tutti i metadati 2FA degli utenti vengono cancellati, e le attività pianificate vengono rimosse. La semplice disattivazione conserva i dati.
FAQ e risoluzione dei problemi
Il codice QR non appare. Forzate il ricaricamento della pagina (cache del browser). Potete anche configurare l’app manualmente inserendo la chiave mostrata sotto il QR. Verificate che nessun plugin di minificazione/blocco JavaScript impedisca il caricamento degli script.
Un utente ha perso il telefono. Può usare un codice di recupero o il metodo e-mail se attivato. In mancanza, un amministratore reimposta la sua 2FA dall’elenco degli utenti.
Il codice ricevuto via e-mail viene rifiutato. Verificate che non sia scaduto e usate «Invia un nuovo codice». Controllate anche la configurazione di invio delle e-mail del sito (SMTP).
Sono bloccato dopo aver reso la 2FA obbligatoria. Accedete con un altro account amministratore per reimpostare l’account interessato, oppure modificate la modalità del ruolo nelle impostazioni.
Sono supportate le passkey / WebAuthn? Non nella versione 1.0.0. L’architettura a provider permetterà di aggiungerle in seguito senza riscrittura.