1 luglio 2026 · 4 min di lettura
Verifica a due fattori su WordPress e PrestaShop: guida rapida
La maggior parte dei siti compromessi che ci arrivano in assistenza ha un punto d'ingresso banale: un accesso amministratore protetto solo da una password, magari riusata su altri servizi. La verifica a due fattori su WordPress e PrestaShop è l'intervento di sicurezza con il miglior rapporto tra sforzo e beneficio: si attiva in un pomeriggio e blocca la gran parte degli attacchi agli account. Vediamo come farlo bene su entrambe le piattaforme.
Perché la password da sola non basta
Gli attacchi agli accessi di un sito non sono opera di specialisti che prendono di mira proprio te: sono automatici e colpiscono a tappeto. I tre scenari più comuni:
- credential stuffing: le password uscite da violazioni di altri servizi vengono provate in massa sui pannelli di login; se riusi le password, sei esposto anche con una password lunga;
- brute force: tentativi ripetuti su nomi utente prevedibili come admin, spesso distribuiti su tanti IP per aggirare i blocchi;
- phishing: una mail credibile che ti porta su una finta pagina di login, e la password gliela consegni tu.
La verifica a due fattori aggiunge un secondo elemento, in genere un codice temporaneo generato da un'app sul tuo telefono: chi ruba la password, senza il tuo telefono resta fuori. Non è una protezione assoluta, ma alza il costo dell'attacco quanto basta perché i bot passino al bersaglio successivo.
Attivare la 2FA su WordPress
WordPress non include la verifica a due fattori nel core, quindi serve un plugin. Le opzioni sono di due famiglie: i plugin dedicati solo alla 2FA, leggeri e mirati, e le suite di sicurezza complete che la includono tra le altre funzioni. Se hai già una suite di sicurezza installata, controlla prima se la 2FA è compresa: meglio attivarla lì che aggiungere un plugin doppione.
I passi che seguiamo noi sui siti dei clienti:
- Scegli il metodo TOTP (i codici temporanei generati da un'app di autenticazione sul telefono): funziona senza dipendere da SMS o email, che sono i canali più deboli.
- Attiva la 2FA prima sul tuo utente, verifica che il login funzioni, e solo dopo estendila agli altri.
- Rendila obbligatoria per amministratori ed editor. I ruoli con più permessi sono quelli che fanno più danni se compromessi; molti plugin permettono l'obbligo per ruolo.
- Genera e salva i codici di recupero in un posto sicuro, come un gestore di password. È il passaggio che tutti saltano e che evita il panico quando si cambia telefono.
Completa il lavoro con due accorgimenti a costo zero: elimina l'utente con nome admin se esiste ancora, e limita i tentativi di login falliti, funzione inclusa in quasi tutte le suite di sicurezza.
Attivare la 2FA su PrestaShop
Su PrestaShop il discorso riguarda il back office, il pannello da cui si gestiscono ordini, prezzi e clienti: un accesso compromesso lì significa dati dei clienti esposti e, nei casi peggiori, codice malevolo nelle pagine di pagamento. Anche qui la strada sono i moduli: ne trovi di dedicati alla verifica a due fattori sul marketplace ufficiale e nelle suite di sicurezza per PrestaShop. I criteri di scelta sono gli stessi di sempre: modulo aggiornato di recente, compatibile con la tua versione, con recensioni e supporto attivi.
Oltre alla 2FA, sul back office di PrestaShop applichiamo di norma tre protezioni complementari:
- rinominare la cartella di amministrazione con un nome non prevedibile, per togliere il pannello dalla vista dei bot che cercano i percorsi standard;
- limitare l'accesso al back office per IP quando l'ufficio ha un indirizzo fisso, così il pannello nemmeno risponde al resto del mondo;
- un profilo dipendente per ogni persona, con i soli permessi necessari: l'account condiviso tra tre colleghi è comodo fino al giorno in cui devi capire chi ha fatto cosa.
Le regole che valgono su entrambe le piattaforme
La 2FA rende al massimo dentro un'igiene di base degli accessi:
- un account per persona, mai credenziali condivise, e rimozione immediata degli account di ex collaboratori e vecchi fornitori;
- permessi minimi: chi scrive articoli non ha bisogno del ruolo amministratore;
- password uniche gestite con un password manager, perché la 2FA è il secondo fattore, non un sostituto del primo;
- 2FA anche sui servizi intorno al sito: hosting, dominio, email. Un attaccante che entra nel pannello hosting scavalca qualsiasi protezione del CMS;
- backup verificati, perché la sicurezza al cento per cento non esiste e la differenza tra incidente e disastro la fa il ripristino.
Un'ultima nota organizzativa: documenta chi ha accesso a cosa. Nei siti che prendiamo in carico, la mappa degli accessi manca quasi sempre, ed è la prima cosa che ricostruiamo.
Vuoi accessi e server messi in sicurezza da chi lo fa di mestiere?
Ci occupiamo di server e infrastruttura: hardening di WordPress e PrestaShop, gestione degli accessi, firewall, backup testati e monitoraggio. Se non sei sicuro di come è protetto il tuo sito oggi, prenota una call gratuita: facciamo il punto sugli accessi e ti diciamo quali interventi fare subito, a partire dalla verifica a due fattori.
