Le password deboli possono essere facilmente compromesse da un attacco di forza bruta. Le password complesse sono più sicure, ma non sono comunque infallibili.

Per migliorare la sicurezza del tuo account Plesk, ti consigliamo di usare l”autenticazione multifattoriale (MFA) per accedere a Plesk. Le password sono il primo livello di sicurezza. La MFA ne aggiunge un secondo al tuo processo di autenticazione Plesk. Al momento, il secondo livello di sicurezza è rappresentato da password monouso generate da un’app di MFA sul tuo smartphone. Queste password monouso sono anche chiamate «codici di verifica» e da qui in poi ci riferiremo ad esse con questo termine.

Per configurare l’accesso a Plesk con codici di verifica:

  1. Installa un’app di MFA sul tuo smartphone (ad esempio, Google Authenticator, Microsoft Authenticator o qualsiasi altra app di MFA di tua scelta).

  2. Vai su Il mio profilo, scorri verso il basso fino alla sezione «Autenticazione multifattoriale (MFA)» e clicca fai clic sul link sottostante.

    Nota: L’estensione Autenticazione multifattoriale (MFA) è installata in Plesk per impostazione predefinita. Se per qualsiasi motivo non lo fosse, installa l’estensione manualmente.

  3. Seleziona la casella di controllo «Abilita autenticazione multifattoriale».

  4. Con il tuo smartphone, scansiona il codice QR che appare.

    Sul tuo smartphone nella tua app di autenticazione, vedrai quindi il nome host del tuo server Plesk. L’app Google Authenticator mostra un codice di verifica a 6 cifre sotto il nome host. Con altre app di MFA, potresti dover fare clic sul nome host per vedere il codice.

  5. Inserisci il codice di verifica.

  6. Se non desideri immettere un codice di verifica ogni volta che accedi a Plesk, seleziona la casella di controllo «Abilita la funzionalità “Ricorda dispositivo”».

    Avvertimento: Abilita la funzionalità «Ricorda dispositivo» solo sul tuo dispositivo personale. Altrimenti, anche terze parti potrebbero accedere al tuo account Plesk.

  7. Se hai abilitato la funzionalità «Ricorda dispositivo», non ti verrà richiesto di fornire un codice di verifica quando accedi a Plesk su questo dispositivo per il numero di giorni specificato. Una volta trascorso questo periodo o dopo che la cache del browser è stata cancellata, dovrai immettere nuovamente un codice di verifica.

  8. Se hai abilitato la funzionalità «Ricorda dispositivo», il browser ricorderà il tuo dispositivo per il numero di giorni specificato. Tuttavia, quando accedi a Plesk da un altro dispositivo, ti verrà chiesto di inserire un codice di verifica. Vedrai anche la casella di controllo «Ricorda questo dispositivo per n giorni», dove n è il numero di giorni specificato nel passaggio precedente.

    image mfa preselect

    Per fare in modo che questa casella di controllo sia selezionata per impostazione predefinita ogni volta che accedi a Plesk da un nuovo dispositivo, seleziona la casella di controllo «Preseleziona la casella di controllo “Ricorda dispositivo”».

    image mfa setup

  9. Fai clic su OK.

È stata configurata la MFA in Plesk. Per accedere a Plesk, ora ti verrà richiesto di inserire il codice di verifica mostrato dalla tua applicazione di MFA.

image mfa authentication

Imposizione dell’utilizzo di MFA per clienti e rivenditori

Plesk implementa la MFA con l’aiuto dell’estensione Autenticazione multifattoriale (MFA), installata per impostazione predefinita come parte del preset consigliato. Se l’estensione è installata, clienti e rivenditori possono configurare autonomamente la MFA, indipendentemente dal fatto che tu abbia configurato la MFA o meno.

Per migliorare la sicurezza, potresti voler imporre l’uso della MFA per gli account dei tuoi clienti e rivenditori. Se lo fai, questi non saranno più in grado di usare Plesk finché non avranno configurato la MFA. Puoi scegliere di imporre la MFA con o senza la possibilità di bypassarla.

Per imporre l’utilizzo di MFA per clienti e rivenditori:

  1. Configura l’accesso a Plesk con codici di verifica utilizzando la procedura descritta sopra.

  2. Apri il file panel.ini per la modifica, situato qui:

    • (Plesk per Linux) /usr/local/psa/admin/conf/panel.ini
    • (Plesk per Windows) %plesk_dir%admin\conf\panel.ini

    Puoi modificare il file anche dall’interfaccia di Plesk, utilizzando l’estensione Panel.ini Editor.

  3. A seconda dello scenario desiderato, aggiungi le seguenti righe al file panel.ini e quindi salvalo:

    • Per applicare la MFA a clienti e rivenditori senza la possibilità di aggirarla:

      [ext-mfa]
      enforce = true
      allowSkipEnforce = false
      

      La prossima volta che clienti e rivenditori accederanno a Plesk, vedranno il seguente messaggio. Non potranno continuare a usare Plesk finché non avranno configurato la MFA.

      image mfa enforce 1

    • Per applicare la MFA a clienti e rivenditori con la possibilità di aggirarla:

      [ext-mfa]
      enforce = true
      allowSkipEnforce = true
      

      La prossima volta che clienti e rivenditori accederanno a Plesk, vedranno il seguente messaggio. A differenza del caso precedente, possono saltare la configurazione della MFA e continuare a usare Plesk. Tuttavia, vedranno questo messaggio a ogni accesso a Plesk finché non avranno configurato la MFA.

      image mfa enforce 2

  4. (Facoltativo) Dopo aver imposto l’utilizzo di MFA, clienti e rivenditori visualizzano uno dei due messaggi mostrati negli screenshot sopra con il collegamento al seguente articolo della Base di conoscenza. L’articolo spiega come funziona la MFA e in che modo aiuta a migliorare la sicurezza.

    Potresti voler evidenziare un’altra fonte di informazioni sulla MFA. Per farlo, aggiungi delle righe del seguente schema al file panel.ini, quindi salvalo:

    [ext-mfa]
    learnMoreUrl = https://example.com ; the URL of the web page you want to feature