La prima volta che ho cliccato su “Apri wp-admin” dalla dashboard Hostwebo e mi sono ritrovato dentro WordPress senza digitare nulla, ho fatto la cosa che fa ogni admin paranoico: ho cambiato subito la password del sito. Poi ho controllato i log. Poi ho ricontrollato i log. Poi ho capito come funzionava davvero.
E ho disattivato il password manager.
Magic-login è una di quelle feature che sembrano una shortcut comoda e invece sono un upgrade vero alla sicurezza del sito. Provo a spiegare perché, senza marketing-speak.
Cosa è (davvero) magic-login
Magic-login è un sistema di autenticazione one-time token-based: quando da dentro la tua area clienti Hostwebo clicchi “Apri wp-admin” su uno dei tuoi siti, il backend Hostwebo genera un token monouso firmato con HMAC-SHA256, valido pochi secondi, legato al tuo IP, e lo passa al plugin Toolkit Pro installato sul sito target. Il plugin verifica la firma, controlla che il token non sia già stato consumato, controlla che l’IP coincida, e — solo allora — apre una sessione amministratore.
Risultato pratico:
- Non digiti la password di wp-admin (perché non c’è un campo password).
- Non ti viene mostrata in nessuna interfaccia.
- Non viene salvata da nessun password manager.
- Non viene loggata in nessun browser.
Perché magic-login è più sicuro della password (sì, davvero)
La domanda viene spontanea: ma non era più sicuro avere una password lunga + 2FA?
Risposta breve: la password lunga + 2FA è sicura. Magic-login è sicura e elimina tutta una classe di attacchi che la password non elimina.
Ecco cosa elimini quando attivi magic-login e disabiliti la login tradizionale:
1. Attacchi brute-force su /wp-login.php
Il pattern di attacco più banale e più frequente. Bot che provano migliaia di combinazioni admin/password ogni minuto, sperando di azzeccarne una. Se /wp-login.php non accetta più password (ma solo magic-login token interni), il brute-force diventa un esercizio inutile. Puoi proprio chiudere la porta con una regola WAF, e i bot picchiano contro un muro.
2. Credential stuffing
Quando la tua password “vecchia-cane2018!” è finita in un leak da Adobe del 2013 e qualche bot la sta provando su 50.000 siti WordPress sperando che tu la riusi. Senza password = niente credential stuffing.
3. Phishing del form di login
Hai presente l’email “il tuo sito è stato sospeso, clicca qui per fare login”? Ti porta su un falso wp-admin che cattura le tue credenziali. Con magic-login non hai più una credenziale da fornire, quindi il phishing perde uno dei suoi vettori più sfruttati.
4. Keylogger su PC compromessi
Se il tuo PC ha un keylogger (o sei in un internet café), un keylogger non può catturare quello che non digiti.
Quando NON usare magic-login
Per onestà: ci sono scenari in cui magic-login non è la scelta giusta o va integrato con altre cose.
Multi-utente con ruoli diversi. Magic-login funziona benissimo per accessi amministratore. Se hai un sito con 12 redattori, 3 editor, 2 contributors — vorrai che ognuno acceda con la propria identità. Magic-login dalla tua dashboard ti farà sempre entrare come amministratore principale: utile per te, non per i redattori. Loro avranno comunque bisogno della login classica (consigliata: con 2FA obbligatorio).
Accessi da reti dinamiche. Magic-login verifica l’IP. Se sei spesso su reti che cambiano IP velocemente (mobile, VPN cycling), può richiedere un nuovo token più spesso. Inconveniente minore, ma esiste.
Audit log obbligatorio. Per ambienti regolamentati (GDPR + ruolo DPO formale, settore finance, sanità) potrebbe servirti un log centralizzato che traccia ogni accesso wp-admin con motivazione. Magic-login lo logga lato Hostwebo, ma non sempre è sufficiente per audit esterni. In quel caso, mantieni login classica + audit log plugin dedicato.
Come si attiva su Hostwebo (3 minuti)
Il flusso è banale ed è già attivo se il sito è collegato al toolkit. Lo riassumo:
- Installa Hostwebo Toolkit Pro sul tuo sito WordPress (è gratuito, lo trovi in “Plugin → Aggiungi nuovo” cercando “Hostwebo Toolkit Pro”).
- Collega il sito alla tua dashboard Hostwebo cliccando “Pairing” e incollando il code dalla dashboard.
- Da quel momento, dentro I miei siti, il bottone “Apri wp-admin” usa magic-login.
- (Opzionale, consigliato): in “Sicurezza” → disabilita login classica per gli utenti amministratore, o limita /wp-login.php al solo IP del tuo ufficio. Magic-login continuerà a funzionare dalla dashboard.
Non devi inserire token manualmente, non devi configurare HMAC, non devi gestire chiavi. Il sistema accoppia plugin e dashboard al momento del pairing e quella chiave resta fino al disaccoppiamento.
FAQ veloci
Funziona se il sito non è ospitato su Hostwebo? Sì. Hostwebo Toolkit Pro funziona su qualsiasi hosting (l’integrazione magic-login richiede solo che il sito sia collegato alla tua dashboard Hostwebo, non che l’hosting sia il nostro). Detto questo, su Hostwebo l’integrazione è più stretta e più veloce.
Il token è davvero monouso? Sì. Una volta consumato, lo stesso token genera un 403 se rigiocato. Anche se uguale.
Posso fare login da un device che non è il mio normale? Sì, ma solo se sei loggato alla tua area clienti su quel device. Cioè: se sei a casa di un cliente e vuoi mostrargli wp-admin, fai login alla tua dashboard Hostwebo sul suo PC, clicca “Apri wp-admin”. Funziona, ma ricordati di fare logout dalla dashboard quando hai finito.
Cosa succede se Toolkit Pro è disattivato sul sito? Magic-login non funziona. Il sistema te lo dice chiaramente quando tenti di aprire wp-admin: “Toolkit Pro non installato o disattivato”.
Vedi anche
- Guida completa: magic-login
- Hardening WordPress: tutte le misure di sicurezza
- Cosa fa Hostwebo Toolkit Pro
Aggiornato a maggio 2026.