Volete disconnettere automaticamente gli utenti inattivi in WordPress?
Se siete amministratori di un sito attenti alla sicurezza, potreste voler costringere gli utenti inattivi ad accedere nuovamente. I siti web e le app bancarie disconnettono gli utenti inattivi per impedire a quelli non autorizzati di dirottare i conti. Potete fare lo stesso sul vostro sito WordPress per migliorare la sicurezza.
In questo articolo vi mostreremo come disconnettere automaticamente gli utenti inattivi in WordPress. Una volta disconnessi, agli utenti verrà chiesto di accedere nuovamente per riprendere le loro attività.
Perché disconnettere automaticamente gli utenti inattivi in WordPress?
Gli utenti inattivi rappresentano un rischio per la sicurezza del vostro sito WordPress. Se qualcuno del vostro team lascia il proprio portatile incustodito in un bar o in una biblioteca, un estraneo potrebbe essere in grado di vedere informazioni sensibili, modificare la password o addirittura pubblicare o eliminare alcuni post.
Gli utenti WordPress inattivi rendono il vostro sito web più vulnerabile agli hacker. Questi ultimi potrebbero eseguire degli script e prendere il controllo dell’account dell’utente.
Ecco perché è una buona pratica di sicurezza disconnettere automaticamente gli utenti che sono diventati inattivi e nascondere il contenuto del loro schermo.
Detto questo, vediamo come disconnettere automaticamente gli utenti inattivi in WordPress.
Come disconnettere automaticamente gli utenti inattivi in WordPress
La prima cosa da fare è installare e attivare il plugin Inactive Logout. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.
Dopo l’attivazione, è sufficiente andare alla pagina Impostazioni ” Logout inattivo per configurare il plugin.
Innanzitutto, è necessario inserire il tempo di inattività dopo il quale l’utente viene disconnesso automaticamente. È possibile inserire il tempo in minuti e assicurarsi che non sia troppo breve o troppo lungo.
Successivamente, è possibile inserire il messaggio che si desidera visualizzare per gli utenti inattivi.
Sotto il campo dei messaggi, si trovano altre opzioni del plugin per modificare la funzionalità di disconnessione automatica. Le impostazioni predefinite funzionano per la maggior parte dei siti web, ma è possibile modificarle se lo si desidera.
È possibile attivare l’opzione ‘Sfondo popup’ se si desidera cambiare il colore dello sfondo della schermata quando la sessione dell’utente termina. Questo coprirà lo schermo del browser dell’utente per tenere i contenuti nascosti da occhi indiscreti.
L’opzione “Disattiva il conto alla rovescia del timeout” rimuove l’avviso del conto alla rovescia e disconnette direttamente gli utenti inattivi.
Se non si desidera utilizzare la funzione di logout automatico, è possibile selezionare l’opzione “Mostra solo il messaggio di avviso”. A questo punto il messaggio di avviso verrà visualizzato, ma l’utente non verrà disconnesso.
L’opzione “Disattiva accessi contemporanei” impedisce agli utenti di utilizzare lo stesso account da diversi dispositivi o browser contemporaneamente.
Per impostazione predefinita, il plugin visualizza un popup di accesso e non reindirizza gli utenti. È possibile attivare l’opzione “Abilita reindirizzamento” per reindirizzare gli utenti a qualsiasi pagina si desideri.
Dopo aver rivisto e modificato le impostazioni, non dimenticate di fare clic sul pulsante “Salva modifiche” per memorizzarle.
Impostazione di diverse impostazioni di timeout in base ai ruoli utente
Se si desidera impostare regole di timeout di inattività in base ai ruoli e alle capacità degli utenti, è possibile farlo nella scheda “Gestione avanzata” della pagina delle impostazioni del plugin.
Innanzitutto, è necessario selezionare i ruoli utente che si desidera impostare in modo diverso dalle impostazioni globali. Successivamente, sarà possibile selezionare un periodo di timeout diverso e reindirizzare o persino disabilitare le impostazioni di timeout per quel ruolo utente.
Una volta soddisfatti delle impostazioni, fare clic sul pulsante “Salva modifiche”.
Per vedere il plugin in azione, potete accedere al vostro sito WordPress e non fare nulla per la durata del timeout nelle impostazioni del plugin. Dopo di che, vedrete apparire un popup con un timer per il conto alla rovescia.
È possibile fare clic sul pulsante “Continua” per riprendere il lavoro senza terminare la sessione.
Gli utenti che non fanno clic sul pulsante “Continua” verranno disconnessi e vedranno la schermata di login.
Bonus: Come aggiungere maggiore sicurezza con l’autenticazione a due fattori
Ora, un problema di questo approccio è che molti utenti salvano le proprie password utilizzando un gestore di password o la funzione di memorizzazione delle password integrata nel browser.
Ciò significa che il popup di accesso sarà già compilato con i campi del nome utente e della password. Chiunque può fare clic sul pulsante di accesso per accedere al proprio account mentre è lontano.
Potete rendere più difficile l’accesso non autorizzato aggiungendo la verifica in due passaggi alla schermata di login di WordPress.
Questo richiede agli utenti di inserire una password unica generata da un’applicazione sul loro telefono. Per istruzioni dettagliate, consultate la nostra guida su come aggiungere l’autenticazione a due fattori in WordPress.
La disconnessione degli utenti inattivi e l’utilizzo dell’autenticazione a due fattori sono due ottimi modi per migliorare la sicurezza di WordPress. Ecco altri modi per proteggere la schermata di accesso:
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere il CAPTCHA nel modulo di accesso e registrazione di WordPress
- Come aggiungere domande di sicurezza alla schermata di login di WordPress
- Come aggiungere il login senza password in WordPress con i link magici
- Come disattivare i suggerimenti di accesso nei messaggi di errore di accesso di WordPress
- Come aggiungere il login sociale a WordPress (in modo semplice)
- Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)
Speriamo che questo articolo vi abbia aiutato a capire come disconnettere automaticamente gli utenti inattivi in WordPress. Potreste anche voler consultare la nostra guida definitiva alla sicurezza di WordPress o la nostra scelta di esperti sui migliori page builder drag-and-drop per WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
car says
What about manually configure automatic logout idle users? Do You have any recipe?
WPBeginner Support says
At the moment we do not have a recommended method without using a plugin
Admin
Gina Davis says
I’m looking at ‘Inactive Logout’ It was updated a week ago.
I have a co-worker holding a post hostage. So going to use this to kick from the post & website. I hope.
Jesse Brede says
Yeah, this is no longer a working solution.
David says
Has anyone found plugin that will do the same thing, but that is actively updated? Reading the forum for WP Idle Logout, people are reporting it is buggy current versions of WP.
Thanks.
esp says
this plugin hasn’t been updated for a while and isn’t tested in WP 4.1 too bad
Yoshitoka says
True story. I had some trouble myself with this plugin. I had to login twice before I was able to get to the wp-admin part with this plugin enabled.