Permettere agli utenti di avere password deboli è come lasciare la porta di casa spalancata. È un invito per ladri e hacker a entrare.
Gli utenti spesso scelgono la stessa password corta e insicura ovunque. A meno che tu non imponga password forti sul tuo sito WordPress, lasci i tuoi contenuti e i dati sensibili degli utenti a rischio.
Invece di lasciare la robustezza delle password al caso, questo articolo ti mostra come obbligare i tuoi utenti a creare password forti sul tuo sito WordPress, migliorando la tua sicurezza online.
Perché imporre password forti ai tuoi utenti WordPress?
Le password forti rendono più difficile per gli hacker utilizzare attacchi di forza bruta per accedere al tuo sito. Se hai dedicato tempo all'ottimizzazione della sicurezza del tuo sito WordPress, allora vorrai anche proteggere le tue pagine di accesso utilizzando una password forte.
Tuttavia, se hai un negozio online, un sito di membership o un blog multi-autore, c'è il rischio che i tuoi clienti o altri utenti del sito rendano il tuo sito web vulnerabile agli hacker utilizzando password deboli che sono facilmente indovinabili con attacchi brute force.
Avere utenti con password deboli può presentare un rischio per la sicurezza, specialmente quelli con ruoli utente di alto livello come amministratori ed editor.
WordPress ha impostazioni integrate che mostreranno agli utenti quanto è forte la password durante la creazione di un account, ma non ne impone la robustezza.
Fortunatamente, puoi utilizzare un plugin WordPress per obbligare i tuoi utenti a creare una password forte quando creano un account sul tuo sito web WordPress.
Detto questo, diamo un'occhiata a come forzare una password forte sui tuoi utenti WordPress. Usa semplicemente i collegamenti rapidi qui sotto per passare al metodo che desideri utilizzare:
- Forzare password forti con Solid Security
- Forzare password forti con Password Policy Manager
- Le nostre migliori guide per proteggere le password di WordPress
Metodo 1. Forzare password forti con Solid Security
Il modo più semplice per forzare password complesse è con un plugin di sicurezza per WordPress. Consigliamo Solid Security (precedentemente iThemes Security) poiché ti consente di forzare password complesse con un paio di clic.
Esiste una versione premium che offre hardening della sicurezza, controlli di integrità dei file, rilevamenti 404 e altro ancora, ma utilizzeremo la versione gratuita per questo tutorial poiché dispone di funzionalità di protezione delle password. Per maggiori dettagli, consulta la nostra recensione completa di Solid Security.
La prima cosa da fare è installare e attivare il plugin. Per maggiori dettagli, consulta la nostra guida su come installare un plugin per WordPress.
Dopo l'attivazione, vai su Sicurezza » Configurazione per scegliere le tue impostazioni di sicurezza. C'è una procedura guidata di configurazione che ti guiderà attraverso la configurazione del plugin di sicurezza per le tue esigenze.
Per prima cosa, fai clic sull'opzione per il tipo di sito web che possiedi. Selezioneremo l'opzione 'Blog'.
Ora vedrai un interruttore per abilitare 'Security Check Pro'. Questo configurerà automaticamente le tue impostazioni di sicurezza per reindirizzare le richieste HTTP a HTTPS e proteggerti dallo spoofing IP.
Dovresti impostare questa opzione su 'Attivato'.
Dopodiché, devi scegliere se si tratta di un sito personale o di un cliente.
Per questo tutorial selezioniamo 'Personale'.
Successivamente, c'è un interruttore per attivare una policy di password complesse per i tuoi utenti.
Devi fare clic sull'interruttore per imporre una password complessa ai tuoi utenti e fare clic su 'Avanti'.
Ora hai imposto con successo agli utenti di avere una password complessa. Ci sono una varietà di altre impostazioni che puoi abilitare per rendere il tuo accesso ancora più sicuro.
Se lo desideri, puoi aggiungere un elenco di indirizzi IP a una lista bianca per impedire che vengano bloccati dal tuo sito web. Devi elencare l'indirizzo IP di ciascun utente. Puoi aggiungere rapidamente il tuo indirizzo IP facendo clic sul pulsante 'Autorizza il mio indirizzo IP'.
Dovresti lasciare l'impostazione di rilevamento IP su 'Security Check Scan (Consigliato)' e quindi fare clic sul pulsante 'Avanti'.
Se desideri abilitare l'autenticazione a due fattori, fai clic sull'interruttore sulla posizione Attivato e quindi fai clic sul pulsante 'Avanti'.
Dopodiché, ti verrà chiesto se desideri abilitare alcune impostazioni di sicurezza aggiuntive per diversi gruppi di utenti. Puoi semplicemente fare clic su 'Gruppi di utenti predefiniti'.
Questo ti porterà a una schermata in cui puoi forzare password complesse e modificare altre impostazioni per ruolo utente.
La prima schermata mostrerà le impostazioni di sicurezza per gli utenti amministratori.
Puoi attivare le password complesse e rifiutare la registrazione degli utenti con una password compromessa che è già stata utilizzata su altri siti.
Per modificare le impostazioni di sicurezza per altri utenti, fai semplicemente clic su un ruolo diverso nella parte superiore della schermata. Una volta terminato, fai clic sul pulsante 'Avanti' nella parte superiore o inferiore della schermata.
Questo ti guiderà attraverso il resto della procedura guidata di configurazione per abilitare ulteriori impostazioni di sicurezza per il tuo sito web.
Se desideri modificare le impostazioni della password in futuro, vai su Sicurezza » Impostazioni, fai clic su 'Gruppi di utenti' e seleziona il gruppo che desideri modificare.
Dopo aver finito, assicurati di fare clic sul pulsante 'Salva' nella parte inferiore della schermata per salvare le tue impostazioni.
Metodo 2: Forzare password complesse con Password Policy Manager
Un altro modo per forzare password complesse sul tuo blog WordPress è utilizzare il plugin Password Policy Manager. Ti consente di creare facilmente regole per password complesse che i tuoi utenti devono seguire, ma non dispone di altre funzionalità di sicurezza per proteggere il tuo sito come fa iThemes Security.
La prima cosa da fare è installare e attivare il plugin. Per maggiori dettagli, consulta la nostra guida per principianti su come installare un plugin WordPress.
Dopo l'attivazione, avrai una nuova opzione di menu chiamata 'miniOrange Password Policy' nel tuo pannello di amministrazione di WordPress. Devi fare clic su questa opzione per impostare le tue regole per le password.
Quindi, fai clic sull'interruttore 'Impostazioni policy password' per attivare le tue impostazioni per password complesse.
Successivamente, puoi impostare le tue impostazioni per password complesse. Seleziona semplicemente le caselle per i requisiti di password che desideri impostare.
Successivamente, imposta la lunghezza minima della password richiesta.
Dopo di che, puoi scegliere di far scadere le password dopo un determinato periodo di tempo.
Se si desidera abilitare questa opzione, fare clic sull'interruttore 'Abilita ora di scadenza' e quindi inserire l'ora di scadenza in settimane.
Una volta terminato, assicurarsi di fare clic sul pulsante 'Salva impostazioni'.
È inoltre possibile reimpostare le password di tutti i propri utenti in qualsiasi momento. Fare semplicemente clic sul pulsante 'Reimposta password' e a tutti i propri utenti verrà richiesto di creare nuove password complesse.
Le nostre migliori guide per proteggere le password di WordPress
Speriamo che questo articolo ti abbia aiutato a imparare come forzare password complesse sugli utenti in WordPress. Potresti anche voler consultare altre guide sulla protezione delle password di WordPress:
- Come cambiare la password in WordPress (Guida per principianti)
- Come gestire le password in modo semplice e sicuro (Guida per principianti)
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere un semplice generatore di password utente in WordPress
- Come consentire agli utenti di nascondere/mostrare le password nella schermata di accesso di WordPress
- Come reimpostare le password per tutti gli utenti in WordPress
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dayo Olobayo
Grazie per questa guida chiara e informativa sull'applicazione di password complesse. Una domanda che ho però è se questi plugin si integrano facilmente con altri plugin di sicurezza. Ad esempio, plugin per la scansione di malware o il monitoraggio dei tentativi di accesso.
Supporto WPBeginner
Dovresti verificare con il plugin di sicurezza specifico che stai utilizzando, poiché plugin diversi possono avere conflitti diversi o funzionare bene insieme.
Amministratore
Dayo Olobayo
Grazie per la chiarificazione. Verificherò la compatibilità con i miei plugin specifici.
Mrteesurez
Ottimo lavoro qui.
ma la mia domanda è, perché c'è un rischio quando gli utenti del mio sito utilizzano password deboli quando in realtà non sono amministratori??
Inoltre, grazie per quel plugin Password Policy Manager, adoro come funziona.
I miei siti web stanno diventando più professionali implementando le tue guide. Apprezzo.
Supporto WPBeginner
Le probabilità sono molto basse, ma se c'è un plugin o un tema con una vulnerabilità che richiede solo un utente sul sito, allora gli hacker potrebbero prendere di mira i tuoi utenti invece dei tuoi amministratori.
Amministratore
salvador aguilar
This plugin is now closed on WP repo
Supporto WPBeginner
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Amministratore
lionel
questo plugin non è stato aggiornato da oltre un anno.
Supporto WPBeginner
Grazie per avercelo fatto sapere, a prima vista il plugin dovrebbe ancora funzionare, ma per capire la mancanza di aggiornamenti dovresti consultare il nostro articolo qui: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Amministratore
Bobby
C'è qualche funzione in questo plugin per cambiare il livello della password? Stavo cercando questo problema da un mese.
Staff di WPBeginner
Questo plugin non invia email con password. Inoltre, non pubblicizza la crittografia delle email. Non è questo lo scopo di questo plugin.
CST
Non sembra che il plugin "Force Strong Passwords" sia sicuro come viene pubblicizzato se non blocca l'invio della password in forma non crittografata.
dwf
Per non parlare del fatto che il plugin "Force Strong Passwords" non fa nulla per impedire l'invio di password sicure via email durante la configurazione dell'utente...
Chris
Qualche idea su come implementare questo stesso approccio ma per tutti gli utenti; anche per gli 'abbonati'?
Staff editoriale
Sì, dovresti usare il filtro
slt_fsp_weak_roles. Non ho provato il codice qui sotto, ma qualcosa di simile dovrebbe funzionare:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Amministratore
Chris Miller
Grazie! Sono sorpreso che WordPress non abbia implementato una semplice opzione a 'casella di spunta' per aumentare i requisiti delle password di sicurezza con tutti gli attacchi brute force ultimamente. Ci proverò.
Sara
Ottimo concetto. Guardando la pagina "supporto" sul sito dei plugin di WordPress, gli sviluppatori non hanno risposto ai messaggi di supporto e non sembrano avere alcuna reputazione nel mondo della sicurezza.
Voglio sottolineare, adoro l'idea. Ma non sono impressionato da ciò che vedo della "società" o degli sviluppatori dietro il software, e per qualcosa come la sicurezza, questo mi rende nervoso. Per ora passo.
Staff editoriale
Spesso gli sviluppatori creano i loro plugin nel tempo libero. Avendone costruiti diversi noi stessi, sappiamo quanto sia difficile supportarli specialmente quando non si ottiene nulla in cambio. L'autore di questo plugin ha aggiornato la sua pagina github per il plugin. Sembra che stia eseguendo la versione 1.1 che ha molti aggiornamenti e correzioni.
Amministratore
Damien
Se hanno (semplicemente) convertito il test di forza di WordPress in PHP, allora non hanno bisogno di avere una reputazione nel mondo della sicurezza. Non è veramente codice "nuovo", solo codice porting.