Rendere il tuo sito WordPress più sicuro è sempre una mossa intelligente.
Un modo efficace per farlo è richiedere agli utenti di cambiare regolarmente le proprie password. Questo semplice passaggio può rendere molto più difficile per gli hacker infiltrarsi.
I cambi di password regolari proteggono i tuoi dati e le informazioni dei tuoi utenti. Aggiungono anche un ulteriore livello di sicurezza al tuo sito. Scadendo le password dopo un certo periodo, contribuisci a mantenere tutti più al sicuro.
In questa guida, ti spiegheremo come forzare gli utenti a cambiare password in WordPress.
Quando e perché forzare gli utenti di WordPress a cambiare password?
80% delle violazioni dei dati coinvolgono password deboli o rubate. Fortunatamente, i cambi di password regolari interrompono i tentativi degli hacker.
Gli hacker tenteranno di accedere ripetutamente al tuo account regolarmente nel tempo. In questo caso, impedirai attacchi di forza bruta effettuati da persone con intenti malevoli.
La maggior parte dei nuovi utenti è incline a utilizzare password deboli o la stessa password dei propri altri account poiché sono facili da ricordare. Se un hacker accede al tuo sito WordPress, può compromettere la sicurezza di tutti gli altri utenti.
Ma forzare il cambio password non dovrebbe applicarsi solo agli utenti amministratori. Dovrebbe applicarsi anche agli utenti membri e ai clienti abituali. Ad esempio, quando i clienti si registrano sul tuo negozio WooCommerce o sito di membership, ricevono la password via email. Forzare cambi di password regolari può aiutare a ridurre il rischio di tentativi di phishing effettuati tramite email.
Inoltre, se gestisci un sito WordPress multi-utente, allora dovresti chiedere agli utenti di aggiornare le password dopo un certo periodo di tempo.
D'altra parte, se hai recentemente notato attività sospette sul tuo sito WordPress, allora dovresti scadere immediatamente tutte le password utente esistenti e chiedere a tutti di aggiornare le proprie password.
Tenendo conto di ciò, vediamo come puoi far scadere le password e forzare gli utenti a cambiarle in WordPress.
Forza gli utenti a cambiare password in WordPress
Il modo migliore per forzare gli utenti a cambiare password in WordPress è utilizzare il plugin Password Policy Manager. Ti permette di creare e applicare facilmente policy di password forti e sicure.
Per iniziare, dovrai installare e attivare il plugin Password Policy Manager. Per maggiori dettagli, consulta il nostro tutorial su come installare un plugin WordPress.
Da qui, dovrai andare alla pagina Password Policy Manager » Password Policy Manager. Quindi, sotto la scheda Impostazioni policy » Per tutti gli utenti, vedrai varie impostazioni di policy di password che puoi configurare.
Innanzitutto, assicurati di attivare il grande pulsante a levetta che dice 'Abilita tutte le impostazioni'. Sotto, puoi selezionare tutte le regole di policy di password che desideri applicare ogni volta che un nuovo utente deve creare una nuova password.
Le opzioni includono:
- Deve contenere lettere minuscole e maiuscole
- Deve contenere cifre numeriche
- Deve contenere caratteri speciali
- Lunghezza della password tra 8 e 25
Ti consigliamo di lasciare selezionate queste caselle poiché rappresentano le best practice per avere una password sicura. Potresti anche voler leggere la nostra guida su come aggiungere un semplice generatore di password utente in WordPress.
Sotto, dovrai selezionare la casella che dice 'Forza il reset della password al primo accesso'. Questo aiuta a impedire ai nuovi utenti di utilizzare la stessa password dei loro altri account online e garantisce che impostino subito una password sicura.
Quindi, dovrai attivare l'opzione 'Abilita scadenza password' in modo da impostare un tempo di scadenza specifico che obblighi tutti gli utenti del sito a cambiare la propria password. Accanto a questa opzione, puoi impostare il numero di settimane per cui desideri forzare il cambio.
Una volta fatto, puoi fare clic sul pulsante 'Salva impostazioni'.
Sotto le impostazioni di salvataggio, vedrai un'opzione per reimpostare la tua password con un clic. Se tu o i tuoi utenti non avete reimpostato la password da un po' di tempo, è una buona idea fare clic sul pulsante 'Reimposta password'.
Questo terminerà automaticamente tutte le sessioni attive degli utenti e li obbligherà a reimpostare le proprie password.
Quindi, tutti gli utenti riceveranno un'email con un link per reimpostare le proprie password.
Tutto quello che devono fare è cliccare sul link nell'email.
Questo aprirà la schermata di accesso di WordPress, dove inserirai la tua password attuale e quella nuova.
Ti consigliamo di utilizzare un generatore di password sicuro invece di cercare di crearne una che puoi memorizzare. Puoi quindi utilizzare un gestore di password come 1Password per memorizzarla.
Da qui, puoi fare clic su 'Cambia password'.
Questo ti riporterà alla pagina di accesso di WordPress, dove potrai inserire le tue nuove credenziali.
Puoi andare alla pagina Gestore Criteri Password » Report per monitorare tutti i tentativi di accesso effettuati dagli utenti. Ti consigliamo di controllarla periodicamente per vedere se ci sono stati tentativi sospetti sul tuo sito WordPress. In tal caso, puoi facilmente eseguire il ripristino con un clic che abbiamo appena menzionato.
Per visualizzare i dati, dovrai attivare la scheda 'Abilita inserimento report'.
E questo è tutto! Hai ora configurato con successo il tuo sito WordPress in modo che obblighi tutti gli utenti a cambiare password dopo la data di scadenza.
Suggerimenti per la risoluzione dei problemi
A volte, le cose non vanno lisce come previsto. Ecco alcuni suggerimenti per la risoluzione dei problemi che ti aiuteranno a gestire eventuali problemi che potrebbero sorgere.
Cosa succede se i miei utenti non ricevono mai le loro email?
Nel caso in cui i tuoi utenti non ricevano le notifiche via email per reimpostare le loro password, allora potrebbero accadere diverse cose. Ti preghiamo di consultare la nostra guida su come risolvere il problema di WordPress che non invia email.
Cosa succede se non riesco ad accedere all'area di amministrazione di WordPress per reimpostare la mia password?
Se in qualche modo non riesci ad accedere all'area di amministrazione di WordPress, consulta la nostra guida su cosa fare quando sei bloccato fuori dall'area di amministrazione di WordPress.
Speriamo che questo articolo ti abbia aiutato a capire come forzare gli utenti a cambiare password in WordPress. Potresti anche voler consultare la nostra guida definitiva alla sicurezza di WordPress per migliorare la sicurezza del tuo sito web o il nostro elenco dei errori più comuni di WordPress e come risolverli.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Dennis Muthomi
Bel articolo sulle modifiche delle password in WordPress!
Sono un amministratore di siti che gestisce alcuni siti di clienti e ho impostato le modifiche delle password da un po' di tempo, ma non sapevo che si potesse forzare un reset al primo accesso.
Questa è un'ottima funzionalità di sicurezza che aggiungerò ai siti dei miei clienti (e anche al mio sito).
Grazie per la guida completa!
Oggi ho imparato qualcosa di nuovo
Dayo Olobayo
Sono rimasto colpito dalla facilità d'uso del plugin Password Policy Manager. Nella tua esperienza, hai riscontrato resistenza da parte degli utenti quando hai imposto linee guida più rigorose per le password? Se sì, come possono gli amministratori di siti web affrontare efficacemente queste preoccupazioni? Grazie.
Supporto WPBeginner
La maggior parte degli utenti tende ad accettare requisiti di password più rigorosi, purché non siano eccessivi in termini di requisiti.
Amministratore
Dayo Olobayo
Grazie per il tuo feedback. Concordo, bilanciare la sicurezza con la comodità dell'utente è fondamentale per minimizzare la resistenza.
Marko
L'articolo necessita di un aggiornamento.
Supporto WPBeginner
Thank you for letting us know, we will look into updating the article when we are able
Amministratore
Shallum Vohr
Come forzare l'utente ad aggiornare la password solo al primo accesso?
Millie Aveyard
Molto difficile per le persone anziane come me, ricordare tutte le diverse password della loro vita! Tutto oggigiorno sembra avere password di una forma o dell'altra!
Anche se scrivi le password sul tuo libretto, nel momento in cui ti serve la nuova password, hai lasciato il libretto in macchina, e il giro ricomincia ancora una volta!
Non posso essere l'unico a dover fermarmi a pensare a tutte le diverse password che uso ogni giorno!
Supporto WPBeginner
Si prega di consultare la nostra guida su come gestire le password per i principianti di WordPress. Usiamo LastPass per archiviare e gestire tutte le nostre password. È un'estensione del browser che si integra nel tuo browser web. Può salvare e compilare automaticamente le tue password per te. Può anche generare password sicure per te quando crei un nuovo account.
Amministratore
Remi
Ottima idea! È fantastico dare più sicurezza all'amministrazione!
Daniel
Buon post – ho configurato il plugin sul mio sito blog. Raccomando vivamente anche quanto segue:
1) Rimuovi completamente l'utente amministratore: qui crei un altro utente che ha il ruolo di amministratore, accedi come lui e poi elimina l'utente amministratore esistente; assicurati di fare clic sull'opzione per trasferire i post precedenti dell'amministratore a te.
2) La password dell'utente 'admin' (ruolo) è complessa: usa oninepasswordgenerator.com o simili.
3) Infine, devi assolutamente installare il plugin "Limit Login attempts"... Questo è un lavoro di genio e blocca regolarmente i circa 10 tentativi al giorno di accedere al mio blog. Imposta tempi di blocco lunghi e fai in modo che il plugin ti invii un'email (nuovo utente amministratore) dopo 2 blocchi.
Navneet
Questo è un ottimo post...