Consentire agli utenti di avere password deboli è come lasciare la porta di casa spalancata. È un invito per ladri e hacker a entrare.
Gli utenti scelgono spesso la stessa password corta e insicura ovunque. Se non applicate password forti sul vostro sito WordPress, lascerete i vostri contenuti e i dati sensibili degli utenti a rischio.
Invece di lasciare la forza delle password al caso, questo articolo vi mostra come costringere gli utenti a creare password forti sul vostro sito web WordPress, migliorando la vostra sicurezza online.
Perché imporre password forti agli utenti di WordPress?
Le password forti rendono più difficile per gli hacker utilizzare attacchi di forza bruta per accedere al vostro sito. Se avete dedicato del tempo all’ottimizzazione della sicurezza del vostro sito web WordPress, allora vorrete anche proteggere le vostre pagine di accesso utilizzando una password forte.
Tuttavia, se avete un negozio online, un sito associativo o un blog con più autori, c’è il rischio che i vostri clienti o altri utenti del sito rendano il vostro sito web vulnerabile agli hacker utilizzando password deboli e facilmente indovinabili con attacchi di forza bruta.
La presenza di utenti con password deboli può rappresentare un rischio per la sicurezza, soprattutto per gli utenti con ruoli di alto livello come amministratori ed editori.
WordPress dispone di impostazioni integrate che mostrano agli utenti la forza della password al momento della creazione di un account, ma non ne impone la forza.
Fortunatamente, potete usare un plugin per WordPress per costringere gli utenti a creare una password forte quando creano un account sul vostro sito web.
Detto questo, diamo un’occhiata a come forzare una password forte ai vostri utenti di WordPress. Utilizzate i collegamenti rapidi qui sotto per passare al metodo che desiderate utilizzare:
Metodo 1. Forzare password forti con una sicurezza solida
Il modo più semplice per forzare le password forti è un plugin per la sicurezza di WordPress. Consigliamo Solid Security (ex iThemes Security), che consente di forzare le password forti con un paio di clic.
Esiste una versione premium che offre l’indurimento della sicurezza, il selezionato controllo dell’integrità dei file, il rilevamento di 404 e altro ancora, ma per questo tutorial utilizzeremo la versione gratuita in quanto dispone di caratteristiche di protezione delle password. Per maggiori dettagli, consultate la nostra recensione completa di Solid Security.
La prima cosa da fare è installare e attivare il plugin. Per maggiori dettagli, consultate la nostra guida su come installare un plugin di WordPress.
Dopo l’attivazione, andare su Sicurezza ” Configurazione per scegliere le impostazioni di sicurezza. Una configurazione guidata vi guiderà nella configurazione del plugin di sicurezza in base alle vostre esigenze.
Per prima cosa, fate clic sull’opzione relativa al tipo di sito web che avete. Selezioneremo l’opzione “Blog”.
A questo punto si vedrà un’attiva/disattiva per abilitare “Security Check Pro”. Questo configurerà automaticamente le impostazioni di sicurezza per reindirizzare le richieste HTTP a HTTPS e proteggervi dallo spoofing dell’IP.
Questa impostazione deve essere attivata/disattivata sulla posizione “On”.
Successivamente, è necessario scegliere se si tratta di un sito personale o di un sito per clienti.
Per questa esercitazione selezioneremo “Self”.
È poi presente un’attiva/disattiva per attivare un criterio di password forte per gli utenti.
È necessario fare clic sull’attiva/disattiva per imporre una password forte agli utenti e cliccare su “Avanti”.
Ora avete forzato con successo gli utenti ad avere una password forte. È possibile abilitare una serie di altre impostazioni per rendere l’accesso ancora più sicuro.
Se si desidera, è possibile aggiungere un elenco di indirizzi IP a una lista bianca per evitare che vengano bloccati dal sito web. È necessario elencare l’indirizzo IP di ogni utente. È possibile aggiungere rapidamente il proprio indirizzo IP facendo clic sul pulsante “Autorizza il mio indirizzo IP”.
Lasciare l’impostazione Rilevamento IP su “Scansione controllo sicurezza (consigliata)” e fare clic sul pulsante “Avanti”.
Se si desidera abilitare l’autenticazione a due fattori, fare clic sull’attiva/disattiva e poi sul pulsante “Avanti”.
Successivamente, vi verrà chiesto se volete abilitare altre impostazioni di sicurezza per diversi gruppi di utenti. Potete semplicemente fare clic su “Gruppi di utenti predefiniti”.
In questo modo si accede a uno schermo in cui è possibile forzare password forti e modificare altre impostazioni in base al ruolo dell’utente.
Il primo schermo contiene le impostazioni di sicurezza per gli utenti amministratori.
È possibile attivare password forti e rifiutare agli utenti di registrarsi con una password compromessa che è stata precedentemente utilizzata su altri siti.
Per modificare le impostazioni di sicurezza di altri utenti, è sufficiente fare clic su un ruolo diverso in alto nello schermo. Al termine, fate clic sul pulsante “Avanti” in alto o in basso nello schermo.
Questo vi guiderà attraverso il resto della configurazione guidata per abilitare ulteriori impostazioni di sicurezza per il vostro sito web.
Se in futuro si desidera modificare le impostazioni della password, accedere a Sicurezza ” Impostazioni, fare clic su “Gruppi di utenti” e selezionare il gruppo che si desidera modificare.
Al termine, fare clic sul pulsante “Salva” in fondo allo schermo per salvare le impostazioni.
Metodo 2: forzare le password forti con Password Policy Manager
Un altro modo per imporre password forti sul vostro blog WordPress è utilizzare il plugin Password Policy Manager. Questo plugin consente di creare facilmente regole per password forti che gli utenti devono seguire, ma non ha altre caratteristiche di sicurezza per proteggere il sito come quelle di iThemes Security.
La prima cosa da fare è installare e attivare il plugin. Per maggiori dettagli, consultate la nostra guida per principianti su come installare un plugin di WordPress.
Dopo l’attivazione, nel pannello di amministrazione di WordPress apparirà una nuova opzione di menu denominata ‘miniOrange Password Policy’. Fate clic su questa opzione per impostare le regole per le password.
Quindi, fai clic sulla voce “Impostazioni criteri password” per attivare/disattivare le impostazioni delle password forti.
Dopodiché, è possibile impostare le password forti. È sufficiente selezionare le caselle relative ai requisiti della password che si desidera impostare.
Quindi, impostare la lunghezza della password necessaria.
Successivamente, è possibile scegliere che le password scadano dopo un determinato periodo di tempo.
Se si desidera attivare/disattivare questa funzione, fare clic sulla levetta “Abilita tempo di scadenza” e inserire il tempo di scadenza in settimane.
Al termine, fare clic sul pulsante “Salva impostazioni”.
È inoltre possibile reimpostare le password di tutti gli utenti in qualsiasi momento. Fai clic sul pulsante “reimposta password” e a tutti gli utenti verrà richiesto di creare nuove password forti.
Le nostre migliori guide per proteggere le password di WordPress
Speriamo che questo articolo vi abbia aiutato a capire come imporre password forti agli utenti di WordPress. Potreste anche voler consultare altre guide su come proteggere le password di WordPress:
- Come cambiare la password in WordPress (Guida per principianti)
- Come gestire le password in modo facile e sicuro (Guida per principianti)
- Come e perché limitare i tentativi di accesso in WordPress
- Come aggiungere un semplice generatore di password utente in WordPress
- Come consentire agli utenti di nascondere/mostrare le password sullo schermo di accesso di WordPress
- Come reimpostare le password di tutti gli utenti in WordPress
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Admin
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, “Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the “Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff
Yes you would have to use
slt_fsp_weak_rolesfilter. Haven’t tried the code below, but something like this should work:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the “support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the “company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Admin
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really “new” code, just ported code.