Come disconnettere automaticamente gli utenti inattivi in WordPress

Proprio come le banche e le applicazioni sensibili, il vostro sito web WordPress può beneficiare di un ulteriore livello di sicurezza attraverso la disconnessione automatica degli utenti inattivi.

Secondo la nostra esperienza, si tratta di un modo semplice ma efficace per impedire l’accesso non autorizzato, soprattutto se un utente dimentica di effettuare la disconnessione da un dispositivo condiviso.

Questo articolo fornisce una guida passo passo per l’impostazione del logout automatico degli utenti inattivi. In questo modo, gli utenti saranno invitati ad accedere nuovamente e a verificare la loro identità dopo essere stati inattivi.

Perché disconnettere automaticamente gli utenti inattivi in WordPress?

Gli utenti inattivi rappresentano un rischio per la sicurezza del vostro sito WordPress. Se qualcuno del vostro team lascia il proprio portatile incustodito in un bar o in una biblioteca, un estraneo potrebbe essere in grado di vedere informazioni sensibili, modificare la password o addirittura pubblicare o eliminare alcuni post.

Gli utenti WordPress inattivi rendono il vostro sito web più vulnerabile agli hacker. Questi ultimi potrebbero eseguire degli script e prendere il controllo dell’account dell’utente.

Ecco perché è una buona pratica di sicurezza disconnettere automaticamente gli utenti che sono diventati inattivi e nascondere il contenuto del loro schermo.

Detto questo, vediamo come disconnettere automaticamente gli utenti inattivi in WordPress utilizzando due metodi diversi. Potete usare i link rapidi qui sotto per passare direttamente al metodo che preferite:

Metodo 1: Come disconnettere automaticamente gli utenti inattivi in WordPress usando il codice (consigliato)

Il modo più rapido per disconnettere automaticamente gli utenti inattivi in WordPress è utilizzare il plugin WPCode.

WPCode consente di aggiungere facilmente codice personalizzato in WordPress senza modificare il file functions.php del tema, in modo che non ci si debba preoccupare di rompere il sito.

Inoltre, il plugin è dotato di un’enorme libreria di snippet di codice già pronti, tra cui uno snippet per l’auto-logout degli utenti inattivi, che è possibile aggiungere in un paio di clic.

Per iniziare, è necessario installare e attivare il plugin gratuito WPCode. Se avete bisogno di aiuto, consultate la nostra guida su come installare un plugin di WordPress.

Dopo l’attivazione, andare su Code Snippets ” + Add Snippet dalla dashboard di WordPress.

Da qui, cercare lo snippet “Auto-logout degli utenti inattivi” nella libreria. Quando lo si trova, passare del mouse su di esso e fare clic sul pulsante “Usa snippet”.

WPCode aggiungerà automaticamente il codice e selezionerà il metodo di inserimento corretto.

A questo punto è sufficiente spostare l’interruttore da “Inattivo” ad “Attivo” e cliccare sul pulsante “Aggiorna”.

Ecco fatto. Ora gli utenti verranno automaticamente disconnessi dal vostro sito web WordPress dopo 10 minuti di inattività.

Metodo 2: come disconnettere automaticamente gli utenti inattivi in WordPress utilizzando un plugin

Per questo metodo, la prima cosa da fare è installare e attivare il plugin Inactive Logout. Per maggiori dettagli, consultate la nostra guida passo-passo su come installare un plugin di WordPress.

Dopo l’attivazione, è sufficiente andare alla pagina Impostazioni ” Logout inattivo per configurare il plugin.

Innanzitutto, è necessario inserire il tempo di inattività dopo il quale l’utente viene disconnesso automaticamente. È possibile inserire il tempo in minuti e assicurarsi che non sia troppo breve o troppo lungo.

Successivamente, è possibile inserire il messaggio che si desidera visualizzare per gli utenti inattivi.

Sotto il campo dei messaggi, si trovano altre opzioni del plugin per modificare la funzionalità di disconnessione automatica. Le impostazioni predefinite funzionano per la maggior parte dei siti web, ma è possibile modificarle se lo si desidera.

È possibile attivare l’opzione ‘Sfondo popup’ se si desidera cambiare il colore dello sfondo della schermata quando la sessione dell’utente termina. Questo coprirà lo schermo del browser dell’utente per tenere i contenuti nascosti da occhi indiscreti.

L’opzione “Disattiva il conto alla rovescia del timeout” rimuove l’avviso del conto alla rovescia e disconnette direttamente gli utenti inattivi.

Se non si desidera utilizzare la funzione di logout automatico, è possibile selezionare l’opzione “Mostra solo il messaggio di avviso”. A questo punto il messaggio di avviso verrà visualizzato, ma l’utente non verrà disconnesso.

L’opzione “Disattiva accessi contemporanei” impedisce agli utenti di utilizzare lo stesso account da diversi dispositivi o browser contemporaneamente.

Per impostazione predefinita, il plugin visualizza un popup di accesso e non reindirizza gli utenti. È possibile attivare l’opzione “Abilita reindirizzamento” per reindirizzare gli utenti a qualsiasi pagina si desideri.

Dopo aver rivisto e modificato le impostazioni, non dimenticate di fare clic sul pulsante “Salva modifiche” per memorizzarle.

Impostazione di diverse impostazioni di timeout in base ai ruoli utente

Se si desidera impostare regole di timeout di inattività in base ai ruoli e alle capacità degli utenti, è possibile farlo nella scheda “Gestione avanzata” della pagina delle impostazioni del plugin.

Innanzitutto, è necessario selezionare i ruoli utente che si desidera impostare in modo diverso dalle impostazioni globali. Successivamente, sarà possibile selezionare un periodo di timeout diverso e reindirizzare o persino disabilitare le impostazioni di timeout per quel ruolo utente.

Una volta soddisfatti delle impostazioni, fare clic sul pulsante “Salva modifiche”.

Per vedere il plugin in azione, potete accedere al vostro sito WordPress e non fare nulla per la durata del timeout nelle impostazioni del plugin. Dopo di che, vedrete apparire un popup con un timer per il conto alla rovescia.

È possibile fare clic sul pulsante “Continua” per riprendere il lavoro senza terminare la sessione.

Gli utenti che non fanno clic sul pulsante “Continua” verranno disconnessi e vedranno la schermata di login.

Bonus: Come aggiungere maggiore sicurezza con l’autenticazione a due fattori

Ora, un problema di questo approccio è che molti utenti salvano le proprie password utilizzando un gestore di password o la funzione di memorizzazione delle password integrata nel browser.

Ciò significa che il popup di accesso sarà già compilato con i campi del nome utente e della password. Chiunque può fare clic sul pulsante di accesso per accedere al proprio account mentre è lontano.

Potete rendere più difficile l’accesso non autorizzato aggiungendo la verifica in due passaggi alla schermata di login di WordPress.

Questo richiede agli utenti di inserire una password unica generata da un’applicazione sul loro telefono. Per istruzioni dettagliate, consultate la nostra guida su come aggiungere l’autenticazione a due fattori in WordPress.

Guide di esperti su come proteggere l’accesso a WordPress

Speriamo che questo articolo vi abbia aiutato a capire come disconnettere automaticamente gli utenti inattivi in WordPress. Potreste anche voler vedere altri modi per proteggere la vostra schermata di accesso:

• Come e perché limitare i tentativi di accesso in WordPress
• Come aggiungere il CAPTCHA nel modulo di accesso e registrazione di WordPress
• Come aggiungere domande di sicurezza alla schermata di login di WordPress
• Come aggiungere il login senza password in WordPress con i link magici
• Come disattivare i suggerimenti di accesso nei messaggi di errore di accesso di WordPress
• Come aggiungere il login sociale a WordPress (in modo semplice)
• Come aggiungere un URL di accesso personalizzato in WordPress (passo dopo passo)

Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.