Rendere più sicuro il vostro sito WordPress è sempre una mossa intelligente.
Un modo efficace per farlo è richiedere agli utenti di modificare regolarmente le proprie password. Questo semplice passo può rendere molto più difficile l’accesso agli hacker.
Le normali modifiche alle password proteggono i vostri dati e le informazioni dei vostri utenti. Inoltre, aggiungono un ulteriore livello di sicurezza al vostro sito. Facendo scadere le password dopo un certo periodo, contribuite a mantenere tutti più sicuri.
In questa guida vi spiegheremo come forzare gli utenti a cambiare la password in WordPress.
Quando e perché obbligare gli utenti di WordPress a cambiare la password?
L’80% delle violazioni dei dati riguarda password deboli o rubate. Per fortuna, le normali modifiche alle password ostacolano i tentativi degli hacker.
Gli hacker cercheranno di accedere regolarmente al vostro account per un certo periodo di tempo. In questo caso, eviterete gli attacchi brute-force effettuati da persone con intenti malevoli.
La maggior parte dei nuovi utenti è incline a utilizzare password deboli o la stessa password degli altri account, perché sono facili da ricordare. Se un hacker entra nel vostro sito WordPress, può compromettere la sicurezza di tutti gli altri utenti.
Ma l’obbligo di modificare la password non dovrebbe valere solo per gli utenti amministratori. Dovrebbe valere anche per gli utenti iscritti e per i clienti restituiti. Ad esempio, quando i clienti si registrano sul vostro negozio WooCommerce o sul vostro sito, ricevono la password via email. Forzare la normale modifica della password può aiutare a ridurre il rischio di tentativi di phishing effettuati tramite email.
Inoltre, se gestite un sito WordPress multiutente, dovreste chiedere agli utenti di aggiornare le password dopo un determinato periodo di tempo.
D’altra parte, se di recente avete notato un’attività sospetta sul vostro sito WordPress, dovreste immediatamente far scadere tutte le password degli utenti esistenti e chiedere a tutti di aggiornare le proprie password.
Suggerimento degli esperti: Temete che il vostro sito sia stato violato? Lasciate che i nostri esperti di sicurezza WordPress correggano il vostro sito web e lo rimettano in sesto. Ripuliremo qualsiasi codice, file e malware dannoso, in modo che le vostre informazioni sensibili rimangano al sicuro. Agite subito e proteggete il vostro sito con i nostri servizi dedicati alla riparazione di siti violati!
Tenendo presente questo, vediamo come è possibile far scadere le password e costringere gli utenti a cambiarle in WordPress.
Forzare gli utenti a cambiare la password in WordPress
Il modo migliore per obbligare gli utenti a cambiare le password in WordPress è utilizzare il plugin Password Policy Manager. Esso consente di creare e applicare facilmente politiche di password forti e sicure.
Per iniziare, è necessario installare e attivare il plugin Password Policy Manager. Per maggiori dettagli, consultate il nostro tutorial su come installare un plugin di WordPress.
Da qui, è necessario andare alla pagina Password Policy Manager ” Password Policy Manager. Quindi, nella scheda Impostazioni dei criteri ” Per tutti gli utenti, si vedranno le varie impostazioni dei criteri delle password che si possono impostare.
Per prima cosa, assicuratevi di aver acceso il pulsante grande che dice “Attiva/disattiva tutte le impostazioni”. Sotto di esso, è possibile selezionare tutte le regole del criterio della password che si desidera applicare ogni volta che un nuovo utente deve creare una nuova password.
Le opzioni comprendono:
- Deve contenere lettere minuscole e maiuscole
- Deve contenere cifre numeriche
- Deve contenere caratteri speciali
- Lunghezza della password compresa tra 8 e 25
Si consiglia di mantenere queste caselle spuntate, poiché si tratta di buone pratiche per avere una password forte. Si consiglia di leggere anche la nostra guida su come aggiungere un semplice generatore di password utente in WordPress.
In basso, dovrete selezionare la casella “Reimposta forzatamente la password al primo accesso”. In questo modo si evita che i nuovi utenti utilizzino la stessa password degli altri account online e si assicura che impostino subito una password forte.
Quindi, è necessario attivare l’opzione “Abilita scadenza password”, in modo da impostare un tempo di scadenza specifico che costringa tutti gli utenti del sito a cambiare la password. A fianco, è possibile impostare il numero di settimane in cui si desidera forzare la modifica.
Una volta fatto, si può hittare il pulsante “Salva impostazioni”.
Sotto le impostazioni di salvataggio, è presente un’opzione per reimpostare la password con un clic. Se voi o i vostri utenti non avete reimposto la password da un po’ di tempo, è una buona idea fare clic sul pulsante “Reimposta password”.
In questo modo, gli utenti termineranno automaticamente tutte le sessioni connesse e saranno costretti a reimpostare la password.
Tutti gli utenti riceveranno quindi un’email con un link per reimpostare la password.
Tutto ciò che devono fare è cliccare sul link contenuto nell’email.
Si aprirà la schermata di accesso a WordPress, in cui inserire la password attuale e quella nuova.
Si consiglia di utilizzare un generatore di password sicuro invece di cercare di crearne una da memorizzare. Per memorizzarla è possibile utilizzare un gestore di password come 1Password.
Da qui è possibile fare clic su “Modifica password”.
In questo modo si tornerà alla pagina di accesso a WordPress, dove si potranno inserire le nuove credenziali.
È possibile accedere alla pagina Password Policy Manager ” Report per tenere traccia di tutti i tentativi di accesso effettuati dagli utenti. Vi consigliamo di verificare periodicamente se sono stati effettuati tentativi sospetti di accesso al vostro sito WordPress. In tal caso, potete facilmente eseguire la reimposta con un clic appena citata.
Per visualizzare i dati, è necessario attivare la scheda “Abilita inserimento rapporti”.
Ed ecco fatto! Ora avete impostato con successo il vostro sito WordPress in modo da obbligare tutti gli utenti a cambiare la password dopo la data di scadenza.
Suggerimenti per la risoluzione dei problemi
A volte le cose non vanno come previsto. Ecco alcuni consigli per la risoluzione dei problemi che vi aiuteranno nella navigazione.
Cosa succede se gli utenti non ricevono mai le email?
Se i vostri utenti non ricevono le notifiche via e-mail per reimpostare le loro password, potrebbe essere successo qualcosa di diverso. Date un’occhiata alla nostra guida su come risolvere il problema dell’invio di e-mail da parte di WordPress.
Cosa succede se non riesco a entrare nell’area amministrativa di WordPress per reimpostare la password?
Se per qualche motivo non riuscite a entrare nell’area di amministrazione di WordPress, date un’occhiata alla nostra guida su cosa fare quando siete bloccati dall’area di amministrazione di WordPress.
Speriamo che questo articolo vi abbia aiutato a capire come forzare gli utenti a cambiare password in WordPress. Potreste anche voler consultare la nostra guida definitiva alla sicurezza di WordPress per migliorare la sicurezza del vostro sito web o il nostro elenco degli errori più comuni di WordPress e di come correggerli.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Marko
Article need update.
WPBeginner Support
Thank you for letting us know, we will look into updating the article when we are able
Admin
Shallum Vohr
How to force user to update password on first login only?
Millie Aveyard
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Admin
Remi
Very nice idea! It’s a great to give more security to the administration!
Daniel
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the “Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet
This is a very good post ……