Volete obbligare gli utenti a cambiare la password in WordPress?
Migliorate la sicurezza del vostro sito WordPress obbligando a cambiare regolarmente la password. Questo semplice passo rende molto più difficile per gli hacker compromettere il vostro sito, proteggendo i vostri dati e quelli dei vostri utenti.
In questo articolo vi mostreremo come costringere gli utenti a cambiare password in WordPress facendo scadere le loro password dopo un determinato periodo di tempo.
Quando e perché obbligare gli utenti di WordPress a cambiare la password?
L’80% delle violazioni di dati riguarda password deboli o rubate. Le modifiche regolari ostacolano i tentativi degli hacker.
Gli hacker cercheranno di accedere regolarmente al vostro account per un certo periodo di tempo. In questo caso, eviterete gli attacchi brute-force effettuati da persone con intenti malevoli.
La maggior parte dei nuovi utenti è incline a utilizzare password deboli o la stessa password degli altri account, perché sono facili da ricordare. Se un hacker entra nel vostro sito WordPress, può compromettere la sicurezza di tutti gli altri utenti.
Ma la modifica forzata della password non è possibile per gli utenti amministratori. È necessario forzare le modifiche anche per gli utenti membri e per i clienti che ritornano. Ad esempio, quando i clienti si registrano sul vostro negozio WooCommerce o sul vostro sito associativo, ricevono la password via e-mail. Per questo motivo, obbligare a cambiare regolarmente la password aiuterà a mitigare i tentativi di phishing effettuati tramite e-mail.
Inoltre, se gestite un sito WordPress multiutente, dovreste chiedere agli utenti di aggiornare le password dopo un determinato periodo di tempo.
D’altra parte, se di recente avete notato un’attività sospetta sul vostro sito WordPress, dovreste immediatamente far scadere tutte le password degli utenti esistenti e chiedere a tutti di aggiornare le proprie password.
Detto questo, vediamo come è possibile far scadere le password e costringere gli utenti a cambiarle in WordPress.
Forzare gli utenti a cambiare la password in WordPress
Il modo migliore per obbligare gli utenti a cambiare le password in WordPress è utilizzare il plugin Password Policy Manager. Esso consente di creare e applicare facilmente politiche di password forti e sicure.
Per iniziare, è necessario installare e attivare il plugin Password Policy Manager. Per maggiori dettagli, consultate il nostro tutorial su come installare un plugin di WordPress.
Da qui, è necessario andare alla pagina Password Policy Manager ” Password Policy Manager. Quindi, nella scheda Impostazioni dei criteri ” Per tutti gli utenti, si vedranno le varie impostazioni dei criteri delle password che si possono impostare.
Per prima cosa, assicuratevi di attivare il pulsante grande che dice “Abilita tutte le impostazioni”. Sotto di esso, è possibile selezionare tutte le regole dei criteri delle password che si desidera applicare ogni volta che un nuovo utente deve creare una nuova password.
Le opzioni comprendono:
- Deve contenere lettere minuscole e maiuscole
- Deve contenere cifre numeriche
- Deve contenere caratteri speciali
- Lunghezza della password compresa tra 8 e 25
Si consiglia di mantenere queste caselle spuntate, poiché si tratta di buone pratiche per avere una password forte. Si consiglia di leggere anche la nostra guida su come aggiungere un semplice generatore di password utente in WordPress.
In basso, dovrete selezionare la casella “Reimposta forzatamente la password al primo accesso”. In questo modo si evita che i nuovi utenti utilizzino la stessa password degli altri account online e si assicura che impostino subito una password forte.
Quindi, dovrete attivare l’opzione “Abilita scadenza password”, in modo da impostare un tempo di scadenza specifico che costringa tutti gli utenti del sito a cambiare la password. A fianco, è possibile impostare il numero di settimane in cui si desidera forzare la modifica.
Dopodiché, è possibile premere il pulsante “Salva impostazioni”.
Sotto le impostazioni di salvataggio, è presente un’opzione per reimpostare la password con un clic. Se voi o i vostri utenti non avete resettato la password da un po’ di tempo, è una buona idea premere il pulsante “Reimposta password”.
In questo modo si interrompono automaticamente tutte le sessioni di accesso degli utenti e si obbligano gli stessi a reimpostare le password.
Tutti gli utenti riceveranno un’e-mail con un link per reimpostare la password.
Basta fare clic sul link contenuto nell’e-mail.
Verrà visualizzata la schermata di accesso a WordPress, in cui inserire la password attuale e quella nuova.
Si consiglia di utilizzare un generatore di password sicure piuttosto che cercare di trovare qualcosa da memorizzare. Poi, per memorizzarla, si può utilizzare un gestore di password come 1Password o LastPass.
Da qui, fare clic su “Cambia password”.
Quindi, verrete riportati alla pagina di accesso a WordPress, dove potrete inserire le nuove credenziali.
È anche possibile accedere alla pagina Password Policy Manager ” Rapporti . Qui troverete tutti i tentativi di accesso effettuati dagli utenti. È bene controllare periodicamente se sono stati effettuati tentativi sospetti di accesso al vostro sito WordPress. In tal caso, potete facilmente eseguire la reimpostazione con un solo clic di cui abbiamo appena parlato.
Per visualizzare i dati, è necessario attivare la scheda “Abilita inserimento rapporti”.
Ed ecco fatto! Ora avete impostato con successo il vostro sito WordPress in modo da obbligare tutti gli utenti a cambiare la password dopo la data di scadenza.
Suggerimenti per la risoluzione dei problemi
Cosa succede se i miei utenti non ricevono mai le loro e-mail?
Se i vostri utenti non ricevono le notifiche via e-mail per reimpostare le loro password, potrebbe essere successo qualcosa di diverso. Date un’occhiata alla nostra guida su come risolvere il problema dell’invio di e-mail da parte di WordPress.
Cosa succede se non riesco a entrare nell’area amministrativa di WordPress per reimpostare la password?
Se per qualche motivo non riuscite a entrare nell’area di amministrazione di WordPress, date un’occhiata alla nostra guida su cosa fare quando siete bloccati dall’area di amministrazione di WordPress.
Speriamo che questo articolo vi abbia aiutato a capire come forzare gli utenti a cambiare la password in WordPress. Potreste anche voler consultare la nostra guida definitiva alla sicurezza di WordPress per migliorare la sicurezza del vostro sito web o il nostro elenco degli errori più comuni di WordPress e di come risolverli.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Marko says
Article need update.
WPBeginner Support says
Thank you for letting us know, we will look into updating the article when we are able
Admin
Shallum Vohr says
How to force user to update password on first login only?
Millie Aveyard says
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support says
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Admin
Remi says
Very nice idea! It’s a great to give more security to the administration!
Daniel says
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the “Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet says
This is a very good post ……