Per impostazione predefinita, un utente di WordPress può accedere a un account da più postazioni contemporaneamente. Questo può compromettere la sicurezza del vostro sito WordPress multi-autore e può sicuramente danneggiare i vostri profitti se gestite un sito associativo. In questo articolo vi mostreremo come impedire agli utenti di condividere le password in WordPress bloccando gli accessi contemporanei.
Come WordPress gestisce le sessioni utente?
Prima di proseguire, parliamo un po’ di come WordPress gestisce le sessioni degli utenti. Come molte altre applicazioni web, WordPress utilizza i cookie per identificare un utente connesso. Questi cookie non contengono la password, ma solo il nome utente e una chiave speciale come prova della conoscenza della password.
Ora, se accedete al vostro sito da una postazione pubblica e per abitudine selezionate il pulsante “Ricordami”, chiunque da quel computer può accedere al vostro sito perché WordPress permette di accedere con lo stesso nome utente da due postazioni diverse.
Questo è un po’ problematico per la sicurezza, ma può anche essere negativo per gli affari se gestite un sito di membership che vende contenuti premium.
Gli utenti possono semplicemente condividere la loro password con i loro amici e utilizzare gli stessi dati di accesso per consumare i vostri contenuti a pagamento.
Non sarebbe bello se si potesse impedire agli utenti di accedere allo stesso account da più parti?
Recentemente, quando un utente ci ha posto questa domanda, abbiamo cercato in giro e trovato un plugin che impedisce i login simultanei.
Prevenire gli accessi simultanei e la condivisione della password in WordPress
Video tutorial
Se il video non vi piace o avete bisogno di ulteriori istruzioni, continuate a leggere.
La prima cosa da fare è installare e attivare il plugin Prevent Concurrent Logins. Funziona subito e non ci sono impostazioni da configurare.
Potete testare il plugin in azione accedendo al vostro sito WordPress da due browser diversi sul vostro computer o utilizzando la modalità privata/in incognito.
Quando provate ad accedere al vostro sito con lo stesso nome utente e la stessa password sul secondo browser, sarete in grado di accedere con successo. Tuttavia, il plugin terminerà la vecchia sessione e facendo clic su qualsiasi link nella finestra del browser precedente si accederà alla pagina di accesso.
Questo è tutto. Speriamo che questo articolo vi abbia aiutato a capire come impedire agli utenti di condividere le password in WordPress bloccando gli accessi contemporanei. Potreste anche dare un’occhiata alla nostra guida su come monitorare l’attività degli utenti in WordPress con Simple History.
Inoltre, vi ricordiamo che le password possono essere violate: Le password possono essere violate. Se volete evitarlo, dovete utilizzare password forti sul vostro sito WordPress. Potreste anche voler imporre password forti a tutti gli utenti del vostro sito WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Google+.
Dwayne
I want to allow the sharing of user credentials, but i want to set how many sessions allowed. So i want to give access to resources, by creating an account 1 account and stating that only 20 active sessions are allowed. If sessions 21 comes in it is denied access. Is there anything that allows that?
Mike
This really doesn’t prevent someone from sharing their username and password with someone else. It only prevents them from being logged in at the same time.
Toon van der Struijk
I’ve tested the plugin ‘Prevent Concurrent Logins’ but am in doubt of really using it.
The thing that bothers me the most, is that every New session is honored in favour of an Old (existing) session.
This means that a user who is successfully logged-in gets locked out as soon as someone else is logging in with the same credentials. In my opinion this not very user friendly, and actually it should work the other way around.
When a user (B) is trying to log in by using the same credentials from a user (A) who is already logged in, user B should get a warning that logging in with these credentials is not possible at the moment because someone else (user A) is using it.
This keeps user A logged in
WPBeginner Staff
Yes that would be a good title too. The post idea came from a user worried that their premium users were sharing passwords with their friends. Which is a major concern for many site owners offering premium content, downloads, and membership sites. We were hoping this title would help them.
Eric Mann
I was a bit confused by this article when I started reading. By “stop users from sharing passwords,” I imagined you were explaining a way to prevent duplicate passwords in the database (which, by itself, would be a massive security vulnerability). I was confused again when you started talking about user sessions, but then everything clicked.
Perhaps a better title would be “How to Stop Users from Sharing Login Sessions”? It’s a bit more on target with what the article is about.
Daryl Griffiths
Just what I needed for my intranet site, to run alongside the ‘idle logout’ plugin.