È importante aumentare la sicurezza del sito WordPress e un modo semplice per farlo è rimuovere l’opzione di reimpostazione della password.
Normalmente, WordPress permette agli utenti di reimpostare la password utilizzando il proprio indirizzo email. Sebbene questo sia molto comodo, può anche essere un bersaglio per gli hacker.
Offrire l’opzione di reimpostazione della password aggiunge un ulteriore livello di protezione. Anche se si tratta di una piccola modifica, può fare una grande differenza. In questo modo, solo voi o gli utenti fidati possono modificare le password.
In questa guida vi mostreremo come rimuovere l’opzione di reimpostazione/modifica della password in WordPress passo dopo passo.
Perché rimuovere l’opzione di ripristino/modifica della password da WordPress?
Se consentite la registrazione degli utenti sul vostro sito WordPress, l’opzione di reimpostazione della password consente agli utenti di recuperare le password perse. Normalmente, non si vorrebbe cambiare questa opzione.
Tuttavia, in alcuni scenari d’uso, potreste voler rimuovere questa opzione per determinati utenti o ruoli di utenti sul vostro sito WordPress.
Ad esempio, potreste aver creato un account temporaneo per qualcuno o un sito dimostrativo in cui gli utenti possono accedere con un nome utente e una password dimostrativi.
Inoltre, l’opzione di reimpostazione della password offre agli hacker un altro modo per tentare di entrare nel vostro sito web. Se siete particolarmente preoccupati per la sicurezza di WordPress, potreste voler rimuovere l’opzione che consente agli utenti di reimpostare le proprie password.
La soluzione più semplice sarebbe quella di rimuovere il link per la reimpostazione della password. Tuttavia, alcuni utenti esperti potrebbero già conoscere l’URL da utilizzare per accedere al modulo di reimpostazione della password.
Tenendo presente questo, vediamo come rimuovere facilmente l’opzione di reimpostazione/modifica della password da WordPress:
Pronti? Iniziamo.
Metodo 1: Disabilitare l’opzione di reimpostazione/cambio della password utilizzando LoginPress
Il modo più semplice per disabilitare l’opzione di reimpostazione/modifica della password è LoginPress. Si tratta di un plugin gratuito per WordPress che consente di personalizzare la pagina di login.
LoginPress offre un’ampia gamma di funzioni per personalizzare l’aspetto della pagina di login per migliorare la sicurezza e l’aspetto della pagina.
Passo 1: Installare e attivare LoginPress
Per iniziare, è necessario installare e attivare LoginPress. Per maggiori dettagli, potete selezionare il nostro tutorial su come installare un plugin di WordPress.
Nota: la versione gratuita ha tutto ciò che serve per disabilitare l’opzione di reimpostazione/modifica della password. Tuttavia, la versione a pagamento offre funzioni di sicurezza avanzate, come la possibilità di personalizzare l’URL di accesso, limitare i tentativi di accesso e altro ancora.
Passo 2: personalizzare le impostazioni
Quindi, andiamo alla pagina delle impostazioni di LoginPress dalla vostra Bacheca di WordPress. Nella pagina delle impostazioni, avete a disposizione un’infinità di opzioni per personalizzare la vostra pagina di accesso. Molte delle altre schede sono caratteristiche a pagamento, ma le impostazioni sono disponibili per gli utenti gratuiti.
Una cosa che probabilmente si desidera attivare è l’opzione “Forza la reimpostazione della password”. Una volta attivata, dovrete impostare la durata in giorni, dopo i quali l’utente sarà costretto a cambiare nuovamente la password.
Una buona regola per la sicurezza di WordPress è cambiare la password ogni 90 giorni. Inoltre, potete scegliere per quali ruoli utente volete applicare questa regola di reimpostazione della password.
In basso, potete anche impostare il numero di minuti in cui un utente può accedere al backend del vostro sito WordPress prima che la sessione scada. Inoltre, è possibile aggiungere campi password personalizzati nel modulo di registrazione dell’utente, oltre ad altre impostazioni.
Una volta selezionate tutte le opzioni che si desidera personalizzare, è sufficiente hittare il pulsante “Salva modifiche”.
Passo 3: Disabilitare la password dimenticata
Da qui, si dovrà andare su LoginPress “ Personalizza. In questo modo si accede a un editor integrato in cui è possibile personalizzare facilmente qualsiasi aspetto della pagina di accesso di WordPress.
Per rimuovere il messaggio “Hai perso la password?”, è necessario andare alla scheda “Modulo footer”. Facendo clic sull’icona della matita accanto a “Hai perso la password?” si accede anche alla scheda “Piè di pagina del modulo”.
Quindi, è necessario disattivare l’opzione “Abilita testo piè di pagina”.
Questo rimuoverà le opzioni “Registrati” e “Hai perso la password?” dalla pagina di accesso.
Il plugin offre molte altre funzioni interessanti.
Ad esempio, è possibile modificare il colore dei pulsanti e del testo, aggiungere loghi e persino cambiare lo sfondo. È sufficiente fare clic sull’icona della matita nel punto che si desidera modificare o navigare nel pannello laterale sinistro.
Una volta terminata la personalizzazione della pagina di login di WordPress, sarete pronti a salvare le modifiche.
È sufficiente premere il pulsante “Pubblica” nell’angolo in alto a sinistra per finalizzare le modifiche.
Infine, è necessario disconnettersi dalla dashboard di WordPress e provare ad accedervi di nuovo per verificare che non compaia più l’opzione “password persa”.
Ora avete rimosso con successo l’opzione di reimpostazione/modifica della password da WordPress.
Metodo 2: Disabilitare manualmente l’opzione di reimpostazione della password da WordPress utilizzando WPCode
Questo metodo richiede l’aggiunta di codice al vostro sito WordPress.
Alcuni tutorial vi diranno di modificare direttamente i file, ma noi non lo consigliamo. Anche il più piccolo errore durante la digitazione del codice può causare errori di WordPress o addirittura rendere inaccessibile il vostro sito.
Per questo motivo consigliamo di utilizzare un plugin per gli snippet di codice come WPCode.
Questo popolare plugin consente di aggiungere codice personalizzato in WordPress senza modificare il file functions.php del vostro tema, così non dovrete preoccuparvi di rompere il vostro sito.
Per questa esercitazione è possibile utilizzare la versione gratuita di WPCode. Tuttavia, se si effettua l’aggiornamento alla versione premium, si avrà accesso a un maggior numero di snippet già pronti e a funzioni avanzate, tra cui un generatore di codice, la cronologia delle revisioni e la logica condizionale intelligente.
Per iniziare, è necessario installare e attivare il plugin WPCode. Per ulteriori informazioni, consultare la nostra guida su come installare un plugin di WordPress.
Quindi, è necessario andare su Code Snippets ” + Add Snippet.
Poiché non esiste uno snippet già pronto per disabilitare l’opzione di reimposta della password, è necessario aggiungere un codice personalizzato. Si può fare un passaggio del mouse sulla barra “Aggiungi codice personalizzato” e fare clic su “Usa snippet”.
Nella schermata successiva, si darà un nome allo snippet personalizzato.
Si consiglia di assegnare un nome cancellato, in modo da potersi riferire facilmente in seguito se si devono apportare modifiche.
Quindi, per il “Tipo di codice”, selezioniamo l’opzione “Snippet PHP” dal menu a discesa.
Quindi, copiare e incollare il seguente codice nell’editor di testo “Anteprima codice”:
<?php
/*
* Plugin Name: Disable Password Reset
* Description: Disable password reset functionality. Only users with administrator role will be able to change passwords from inside admin area.
* Version: 1.0
* Author: WPBeginner
* Author URI: http://wpbeginner.com
*/
class Password_Reset_Removed
{
function __construct()
{
add_filter( 'show_password_fields', array( $this, 'disable' ) );
add_filter( 'allow_password_reset', array( $this, 'disable' ) );
add_filter( 'gettext', array( $this, 'remove' ) );
}
function disable()
{
if ( is_admin() ) {
$userdata = wp_get_current_user();
$user = new WP_User($userdata->ID);
if ( !empty( $user->roles ) && is_array( $user->roles ) && $user->roles[0] == 'administrator' )
return true;
}
return false;
}
function remove($text)
{
return str_replace( array('Lost your password?', 'Lost your password'), '', trim($text, '?') );
}
}
$pass_reset_removed = new Password_Reset_Removed();
?>
Ecco come dovrebbe apparire la schermata:
A questo punto è sufficiente spostare l’opzione da “Inattivo” ad “Attivo” nella parte superiore della pagina.
Quindi, procedere con l’hit “Salva snippet” per finalizzare le modifiche.
Congratulazioni, è tutto-in-uno!
A questo punto, è possibile disconnettersi dall’area di amministrazione di WordPress per verificare se l’opzione di reimpostazione della password è stata rimossa.
Bonus: disabilitare l’accesso con l’indirizzo email in WordPress
Ora che avete imparato a disabilitare l'”opzione di reimpostazione/modifica della password”, potreste voler portare la sicurezza del vostro accesso a WordPress a un livello superiore. Una delle opzioni disponibili è la disabilitazione dell’accesso con indirizzo email.
Supponiamo che qualcuno voglia violare il vostro sito WordPress. Allora, avere la vostra email potrebbe aiutarli a indovinare la vostra password o a violare il vostro account.
WPCode ha uno snippet “Disabilita accesso via email” che si può usare.
È sufficiente installare e attivare il plugin e cercare lo snippet nella sua libreria per applicare il codice.
Per istruzioni più dettagliate, potete seguire la nostra guida su come disabilitare l’accesso con indirizzo email in WordPress.
Suggerimento dell’esperto: se il vostro sito WordPress è stato violato, non fatevi prendere dal panico: abbiamo un servizio di riparazione del sito violato che vi aiuterà! Il nostro team di esperti identificherà e correggerà rapidamente i problemi per far funzionare di nuovo il vostro sito senza problemi. Offriamo una pulizia approfondita, assicurando la rimozione di tutto il codice dannoso. Contattateci oggi stesso e ripristinate la vostra tranquillità!
Speriamo che questo articolo vi abbia aiutato a capire come rimuovere l’opzione di reimposta/modifica della password da WordPress. Potreste anche voler selezionare le nostre guide su come proteggere con password la directory di amministrazione di WordPress (wp-admin) e su come forzare il logout di tutti gli utenti in WordPress.
Se questo articolo vi è piaciuto, iscrivetevi al nostro canale YouTube per le esercitazioni video su WordPress. Potete trovarci anche su Twitter e Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Billy
The Script you wrote on the top Method 2: Manually Disable Password Reset Option From WordPress. Is this still good ? Does it need to be updated ?
WPBeginner Support
The second method in our article should still work unless we hear otherwise.
Admin
CG
Hi,
how to remove all the other Options from the user-page?
WPBeginner Support
While we don’t have a tutorial for that at the moment, for what it sounds like you’re wanting you may want to take a look at our guide on How to Limit Dashboard Access
Admin
Rich Adams
Creating the plugin works perfectly, thank you.
Hoowever the Security plugin WordFence shows a warning now:
“The Plugin “Disable Password Reset” appears to be abandoned (updated November 10, 2016, tested to WP 4.6.12).
Type: Plugin Abandoned”
Is there a way to update this plugin to avoid the warning?
TIA!
WPBeginner Support
Hi Rich,
Try changing plugin name in the code.
Admin
Francine Paino
I am a member of a writing organization and unfortunately, the member who was in charge of our website died suddenly. No one knows the password. We have created a new website on WordPress, but we need to take down the old one. Having two sites is causing a great deal of confusion.
How do we bypass the password? Is there someone to contact regarding this problem?
Thank you in advance for your assistance with this problem.
FP
WPBeginner Support
Hi Francine,
If the old website is a self hosted WordPress.org website, then it is hosted by a hosting company. You can request the hosting company to take down the website. However, hosting companies usually do this only when the request is made by a deceased customer’s next of kin or someone with legal rights.
Admin
Imer García
That’s still works with the recent versions of WP? Because Im just do it in 2 hosted in my local machine, and nothing happens. The plugin is installed and activated, but the “Forgot Your Password” option remains in the login form.
Thanks
Kristi Buchanan
I recently got a new computer and I need to know how disable the password to be able to get into it so I can finish setting it up?
Lo
Great! thank you
Priya Singh
Hi Team,
This is extremely fantastic tutorial you have shared on this amazing blog because i was thinking to try it through my dashboard but i was unable to do and when i visited on this awesome WPbeginner site and i found it.
so in this case thanks a lot .
Saeed Khan
The plugin generated 3 characters of unexpected output during activation. If you notice “headers already sent” messages, problems with syndication feeds or other issues, try deactivating or removing this plugin.
Please help how to fixed this issue??
WPBeginner Support
If you are using the code method, then this could mean that there is extra space after php closing tag. You can delete those extra spaces, you can also delete the PHP closing tag ?>
Admin
Adam Edgar
that doesnt remove my error message
“The plugin generated 1 characters of unexpected output during activation. If you notice “headers already sent” messages, problems with syndication feeds or other issues, try deactivating or removing this plugin.”