Come forzare il logout degli utenti WordPress

forzare il logout degli utenti

Se hai un sito in WordPress che prevede la possibilità di effettuare il login da parte degli utenti (come ad esempio un e-commerce, un forum, una community, ecc.) oppure anche semplicemente un blog con molti autori, potresti avere l’esigenza di assicurarti che, in certi momenti, nessun utente abbia una sessione di login attiva. Detto in altri termini, ti servirà forzare il logout degli utenti del tuo sito in WordPress.

Quando devi effettuare degli aggiornamenti o delle modifiche importanti, molto probabilmente vorrai prima mettere il sito in manutenzione, per fare in modo che i tuoi utenti non vedano cose “strane” all’interno del sito mentre lavori e “sperimenti”.

Un plugin come “Under Construction“, ad esempio, ti consente di mettere il sito in modalità “manutenzione”, negando l’accesso ad ogni utente non-admin. Tuttavia, nel momento in cui scrivo, il plugin non effettua anche il logout forzato degli utenti. Questo significa che se un utente era già collegato con una sessione di login attiva prima che mettessi il sito in manutenzione, esso sarà comunque in grado di vedere tutti i contenuti del tuo sito, finché non verrà “buttato fuori” in modo forzato.

Un’altro motivo per cui potresti avere questa necessità, è legato alla sicurezza. E’ ben noto, infatti, che le sessioni di login di utenti autenticati, di fatto ancora “attive” ma inutilizzate da molto tempo, possono costituire una minaccia in quanto possono fornire un punto di accesso al tuo sito da parte di hackers.

Vediamo quindi come si può forzare il logout delle sessioni attive su WordPress.

1. Installare un plugin per il logout automatico degli utenti idle

Inactive Logout

Questo plugin ti permette di forzare il logout automatico degli utenti che rimangono inattivi per un tempo definito dall’amministratore. Ha più di mille installazioni attive e, nel momento in cui scrivo, sembra che venga aggiornato abbastanza frequentemente (al momento, l’ultimo aggiornamento risale a 7 giorni fa).

Idle User Logout

Anche questo plugin permette di configurare e decidere il tempo di “idle”, oltre il quale l’utente inattivo verrà buttato fuori. E’ un po’ più “famoso” del precedente, con più di 3000 installazioni, ma non viene aggiornato da più di un anno e, sempre nel momento in cui scrivo, è stato testato fino alla versione 4.5.10 di WordPress.

Se, come me, preferisci trovare delle soluzioni manuali piuttosto che ricorrere all’uso di plugin e pensi che non avrai bisogno di forzare il logout degli utenti molto spesso, ti propongo un’alternativa più “spartana”, ma anche molto efficace e meno invasiva.

2. Modificare le secret keys del file di configurazione

Segui questi semplici passaggi:

  • Accedi alla cartella di installazione principale di WordPress e apri il file wp-config.php (scaricalo in locale se necessario)
  • Vai al sito https://api.wordpress.org/secret-key/1.1/salt/ e copia le nuove secret keys (ogni volta che aggiorni la pagina le chiavi cambieranno automaticamente
  • Trova la porzione del file di configurazione in cui vanno configurate le secret keys e modificale (o aggiungile se non le hai mai aggiunte nel sito)
  • Salva il file (e fai di nuovo upload via FTP se necessario)

Questa semplice operazione forzerà il logout di tutti gli utenti con una sessione attiva (compreso tu e qualsiasi altro admin).

Per maggiori informazioni su cosa sono le secret keys e perché sono molto importanti per la sicurezza del tuo sito, puoi consultare questo articolo.

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *