Riassunto AI
Se hai iniziato a ricevere email di reimpostazione della password di WordPress che non hai richiesto, non sei solo. Queste richieste tendono a comparire dal nulla, a volte un paio al giorno e a volte dozzine contemporaneamente, e provengono quasi sempre da bot automatizzati piuttosto che da una persona reale che cerca di accedere al tuo account.
La parte rassicurante è che queste email non significano che il tuo sito sia stato hackerato. Chiunque conosca o indovini l'indirizzo email di un account può chiedere a WordPress di inviare un link di reimpostazione, quindi le richieste sono più fastidiose che pericolose. Vale comunque la pena bloccarle prima che lo spam peggiori.
Nella mia esperienza, i siti web più piccoli raramente ci pensano finché la casella di posta non inizia a riempirsi. L'assunzione comune è che devi essere un sito grande e conosciuto per attirare spam, quindi i siti più nuovi rimandano. Ho visto quella mentalità trasformarsi in un sacco di lavoro di pulizia evitabile che pochi minuti di configurazione avrebbero prevenuto.
Bloccare queste richieste è più semplice di quanto pensi. Quindi, in questa guida, ti illustrerò i modi più semplici ed efficaci per interrompere le reimpostazioni non autorizzate della password sul tuo sito WordPress, iniziando dal motivo per cui si verificano e passando poi alle impostazioni esatte che le bloccano.
Ferma subito lo spam dei moduli WordPress
Perché stai ricevendo richieste non autorizzate di reimpostazione della password?
La maggior parte delle richieste non autorizzate di reimpostazione della password proviene da bot di spam che scansionano il web alla ricerca di pagine di accesso e di recupero password di WordPress. Quando ne trovano una, inviano richieste di reimpostazione utilizzando gli indirizzi email che hanno raccolto o indovinato, motivo per cui le email sembrano casuali e arrivano a scaglioni.
WordPress lo rende facile per loro per progettazione, perché il flusso di reimpostazione predefinito su wp-login.php consente a chiunque di inviare un'email o un nome utente e attivare un link di reimpostazione senza alcuna verifica preliminare. Ciò è conveniente per gli utenti reali che sono bloccati, ma è anche una porta aperta per abusi automatizzati.
Se hai ricevuto il messaggio che dice "Qualcuno ha richiesto una reimpostazione della password per il seguente account", quella è l'email di cui sto parlando. Vederla una o due volte è normale, ma vederla ripetutamente è il modello tipico dei bot.
Il link di reimpostazione stesso è monouso e scade, quindi una singola richiesta di per sé non darà a nessuno l'accesso al tuo account. Le richieste valgono comunque la pena di essere bloccate, sia per pulire la tua casella di posta che per chiudere un percorso che i bot amano sondare. Puoi persino personalizzare il modulo di reimpostazione della password predefinito di WordPress per avere un maggiore controllo su come funziona.
Come impedire reimpostazioni non autorizzate della password di WordPress
Di seguito, inizierò spiegando perché queste richieste continuano ad arrivare nella tua casella di posta, quindi condividerò i miei metodi provati e veri per eliminarle definitivamente.
1. Installa WPForms e attiva l'addon di registrazione utente


Per combattere efficacemente lo spam sul tuo modulo di reimpostazione password, avrai bisogno di un costruttore di moduli dotato di potenti strumenti di prevenzione dello spam.
WPForms è uno dei pochi plugin che prende molto sul serio lo spam, motivo per cui offre molteplici difese anti-spam per i tuoi moduli.
Mentre puoi accedere a molti potenti filtri antispam con WPForms Lite, userò WPForms Pro per tecniche anti-spam più complete.
Una volta acquisita la licenza WPForms Pro, vai al tuo account, accedi per accedere alla tua pagina account WPForms e naviga nella scheda Download. Fai clic sul pulsante Scarica WPForms .


Importante: mentre sei su questa pagina, copia il tuo numero di licenza. Ti servirà nei prossimi passaggi.
Successivamente, vai al tuo sito WordPress ed effettua l'accesso. Nella dashboard, fai clic su Plugin » Aggiungi nuovo. Quindi, fai clic sul pulsante Carica plugin. Allega il file .zip di WPForms che hai scaricato e installalo.


Una volta che WordPress ha finito di installare il tuo plugin WPForms, fai clic su Attiva plugin.


Ora che il plugin è installato e attivato, dovresti vedere WPForms nella barra laterale di navigazione a sinistra. Fai clic su WPForms » Impostazioni, e la scheda delle impostazioni Generali si aprirà per impostazione predefinita.
Dovresti vedere le impostazioni della Chiave di licenza in alto. Incolla la chiave di licenza che hai copiato dalla tua pagina account. Quindi fai clic su Verifica chiave per attivare WPForms.


Ora che WPForms è installato sul tuo sito, tutto ciò che devi fare è dedicare un secondo per installare l'addon User Registration.
Dal tuo pannello di controllo WordPress, fai clic su WPForms » Addons. Ricorda che devi avere una licenza Pro o superiore per accedere a questo addon.
Individua l'addon User Registration e fai clic sul pulsante Installa Addon.
Dopo che l'addon è stato installato, vedrai un interruttore che puoi usare per attivarlo e disattivarlo a tuo piacimento.


Se riscontri problemi, leggi le nostre istruzioni dettagliate su come installare e attivare gli addon di WPForms. Puoi anche consultare questa guida completa all'installazione dei plugin di WordPress.
2. Crea un modulo di reimpostazione password
Con esso installato e attivato, siamo pronti per creare un modulo! Per prima cosa, dal tuo pannello di controllo WordPress, fai clic su WPForms » Nuovo Modulo.


Successivamente, trova la barra cerca modelli, inserisci Modulo di reimpostazione password utente. Passa il mouse sull'opzione e quindi fai clic su Usa Modello.


Il modello verrà caricato nell'editor dei moduli e vedrai che è molto semplice. Puoi apportare le personalizzazioni che desideri, come l'aggiunta di uno o più filtri antispam per tenere lontani i bot.
3. Abilita la prevenzione dello spam sul modulo di reimpostazione password
Per impostazione predefinita, WPForms dispone di una moderna protezione antispam per tutti i moduli. Ma puoi aumentare ulteriormente la tua sicurezza abilitando misure aggiuntive di prevenzione dello spam oltre al filtro predefinito.
Esploriamo alcune di queste opzioni. Per prima cosa, dovrai andare su Impostazioni » Protezione Antispam e Sicurezza, dove troverai tutte le funzionalità relative all'antispam in un unico posto.


Puoi anche consultare la nostra guida completa sulla prevenzione dello spam nei moduli di contatto per saperne di più sui diversi tipi di tecniche antispam che puoi utilizzare per i tuoi moduli.
Akismet per il modulo di reimpostazione password
Akismet è probabilmente la soluzione antispam più affidabile nel mondo di WordPress. E si integra perfettamente con WPForms senza richiedere alcuna configurazione aggiuntiva.
Tutto ciò che ti serve è che Akismet sia installato e attivato sul tuo sito, e potrai quindi abilitarlo facilmente sul tuo modulo premendo il pulsante di attivazione Abilita protezione antispam Akismet.


Akismet funziona in modo intelligente per rilevare lo spam analizzando i pattern nell'input del modulo fornito.
Se Akismet rileva qualcosa di sospetto, bloccherà l'invio. Ecco come appare sul frontend per l'utente.


Puoi seguire questo tutorial completo su come filtrare lo spam con Akismet per utilizzare questo potente strumento contro gli spambot.
In alternativa, puoi utilizzare diversi servizi captcha e persino Cloudflare Turnstile.
Cloudflare Turnstile per prevenire abusi di reimpostazione password
Per configurare Turnstile con WPForms, puoi andare al menu principale Impostazioni nel menu di amministrazione di WordPress e fare clic sulla scheda CAPTCHA. Qui troverai le opzioni per l'integrazione di hCaptcha, Google reCAPTCHA e Cloudflare Turnstile.


Puoi trovare il tutorial completo su come impostare Cloudflare Turnstile per i tuoi moduli qui. Ho visto ottimi risultati con Turnstile, con un numero di invii di spam ridotto in modo significativo sul sito di una startup di un amico che ho aiutato a sviluppare.
Quando avrai abilitato Turnstile sul tuo sito, vedrai un badge di verifica apparire nell'angolo in alto a destra del tuo modulo.


Tempo minimo per l'invio
L'impostazione del tempo minimo per l'invio è la mia arma segreta contro lo spam. Questa è una delle tecniche di prevenzione dello spam più semplici. Eppure, rimane una delle più efficaci.
Questo perché i bot di spam sono programmi automatizzati progettati per operare rapidamente, inviando tonnellate di moduli ripetutamente in un breve lasso di tempo. Aggiungendo un semplice limite di tempo minimo, puoi battere molti tipi di spambot nel loro stesso gioco.
Per utilizzare questo filtro antispam, fai semplicemente clic sul pulsante di attivazione Abilita tempo minimo per l'invio e inserisci un valore in secondi.


Un modulo di reimpostazione della password è molto breve, quindi puoi aspettarti che le persone reali impieghino almeno 2 secondi per compilarlo. Tuttavia, i bot lo compileranno in millisecondi, il che significa che quegli invii falsi e non autorizzati non saranno mai ammessi.
Filtri per parole chiave e paesi
Filtri per parole chiave e paese sono piuttosto versatili perché non sono necessariamente utilizzati per bloccare lo spam. Ma se presti attenzione, a volte puoi trovare lo stesso tipo di schemi di parole chiave ripetuti dagli spambot.
Ad esempio, potrebbero essere caratteri in un'altra lingua, nomi di siti web specifici utilizzati dagli spammer o qualcosa di simile. Il filtro per parole chiave può bloccare efficacemente tali istanze di spam se hai identificato un uso frequente di parole chiave che non ti aspetti che i tuoi visitatori reali utilizzino.


Allo stesso modo, il filtro per paese è super utile per situazioni in cui lo spam proviene da un paese specifico. Sebbene bloccare un intero paese dall'accesso ai tuoi moduli potrebbe non essere una buona opzione se hai clienti o visitatori reali situati in quel paese, questa funzionalità funziona molto bene per le attività locali con una chiara separazione tra la posizione del tuo pubblico reale e gli spammer.
Ma devi avere informazioni chiare su da dove proviene lo spam. Il modo più semplice per ottenere queste informazioni è utilizzare le funzionalità di geolocalizzazione di WPForms o dedurre la posizione in base all'indirizzo IP dell'utente.
Aggiungi un captcha personalizzato
Il Captcha personalizzato è un altro antidoto semplice ma efficace allo spam. Per utilizzarlo, apri il tuo modulo, scorri i Campi Fantasia e trascina o fai clic sull'opzione Captcha personalizzato per aggiungerla al tuo modulo.


Ci sono 2 tipi di domande Captcha personalizzate che puoi aggiungere: matematiche e domanda e risposta.
Captcha matematici
Il Captcha personalizzato predefinito è una domanda matematica. Fai clic su di esso nel modulo per aprire le opzioni del campo.


Se decidi di mantenere il problema di matematica, genererà automaticamente una nuova domanda ogni volta che la pagina viene caricata e potrebbe essere un'addizione, una sottrazione o una moltiplicazione.
Se desideri personalizzare il Captcha matematico, puoi farlo con del codice personalizzato. Consulta il nostro tutorial su come cambiare il Captcha matematico per maggiori dettagli.
Captcha Domanda e Risposta
Puoi anche cambiarlo in una domanda e risposta personalizzata. Questa opzione ti consente di creare le tue domande a cui gli utenti devono rispondere. Fai attenzione a rendere queste domande di conoscenza generale e facili da scrivere.


Per impostazione predefinita, c'è solo una domanda, ma puoi aggiungerne altre. Il tuo modulo le scorrerà, visualizzandone una diversa ogni volta che la pagina viene caricata o aggiornata.
E questo è tutto ciò che c'è da fare per aggiungere un campo Captcha personalizzato al tuo modulo!
Per opzioni di personalizzazione complete, consulta la nostra documentazione su come installare e utilizzare il componente aggiuntivo Captcha personalizzato.
4. Salva e Pubblica il Tuo Modulo
In un breve periodo di tempo, hai installato WPForms e creato il tuo modulo di reimpostazione della password utente per aiutare a fermare le richieste non autorizzate di reimpostazione della password in WordPress.
Abbastanza facile, vero?
Tutto ciò che resta da fare ora è salvare e pubblicare il tuo modulo. Questa parte dovrebbe essere un gioco da ragazzi.
Per prima cosa, trova quel pulsante arancione Salva nell'angolo in alto a destra e fai clic su di esso. Non vuoi perdere il tuo lavoro!


Una volta salvato il tuo modulo, spostati verso sinistra e fai clic sul pulsante Incorpora.
Hai 2 opzioni per incorporare il tuo modulo sul tuo sito web. Puoi incorporarlo in una pagina esistente o crearne una nuova.
Se scegli una pagina esistente, un elenco delle pagine del tuo sito web apparirà in un menu a discesa per selezionare la pagina che desideri utilizzare.
Per il nostro esempio, incorporiamo questo modulo in una nuova pagina. Dopo aver selezionato quell'opzione, vedrai un prompt per dare un nome alla tua pagina. Una volta dato il nome alla nuova pagina, fai clic su Iniziamo! La tua nuova pagina si aprirà con il modulo incorporato e potrai apportare ulteriori aggiornamenti da lì.


Se non sei pronto per incorporare il tuo modulo subito, non preoccuparti. Ci sono altri modi per farlo in seguito, quando sarai pronto. Abbiamo maggiori informazioni su modi per incorporare i tuoi moduli sul tuo sito web, quindi dai un'occhiata quando sei pronto!
Modi aggiuntivi per bloccare le reimpostazioni della password di WordPress
Il modulo di reimpostazione della password che hai appena creato è la tua linea di difesa più forte, ma alcune abitudini a livello di WordPress rendono ancora più difficile per i bot causare problemi. Li considero la base su ogni sito su cui lavoro.
La prima cosa che attivo è l'autenticazione a due fattori, poiché blocca un accesso anche quando un bot è riuscito in qualche modo a ottenere una password chiedendo un secondo codice da un'app, un SMS o un'e-mail. La maggior parte dei buoni plugin di sicurezza la include, insieme ai prossimi due elementi qui.
Il livello successivo è limitare i tentativi di accesso, che limita quante prove ha un IP prima di un blocco temporaneo e interrompe gli script di forza bruta che spesso compaiono insieme allo spam di reimpostazione. Un plugin di sicurezza WordPress dedicato se ne occupa per te e registra i tentativi, in modo da poter vedere esattamente cosa sta colpendo il tuo sito.
Infine, usa password forti e uniche per ogni account amministratore e cambiale di tanto in tanto. Nessuna di queste cose sostituisce il modulo protetto dallo spam sopra, ma messe insieme, questi passaggi chiudono le lacune su cui contano gli attacchi automatizzati.
FAQ sulle reimpostazioni non autorizzate della password di WordPress
Le reimpostazioni non autorizzate della password di WordPress si presentano spesso una volta che i proprietari del sito iniziano a vedere quelle e-mail di reimpostazione. Ecco le risposte alle domande che sento più spesso riguardo allo spam di reimpostazione della password e al mantenimento sicuro del tuo accesso.
Una richiesta di reimpostazione della password di WordPress è un segno che il mio sito è stato violato?
Non di per sé. Una richiesta di reimpostazione significa solo che qualcuno, o più spesso un bot, ha inserito un'e-mail o un nome utente nella tua pagina di accesso e ha richiesto un link di reimpostazione.
Poiché quel link è monouso e scade, ricevere l'e-mail non significa che qualcuno abbia avuto accesso al tuo account. Se le richieste continuano ad arrivare, trattalo come un incentivo ad aggiungere il modulo anti-spam e i passaggi di sicurezza in questa guida piuttosto che un segno di una violazione.
Come posso sapere se qualcun altro sta cercando di reimpostare la mia password di WordPress?
Se qualcun altro sta cercando di reimpostare la tua password di WordPress, probabilmente riceverai email che ti informeranno che è stata effettuata una richiesta. Puoi anche controllare i log del tuo sito web per i tentativi di accesso. In tal caso, cambia la tua password.
Creando un modulo di reimpostazione della password con anti-spam abilitato su WPForms, aggiungi un ulteriore livello di sicurezza che aiuterà a eliminare i tentativi dei bot.
Posso disabilitare completamente la funzione di reimpostazione della password di WordPress?
Puoi farlo, anche se richiede un po' di codice personalizzato o un piccolo plugin che rimuove il link password dimenticata e blocca l'endpoint di reimpostazione. Questo funziona per un sito con un solo autore in cui nessun altro ha bisogno di recuperare un accesso.
Per la maggior parte dei siti, tuttavia, disabilitare completamente le reimpostazioni blocca anche gli utenti legittimi, quindi un modulo di reimpostazione protetto dallo spam è la via di mezzo più sicura. Mantiene la funzione funzionante per le persone reali filtrando i bot.
Quali ulteriori passaggi posso intraprendere per proteggere il mio sito da reimpostazioni non autorizzate della password di WordPress?
Crea sempre una password forte e univoca per il sito. Molti browser web o strumenti come 1Password ti aiuteranno persino a suggerire delle password. Cambia regolarmente anche la tua password.
È anche saggio attivare la 2FA (autenticazione a 2 fattori). Aggiunge un passaggio al tuo processo di accesso, ma crea un ulteriore livello di sicurezza di WordPress nel processo.
Ad esempio, potresti dover inserire la tua password e poi anche un codice di autenticazione che ricevi via e-mail, SMS o un'app di autenticazione.
Quali tipi di sicurezza dovrei considerare per il mio sito WordPress?
Oltre a quanto già suggerito, utilizza la crittografia SSL sul tuo sito per proteggere i dati. Puoi anche implementare limiti di frequenza, che aiuteranno a prevenire attacchi di forza bruta che provengono tipicamente dai bot.
Se altri utenti hanno account sul tuo sito, è anche una buona idea avere un qualche tipo di processo di verifica dell'utente.
Successivamente, prova a personalizzare le tue pagine protette da password
Ora hai i passaggi necessari per eliminare definitivamente i reset non autorizzati della password in WordPress. Ora leggi come personalizzare una pagina protetta da password in WordPress.
Ferma subito lo spam di reimpostazione della password
Pronto a creare il tuo modulo? Inizia oggi stesso con il plugin per la creazione di moduli WordPress più semplice. WPForms Pro include molti modelli gratuiti e offre una garanzia di rimborso di 14 giorni.
Se questo articolo ti è stato utile, seguici su Facebook e Twitter per altri tutorial e guide gratuite su WordPress.


