Wenn man Benutzern schwache Passwörter erlaubt, ist das so, als würde man seine Haustür weit offen lassen. Es ist eine Einladung für Diebe und Hacker, einzubrechen.
Benutzer wählen oft überall das gleiche kurze und unsichere Passwort. Wenn Sie auf Ihrer WordPress Website keine sicheren Passwörter erzwingen, gefährden Sie Ihre Inhalte und sensiblen Benutzerdaten.
Anstatt die Stärke der Passwörter dem Zufall zu überlassen, zeigt Ihnen dieser Artikel, wie Sie Ihre Benutzer dazu zwingen können, sichere Passwörter für Ihre WordPress-Website zu erstellen und so Ihre Online-Sicherheit zu verbessern.
Warum sollten Sie starke Passwörter für Ihre WordPress-Benutzer erzwingen?
Starke Passwörter erschweren es Hackern, mit Brute-Force-Angriffen auf Ihre Website zuzugreifen. Wenn Sie Zeit damit verbracht haben, die Sicherheit Ihrer WordPress-Website zu optimieren, dann sollten Sie auch Ihre Anmeldeseiten durch ein starkes Passwort schützen.
Wenn Sie jedoch einen Online-Shop, eine Mitglieder-Website oder einen Blog mit mehreren Autoren betreiben, besteht die Gefahr, dass Ihre Kunden oder andere Website-Benutzer Ihre Website für Hacker angreifbar machen, indem sie schwache Passwörter verwenden, die mit Brute-Force-Angriffen leicht zu erraten sind.
Benutzer mit schwachen Passwörtern können ein Sicherheitsrisiko darstellen, vor allem solche mit hochrangigen Benutzerrollen wie Administratoren und Redakteure.
WordPress verfügt über integrierte Einstellungen, die den Benutzern beim Anlegen eines Kontos anzeigen, wie stark das Passwort ist, aber es erzwingt nicht dessen Stärke.
Glücklicherweise können Sie ein WordPress-Plugin verwenden, um Ihre Benutzer zu zwingen, ein sicheres Passwort zu erstellen, wenn sie ein Konto auf Ihrer WordPress-Website erstellen.
Sehen wir uns also an, wie Sie Ihren WordPress-Benutzern ein sicheres Passwort aufzwingen können. Verwenden Sie einfach die unten stehenden Links, um zu der gewünschten Methode zu gelangen:
Methode 1. Erzwingen starker Passwörter mit solider Sicherheit
Die einfachste Möglichkeit, sichere Passwörter zu erzwingen, ist ein WordPress-Sicherheits-Plugin. Wir empfehlen Solid Security (ehemals iThemes Security), da Sie damit mit ein paar Klicks sichere Passwörter erzwingen können.
Es gibt eine Premium-Version, die Sicherheitshärtung, Dateiintegritätsprüfungen, 404-Erkennungen und mehr bietet, aber wir werden die kostenlose Version für dieses Lernprogramm verwenden, da sie Funktionen zum Kennwortschutz bietet. Weitere Einzelheiten finden Sie in unserer vollständigen Solid Security-Überprüfung.
Als Erstes müssen Sie das Plugin installieren und aktivieren. Weitere Einzelheiten finden Sie in unserer Anleitung zur Installation eines WordPress-Plugins.
Gehen Sie nach der Aktivierung zu Sicherheit “ Einrichtung, um Ihre Sicherheitseinstellungen zu wählen. Es gibt einen Einrichtungsassistenten, der Sie durch die Konfiguration des Sicherheits-Plugins für Ihre Bedürfnisse führt.
Klicken Sie zunächst auf die Option für die Art der Website, die Sie betreiben. Wir werden die Option „Blog“ auswählen.
Nun sehen Sie einen Schalter, mit dem Sie „Security Check Pro“ aktivieren können. Dadurch werden Ihre Sicherheitseinstellungen automatisch so konfiguriert, dass HTTP-Anfragen auf HTTPS umgeleitet werden und Sie vor IP-Spoofing geschützt sind.
Sie sollten diese Einstellung in die Position „Ein“ schalten.
Danach müssen Sie wählen, ob es sich um eine persönliche oder eine Kunden-Website handelt.
Für diesen Lehrgang wählen wir „Selbst“.
Als Nächstes gibt es einen Schalter, mit dem Sie eine Richtlinie für sichere Passwörter für Ihre Benutzer aktivieren können.
Klicken Sie auf das Kästchen, um ein sicheres Passwort für Ihre Benutzer zu erzwingen, und klicken Sie auf „Weiter“.
Jetzt haben Sie die Benutzer erfolgreich dazu gezwungen, ein sicheres Passwort zu verwenden. Es gibt eine Reihe weiterer Einstellungen, die Sie aktivieren können, um Ihre Anmeldung noch sicherer zu machen.
Wenn Sie möchten, können Sie eine Liste von IP-Adressen zu einer weißen Liste hinzufügen, um zu verhindern, dass sie von Ihrer Website ausgesperrt werden. Sie müssen die IP-Adresse eines jeden Nutzers auflisten. Sie können Ihre eigene IP-Adresse schnell hinzufügen, indem Sie auf die Schaltfläche „Meine IP-Adresse autorisieren“ klicken.
Belassen Sie die Einstellung für die IP-Erkennung auf „Sicherheitsüberprüfung (empfohlen)“ und klicken Sie auf die Schaltfläche „Weiter“.
Wenn Sie die Zwei-Faktor-Authentifizierung aktivieren möchten, klicken Sie auf den Schalter „Ein“ und dann auf die Schaltfläche „Weiter“.
Danach werden Sie gefragt, ob Sie einige weitere Sicherheitseinstellungen für verschiedene Benutzergruppen aktivieren möchten. Sie können einfach auf „Standardbenutzergruppen“ klicken.
Dadurch gelangen Sie zu einem Bildschirm, auf dem Sie sichere Kennwörter erzwingen und andere Einstellungen nach Benutzerrolle ändern können.
Der erste Bildschirm zeigt die Sicherheitseinstellungen für Admin-Benutzer an.
Sie können sichere Kennwörter aktivieren und Benutzern die Registrierung mit einem kompromittierten Kennwort verweigern, das bereits auf anderen Websites verwendet wurde.
Um die Sicherheitseinstellungen für andere Benutzer zu ändern, klicken Sie einfach oben auf dem Bildschirm auf eine andere Rolle. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche „Weiter“ am oberen oder unteren Rand des Bildschirms.
Dies wird Sie durch den Rest des Einrichtungsassistenten führen, um zusätzliche Sicherheitseinstellungen für Ihre Website zu aktivieren.
Wenn Sie Ihre Kennworteinstellungen in Zukunft ändern möchten, gehen Sie zu Sicherheit “ Einstellungen, klicken Sie auf „Benutzergruppen“ und wählen Sie die Gruppe aus, die Sie ändern möchten.
Klicken Sie anschließend auf die Schaltfläche „Speichern“ am unteren Rand des Bildschirms, um Ihre Einstellungen zu speichern.
Methode 2: Erzwingen starker Passwörter mit dem Password Policy Manager
Eine weitere Möglichkeit, sichere Passwörter für Ihren WordPress-Blog zu erzwingen, ist die Verwendung des Password Policy Manager Plugins. Mit diesem Plugin können Sie ganz einfach Regeln für sichere Passwörter erstellen, die Ihre Benutzer befolgen müssen, aber es bietet keine anderen Sicherheitsfunktionen zum Schutz Ihrer Website wie iThemes Security.
Als Erstes müssen Sie das Plugin installieren und aktivieren. Weitere Einzelheiten finden Sie in unserem Leitfaden für Einsteiger zur Installation eines WordPress-Plugins.
Nach der Aktivierung haben Sie eine neue Menüoption namens „miniOrange Password Policy“ in Ihrem WordPress-Administrationsbereich. Sie müssen darauf klicken, um Ihre Passwortregeln einzurichten.
Klicken Sie dann auf den Schalter „Kennwortrichtlinien-Einstellungen“, um Ihre Einstellungen für sichere Kennwörter zu aktivieren.
Danach können Sie Ihre Einstellungen für sichere Passwörter festlegen. Aktivieren Sie einfach die Kästchen für die gewünschten Passwortanforderungen.
Legen Sie dann die erforderliche Passwortlänge fest.
Danach können Sie festlegen, dass Kennwörter nach einer bestimmten Zeitspanne ablaufen.
Wenn Sie diese Funktion aktivieren möchten, klicken Sie auf den Schalter „Verfallszeit aktivieren“ und geben Sie die Verfallszeit in Wochen ein.
Sobald Sie fertig sind, klicken Sie auf die Schaltfläche „Einstellungen speichern“.
Sie können auch alle Passwörter Ihrer Benutzer jederzeit zurücksetzen. Klicken Sie einfach auf die Schaltfläche „Passwort zurücksetzen“, und alle Ihre Benutzer werden aufgefordert, neue sichere Passwörter zu erstellen.
Unsere besten Anleitungen zum Schutz von WordPress-Passwörtern
Wir hoffen, dass dieser Artikel Ihnen geholfen hat zu lernen, wie man Benutzern in WordPress starke Passwörter aufzwingt. Vielleicht interessieren Sie sich auch für einige andere Anleitungen zum Schutz von WordPress-Passwörtern:
- Wie Sie Ihr Passwort in WordPress ändern (Anleitung für Anfänger)
- Einfache und sichere Verwaltung von Passwörtern (Anleitung für Anfänger)
- Wie und warum Sie Login-Versuche in WordPress begrenzen sollten
- Wie man einen einfachen Benutzer-Passwort-Generator in WordPress hinzufügt
- Verstecken/Anzeigen von Passwörtern auf dem WordPress-Anmeldebildschirm zulassen
- Passwörter für alle Benutzer in WordPress zurücksetzen
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Admin
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, „Force Strong Passwords“ plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the „Force Strong Passwords“ plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even ’subscribers‘?
Editorial Staff
Yes you would have to use
slt_fsp_weak_rolesfilter. Haven’t tried the code below, but something like this should work:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple ‚tick box‘ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the „support“ page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the „company“ or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Admin
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really „new“ code, just ported code.