Hacer que su sitio WordPress sea más seguro es siempre una decisión inteligente.
Una forma eficaz de hacerlo es exigir a los usuarios que cambien sus contraseñas con regularidad. Este sencillo paso puede dificultar mucho la intrusión de los piratas informáticos.
Los cambios regulares de contraseña protegen sus datos y la información de sus usuarios. Además, añaden una capa adicional de seguridad a su sitio. Al caducar las contraseñas después de un periodo determinado, ayuda a mantener a todo el mundo más seguro.
En esta guía, le explicaremos cómo forzar a los usuarios a cambiar sus contraseñas en WordPress.
¿Cuándo y por qué obligar a los usuarios de WordPress a cambiar sus contraseñas?
El80% de las filtraciones de datos tienen que ver con contraseñas débiles o robadas. Por suerte, los cambios periódicos de contraseña desbaratan los intentos de los hackers.
Los hackers intentarán acceder repetidamente a tu cuenta de forma regular durante un periodo de tiempo. En este caso, evitarás los ataques de fuerza bruta realizados por personas malintencionadas.
La mayoría de los nuevos usuarios son propensos a utilizar contraseñas débiles o la misma contraseña que sus otras cuentas, ya que son fáciles de recordar. Si un hacker entra en tu sitio WordPress, puede comprometer la seguridad de todos los demás usuarios.
Pero forzar el cambio de contraseña no sólo debería aplicarse a los usuarios administradores / administración. También debería aplicarse a los usuarios de membresía y a los clientes que regresan. Por ejemplo, cuando los clientes se registran en tu tienda WooCommerce o sitio de membresía, reciben la contraseña por correo electrónico. Forzar cambios regulares de contraseña puede ayudar a reducir el riesgo de intentos de suplantación de identidad a través del correo electrónico.
Además, si tiene un sitio WordPress multiusuario, debería pedir a los usuarios que actualicen sus contraseñas después de un periodo de tiempo determinado.
Por otro lado, si recientemente ha detectado actividad sospechosa en su sitio de WordPress, debería caducar inmediatamente todas las contraseñas de usuario existentes y pedir a todo el mundo que actualice sus contraseñas.
Consejo de experto: ¿Le preocupa que su sitio haya sido pirateado? Deja que nuestros expertos en seguridad de WordPress corrijan tu sitio web y lo vuelvan a poner en marcha. Limpiaremos cualquier código dañino, archivos y malware para que tu información confidencial permanezca segura. Actúe ahora y proteja su sitio con nuestros servicios de reparación de sitios hackeados.
Con esto en mente, veamos cómo puedes caducar contraseñas y forzar a los usuarios a cambiarlas en WordPress.
Forzar a los usuarios a cambiar sus contraseñas en WordPress
La mejor forma de obligar a los usuarios a cambiar sus contraseñas en WordPress es utilizar el plugin Password Policy Manager. Te permite crear y aplicar fácilmente políticas de contraseñas seguras.
Para empezar, tendrás que instalar y activar el plugin Password Policy Manager. Para más detalles, consulta nuestro tutorial sobre cómo instalar un plugin de WordPress.
Desde aquí, deberá dirigirse a la página Administrador de políticas de contraseñas ” Administrador de políticas de contraseñas. Luego, en la pestaña Configuración de políticas ” Para todos los usuarios, verá varias configuraciones de políticas de contraseñas que puede establecer.
Primero, asegúrate de activar el gran botón conmutador que dice ‘Activar todos los ajustes’. Debajo de él, puede marcar / comprobar todas las reglas de política de contraseñas que desea aplicar cada vez que un nuevo usuario necesita crear una nueva contraseña.
Las opciones incluyen:
- Debe contener minúsculas y mayúsculas
- Debe contener dígitos numéricos
- Debe contener caracteres especiales
- Longitud de la contraseña entre 8 y 25
Recomendamos mantener estas casillas marcadas ya que son las mejores prácticas para tener una contraseña segura. También puedes leer nuestra guía sobre cómo añadir un generador de contraseñas de usuario sencillo en WordPress.
Debajo, tendrás que marcar la casilla “Forzar restablecimiento de contraseña en el primer inicio de sesión”. Esto ayuda a evitar que los nuevos usuarios utilicen la misma contraseña que sus otras cuentas en línea y garantiza que establezcan una contraseña segura desde el principio.
A continuación, tendrás que activar la opción “Activar caducidad de contraseña” para establecer una caducidad específica que obligue a todos los usuarios del sitio a cambiar su contraseña. A continuación, puedes establecer el número de semanas que quieres forzar el cambio.
Una vez hecho esto, puedes pulsar el botón “Guardar ajustes”.
Debajo de guardar ajustes, verás una opción para restablecer la contraseña con un solo clic. Si tú o tus usuarios no habéis restablecido la contraseña desde hace tiempo, es una buena idea hacer clic en el botón “Restablecer contraseña”.
Esto terminará automáticamente todas las sesiones de los usuarios conectados y les obligará a restablecer sus contraseñas.
A continuación, todos los usuarios recibirán un correo electrónico con un enlace para restablecer sus contraseñas.
Sólo tienen que hacer clic en el enlace del correo electrónico.
Esto abrirá la pantalla de acceso / acceso de WordPress, donde introducirá su contraseña actual y la nueva.
Te recomendamos que utilices un generador de contraseñas seguras en lugar de intentar crear una que puedas memorizar. A continuación, puedes utilizar un gestor de contraseñas como 1Password para almacenarla.
Desde aquí, puedes hacer clic en “Cambiar contraseña”.
Volverá a la página de acceso a WordPress, donde podrá introducir sus nuevas credenciales.
Puede ir a la página “Informes” del Gestor de Política de Contraseñas para realizar un seguimiento de todos los intentos de acceso realizados por los usuarios. Le recomendamos que lo marque / compruebe periódicamente si se ha producido algún intento sospechoso en su sitio WordPress. Si es así, puede realizar fácilmente el restablecimiento con un solo clic que acabamos de mencionar.
Para ver los datos, tendrás que activar la pestaña “Activar entrada de informes”.
Y ¡listo! Ahora ha configurado correctamente su sitio WordPress para que obligue a todos los usuarios a cambiar las contraseñas después de la fecha de caducidad.
Consejos para solucionar problemas
A veces, las cosas no salen tan bien como estaba previsto. Aquí tienes algunos consejos para diagnosticar los problemas que puedan surgir.
¿Qué pasa si mis usuarios nunca reciben sus correos electrónicos?
Si sus usuarios no reciben notificaciones por correo electrónico para restablecer sus contraseñas, pueden estar ocurriendo varias cosas. Echa un vistazo a nuestra guía sobre cómo solucionar el problema de que WordPress no envíe correos electrónicos.
¿Qué pasa si no puedo entrar en el área de administración de WordPress para restablecer mi contraseña?
Si de alguna manera no puede entrar en el área de administración de WordPress, eche un vistazo a nuestra guía sobre qué hacer cuando está bloqueado en el área de administración de WordPress.
Esperamos que este artículo te haya ayudado a aprender cómo forzar a los usuarios a cambiar sus contraseñas en WordPress. También puedes consultar nuestra guía definitiva sobre seguridad en WordPress para mejorar la seguridad de tu sitio web o nuestra lista de los errores más comunes de WordPress y cómo corregirlos.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Marko
Article need update.
WPBeginner Support
Thank you for letting us know, we will look into updating the article when we are able
Administrador
Shallum Vohr
How to force user to update password on first login only?
Millie Aveyard
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrador
Remi
Very nice idea! It’s a great to give more security to the administration!
Daniel
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the “Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet
This is a very good post ……