Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Puchar WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Jak wymusić silne hasła na użytkownikach w WordPress (2 sposoby)

Pozwalanie użytkownikom na posiadanie słabych haseł jest jak pozostawienie twoich drzwi szeroko otwartych. To zaproszenie dla złodziei i hakerów do włamania.

Użytkownicy często wybierają wszędzie to samo krótkie i niezabezpieczone hasło. Jeśli nie wymusisz silnych haseł na swojej witrynie WordPress, narażasz swoje treści i wrażliwe dane użytkowników na ryzyko.

Zamiast pozostawiać siłę hasła przypadkowi, ten artykuł pokazuje, jak zmusić twoich użytkowników do tworzenia silnych haseł na twojej witrynie internetowej WordPress, poprawiając twoje zabezpieczenia online.

How to force strong password on users in WordPress (2 ways)

Dlaczego warto wymuszać silne hasła na twoich użytkownikach WordPressa?

Silne hasła utrudniają hakerom korzystanie z ataków siłowych w celu uzyskania dostępu do twojej witryny. Jeśli poświęciłeś czas na optymalizację zabezpieczeń twojej witryny internetowej WordPress, to będziesz chciał również zabezpieczyć swoje strony logowania za pomocą silnego hasła.

Jeśli jednak posiadasz sklep internetowy, witrynę członkowską lub blog z wieloma autorami, istnieje ryzyko, że twoi klienci lub inni użytkownicy witryny sprawią, że twoja witryna internetowa będzie podatna na ataki hakerów, używając słabych haseł, które można łatwo odgadnąć za pomocą ataków siłowych.

Posiadanie użytkowników ze słabymi hasłami może stanowić zagrożenie dla zabezpieczeń, zwłaszcza tych z rolami użytkowników wysokiego poziomu, takimi jak administratorzy i redaktorzy.

WordPress ma wbudowane ustawienia, które pokazują użytkownikom, jak silne jest hasło podczas tworzenia konta, ale nie wymusza jego siły.

Na szczęście możesz użyć wtyczki WordPress, aby wymusić na użytkownikach utworzenie silnego hasła podczas tworzenia konta na twojej witrynie internetowej WordPress.

Mając to na uwadze, przyjrzyjmy się, jak wymusić silne hasło na twoich użytkownikach WordPressa. Skorzystaj z poniższych odnośników, aby przejść do wybranej metody:

Metoda 1. Wymuszanie silnych haseł z solidnym zabezpieczeniem

Najprostszym sposobem na wymuszenie silnych haseł jest użycie wtyczki zabezpieczającej WordPress. Polecamy Solid Security (dawniej iThemes Security), ponieważ pozwala ona wymusić silne hasła za pomocą kilku kliknięć.

Istnieje wersja premium, która oferuje wzmocnienie zabezpieczeń, sprawdzanie integralności plików, wykrywanie 404 i wiele więcej, ale w tym poradniku użyjemy wersji bezpłatnej, ponieważ ma ona funkcje ochrony hasłem. Aby uzyskać więcej informacji, zobacz naszą pełną recenzję Solid Security.

Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i włączanie wtyczki. Więcej szczegółów można znaleźć w naszym przewodniku na temat instalacji wtyczki WordPress.

Po włączaniu przejdź do Bezpieczeństwo ” Konfiguracja, aby wybrać twoje ustawienia zabezpieczeń. Dostępny jest kreator konfiguracji, który przeprowadzi cię przez proces konfiguracji wtyczki zabezpieczeń do twoich potrzeb.

Najpierw kliknij opcję rodzaju posiadanej witryny internetowej. Wybierzemy opcję „Blog”.

Choose type of website

Teraz zobaczysz przełącznik włączający „Security Check Pro”. Spowoduje to automatyczne skonfigurowanie twoich ustawień zabezpieczeń w celu przekierowania żądań HTTP na HTTPS i zabezpieczenia cię przed spoofingiem IP.

Należy przełączyć to ustawienie na pozycję „On”.

Enable Security Check Pro

Następnie należy wybrać, czy jest to witryna osobista, czy kliencka.

Na potrzeby tego poradnika wybieramy opcję „Self”.

Solid Security My Own Website Setting

Następnie dostępny jest przełącznik umożliwiający włączenie polityki silnych haseł dla twoich użytkowników.

Musisz kliknąć przełącznik, aby wymusić silne hasło dla twoich użytkowników i kliknąć „Dalej”.

Turn on enforce password policy

Teraz z powodzeniem zmusiłeś użytkowników do posiadania silnego hasła. Istnieje wiele innych ustawień, które możesz włączać, aby Twoje logowanie było jeszcze bardziej zabezpieczone.

Jeśli chcesz, możesz dodać listę adresów IP do białej listy, aby uniemożliwić im zablokowanie dostępu do twojej witryny internetowej. Należy podać adres IP każdego użytkownika. Możesz szybko dodać twój własny adres IP, klikając przycisk „Autoryzuj mój adres IP”.

Whitelisting User's IP Addresses in Solid Central

Ustawienie wykrywania IP należy pozostawić na „Skanowanie w poszukiwaniu zabezpieczeń (zalecane)”, a następnie kliknąć przycisk „Dalej”.

Jeśli chcesz włączyć uwierzytelnianie dwuskładnikowe, kliknij przełącznik do pozycji Włączone, a następnie kliknij przycisk „Dalej”.

Optional turn on two-factor authentication

Następnie zostaniesz zapytany, czy chcesz włączyć kilka dodatkowych zabezpieczeń dla różnych grup użytkowników. Możesz po prostu kliknąć „Domyślne grupy użytkowników”.

Spowoduje to przejście do ekranu, na którym można wymusić silne hasła i zmienić inne ustawienia według roli użytkownika.

Pierwszym ekranem będą twoje ustawienia zabezpieczeń dla użytkowników administratora.

Set administrator password requirements

Możesz włączyć silne hasła i odmówić użytkownikom rejestracji przy użyciu naruszonego hasła, które było wcześniej używane w innych witrynach.

Aby zmienić ustawienia zabezpieczeń dla innych użytkowników, wystarczy kliknąć inną rolę u góry ekranu. Po zakończeniu kliknij przycisk „Dalej” u góry lub u dołu ekranu.

Spowoduje to przejście przez resztę kreatora konfiguracji w celu włączenia dodatkowych ustawień zabezpieczeń dla twojej witryny internetowej.

Jeśli chcesz zmienić ustawienia hasła w przyszłości, przejdź do Zabezpieczenia ” Ustawienia, kliknij „Grupy użytkowników” i wybierz grupę, którą chcesz zmienić.

Change password settings in the future

Po zakończeniu upewnij się, że kliknąłeś przycisk „Zapisz” u dołu ekranu, aby zapisać twoje ustawienia.

Metoda 2: Wymuszanie silnych haseł za pomocą Menedżera zasad haseł

Innym sposobem na wymuszenie silnych haseł na twoim blogu WordPress jest użycie wtyczki Password Policy Manager. Umożliwia ona łatwe tworzenie silnych reguł haseł, których muszą przestrzegać twoi użytkownicy, ale nie ma innych funkcji zabezpieczeń, które chroniłyby twoją witrynę tak, jak robi to iThemes Security.

Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i włączanie wtyczki. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem dla początkujących, jak zainstalować wtyczkę WordPress.

Po włączaniu, w twoim panelu administratora WordPress pojawi się nowa opcja menu o nazwie „miniOrange Password Policy”. Musisz ją kliknąć, aby skonfigurować twoje zasady dotyczące haseł.

Następnie kliknij przełącznik „Ustawienia zasad haseł”, aby włączyć twoje ustawienia silnych haseł.

Turn on password policy settings

Następnie możesz ustawić swoje silne hasło. Po prostu zaznacz pola wyboru dla wymagań dotyczących hasła, które chcesz ustawić.

Następnie ustaw wymaganą długość hasła.

Create password policy settings

Następnie można wybrać, aby hasła wygasały po określonym czasie.

Jeśli chcesz to włączyć, kliknij przełącznik „Włącz czas wygaśnięcia”, a następnie wpisz czas wygaśnięcia w tygodniach.

Add password expiration time

Po zakończeniu kliknij przycisk „Zapisz ustawienia”.

Możesz również zresetować hasła wszystkich twoich użytkowników w dowolnym momencie. Wystarczy kliknąć przycisk „Resetuj hasło”, a wszyscy twoi użytkownicy zostaną poproszeni o utworzenie nowych, silnych haseł.

Reset all user passwords

Nasze najlepsze przewodniki dotyczące zabezpieczonych haseł WordPress

Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak wymusić silne hasła na użytkownikach w WordPress. Możesz również zapoznać się z innymi przewodnikami na temat zabezpieczonych haseł WordPress:

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Ujawnienie: Nasze treści są wspierane przez czytelników. Oznacza to, że jeśli klikniesz na niektóre z naszych linków, możemy otrzymać prowizję. Zobacz jak WPBeginner jest finansowany, dlaczego to ma znaczenie i jak możesz nas wspierać. Oto nasz proces redakcyjny.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Najlepszy zestaw narzędzi WordPress

Uzyskaj BEZPŁATNY dostęp do naszego zestawu narzędzi - zbiór produktów i zasobów związanych z WordPressem, które każdy profesjonalista powinien mieć!

Reader Interactions

17 komentarzyZostaw odpowiedź

  1. Syed Balkhi

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Mrteesurez

    Good job here.
    but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
    Also, thanks for that plugin Password Policy Manager, I love how it works.
    My websites are becoming more professional by implementing your guides. I appreciate.

    • WPBeginner Support

      The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.

      Administrator

  3. salvador aguilar

    This plugin is now closed on WP repo :)

    • WPBeginner Support

      Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative :)

      Administrator

  4. lionel

    this plugin hasn’t been updated in over a year.

  5. Bobby

    Is there any function in this plugin to change the password level? I was looking for this issue over a month.

  6. WPBeginner Staff

    This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.

  7. CST

    It does not sound like the, „Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.

  8. dwf

    Not to mention that the „Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…

  9. Chris

    Any ideas on how to implement this same approach but for all users; even 'subscribers’?

    • Editorial Staff

      Yes you would have to use slt_fsp_weak_roles filter. Haven’t tried the code below, but something like this should work:

      add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' );
      	function wpb_weak_roles( $roles ) {
      		$roles[] = '';
      		return $roles;
      	}
      

      Administrator

      • Chris Miller

        Thank you! I’m surprised WordPress hasn’t implemented a simple 'tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.

  10. Sara

    Great concept. Looking at the „support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.

    I want to stress, I love the idea. But I am not wowed by what I’m seeing of the „company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.

    • Editorial Staff

      Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.

      Administrator

    • Damien

      If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really „new” code, just ported code.

Zostaw odpowiedź

Dziękujemy za pozostawienie komentarza. Pamiętaj, że wszystkie komentarze są moderowane zgodnie z naszymi polityka komentarzy, a Twój adres e-mail NIE zostanie opublikowany. NIE używaj słów kluczowych w polu nazwy. Przeprowadźmy osobistą i konstruktywną rozmowę.