Pozwalanie użytkownikom na posiadanie słabych haseł jest jak pozostawienie twoich drzwi szeroko otwartych. To zaproszenie dla złodziei i hakerów do włamania.
Użytkownicy często wybierają wszędzie to samo krótkie i niezabezpieczone hasło. Jeśli nie wymusisz silnych haseł na swojej witrynie WordPress, narażasz swoje treści i wrażliwe dane użytkowników na ryzyko.
Zamiast pozostawiać siłę hasła przypadkowi, ten artykuł pokazuje, jak zmusić twoich użytkowników do tworzenia silnych haseł na twojej witrynie internetowej WordPress, poprawiając twoje zabezpieczenia online.
Dlaczego warto wymuszać silne hasła na twoich użytkownikach WordPressa?
Silne hasła utrudniają hakerom korzystanie z ataków siłowych w celu uzyskania dostępu do twojej witryny. Jeśli poświęciłeś czas na optymalizację zabezpieczeń twojej witryny internetowej WordPress, to będziesz chciał również zabezpieczyć swoje strony logowania za pomocą silnego hasła.
Jeśli jednak posiadasz sklep internetowy, witrynę członkowską lub blog z wieloma autorami, istnieje ryzyko, że twoi klienci lub inni użytkownicy witryny sprawią, że twoja witryna internetowa będzie podatna na ataki hakerów, używając słabych haseł, które można łatwo odgadnąć za pomocą ataków siłowych.
Posiadanie użytkowników ze słabymi hasłami może stanowić zagrożenie dla zabezpieczeń, zwłaszcza tych z rolami użytkowników wysokiego poziomu, takimi jak administratorzy i redaktorzy.
WordPress ma wbudowane ustawienia, które pokazują użytkownikom, jak silne jest hasło podczas tworzenia konta, ale nie wymusza jego siły.
Na szczęście możesz użyć wtyczki WordPress, aby wymusić na użytkownikach utworzenie silnego hasła podczas tworzenia konta na twojej witrynie internetowej WordPress.
Mając to na uwadze, przyjrzyjmy się, jak wymusić silne hasło na twoich użytkownikach WordPressa. Skorzystaj z poniższych odnośników, aby przejść do wybranej metody:
Metoda 1. Wymuszanie silnych haseł z solidnym zabezpieczeniem
Najprostszym sposobem na wymuszenie silnych haseł jest użycie wtyczki zabezpieczającej WordPress. Polecamy Solid Security (dawniej iThemes Security), ponieważ pozwala ona wymusić silne hasła za pomocą kilku kliknięć.
Istnieje wersja premium, która oferuje wzmocnienie zabezpieczeń, sprawdzanie integralności plików, wykrywanie 404 i wiele więcej, ale w tym poradniku użyjemy wersji bezpłatnej, ponieważ ma ona funkcje ochrony hasłem. Aby uzyskać więcej informacji, zobacz naszą pełną recenzję Solid Security.
Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i włączanie wtyczki. Więcej szczegółów można znaleźć w naszym przewodniku na temat instalacji wtyczki WordPress.
Po włączaniu przejdź do Bezpieczeństwo ” Konfiguracja, aby wybrać twoje ustawienia zabezpieczeń. Dostępny jest kreator konfiguracji, który przeprowadzi cię przez proces konfiguracji wtyczki zabezpieczeń do twoich potrzeb.
Najpierw kliknij opcję rodzaju posiadanej witryny internetowej. Wybierzemy opcję „Blog”.
Teraz zobaczysz przełącznik włączający „Security Check Pro”. Spowoduje to automatyczne skonfigurowanie twoich ustawień zabezpieczeń w celu przekierowania żądań HTTP na HTTPS i zabezpieczenia cię przed spoofingiem IP.
Należy przełączyć to ustawienie na pozycję „On”.
Następnie należy wybrać, czy jest to witryna osobista, czy kliencka.
Na potrzeby tego poradnika wybieramy opcję „Self”.
Następnie dostępny jest przełącznik umożliwiający włączenie polityki silnych haseł dla twoich użytkowników.
Musisz kliknąć przełącznik, aby wymusić silne hasło dla twoich użytkowników i kliknąć „Dalej”.
Teraz z powodzeniem zmusiłeś użytkowników do posiadania silnego hasła. Istnieje wiele innych ustawień, które możesz włączać, aby Twoje logowanie było jeszcze bardziej zabezpieczone.
Jeśli chcesz, możesz dodać listę adresów IP do białej listy, aby uniemożliwić im zablokowanie dostępu do twojej witryny internetowej. Należy podać adres IP każdego użytkownika. Możesz szybko dodać twój własny adres IP, klikając przycisk „Autoryzuj mój adres IP”.
Ustawienie wykrywania IP należy pozostawić na „Skanowanie w poszukiwaniu zabezpieczeń (zalecane)”, a następnie kliknąć przycisk „Dalej”.
Jeśli chcesz włączyć uwierzytelnianie dwuskładnikowe, kliknij przełącznik do pozycji Włączone, a następnie kliknij przycisk „Dalej”.
Następnie zostaniesz zapytany, czy chcesz włączyć kilka dodatkowych zabezpieczeń dla różnych grup użytkowników. Możesz po prostu kliknąć „Domyślne grupy użytkowników”.
Spowoduje to przejście do ekranu, na którym można wymusić silne hasła i zmienić inne ustawienia według roli użytkownika.
Pierwszym ekranem będą twoje ustawienia zabezpieczeń dla użytkowników administratora.
Możesz włączyć silne hasła i odmówić użytkownikom rejestracji przy użyciu naruszonego hasła, które było wcześniej używane w innych witrynach.
Aby zmienić ustawienia zabezpieczeń dla innych użytkowników, wystarczy kliknąć inną rolę u góry ekranu. Po zakończeniu kliknij przycisk „Dalej” u góry lub u dołu ekranu.
Spowoduje to przejście przez resztę kreatora konfiguracji w celu włączenia dodatkowych ustawień zabezpieczeń dla twojej witryny internetowej.
Jeśli chcesz zmienić ustawienia hasła w przyszłości, przejdź do Zabezpieczenia ” Ustawienia, kliknij „Grupy użytkowników” i wybierz grupę, którą chcesz zmienić.
Po zakończeniu upewnij się, że kliknąłeś przycisk „Zapisz” u dołu ekranu, aby zapisać twoje ustawienia.
Metoda 2: Wymuszanie silnych haseł za pomocą Menedżera zasad haseł
Innym sposobem na wymuszenie silnych haseł na twoim blogu WordPress jest użycie wtyczki Password Policy Manager. Umożliwia ona łatwe tworzenie silnych reguł haseł, których muszą przestrzegać twoi użytkownicy, ale nie ma innych funkcji zabezpieczeń, które chroniłyby twoją witrynę tak, jak robi to iThemes Security.
Pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i włączanie wtyczki. Aby uzyskać więcej informacji, zapoznaj się z naszym przewodnikiem dla początkujących, jak zainstalować wtyczkę WordPress.
Po włączaniu, w twoim panelu administratora WordPress pojawi się nowa opcja menu o nazwie „miniOrange Password Policy”. Musisz ją kliknąć, aby skonfigurować twoje zasady dotyczące haseł.
Następnie kliknij przełącznik „Ustawienia zasad haseł”, aby włączyć twoje ustawienia silnych haseł.
Następnie możesz ustawić swoje silne hasło. Po prostu zaznacz pola wyboru dla wymagań dotyczących hasła, które chcesz ustawić.
Następnie ustaw wymaganą długość hasła.
Następnie można wybrać, aby hasła wygasały po określonym czasie.
Jeśli chcesz to włączyć, kliknij przełącznik „Włącz czas wygaśnięcia”, a następnie wpisz czas wygaśnięcia w tygodniach.
Po zakończeniu kliknij przycisk „Zapisz ustawienia”.
Możesz również zresetować hasła wszystkich twoich użytkowników w dowolnym momencie. Wystarczy kliknąć przycisk „Resetuj hasło”, a wszyscy twoi użytkownicy zostaną poproszeni o utworzenie nowych, silnych haseł.
Nasze najlepsze przewodniki dotyczące zabezpieczonych haseł WordPress
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak wymusić silne hasła na użytkownikach w WordPress. Możesz również zapoznać się z innymi przewodnikami na temat zabezpieczonych haseł WordPress:
- Jak zmienić twoje hasło w WordPress (przewodnik dla początkujących)
- Jak łatwo i bezpiecznie zarządzać hasłami (przewodnik dla początkujących)
- Jak i dlaczego należy ograniczyć próby logowania w WordPress?
- Jak dodać prosty generator haseł użytkownika w WordPress?
- Jak zezwolić użytkownikom na ukrywanie/pokazywanie haseł na ekranie logowania do WordPressa?
- Jak zresetować hasła wszystkich użytkowników w WordPress?
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administrator
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrator
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrator
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, „Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the „Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even 'subscribers’?
Editorial Staff
Yes you would have to use
slt_fsp_weak_roles
filter. Haven’t tried the code below, but something like this should work:1-click Use in WordPress
Administrator
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple 'tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the „support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the „company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administrator
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really „new” code, just ported code.