Zwiększenie bezpieczeństwa twojej witryny WordPress jest zawsze mądrym posunięciem.
Jednym ze skutecznych sposobów jest wymaganie od użytkowników regularnej zmiany haseł. Ten prosty krok może znacznie utrudnić hakerom włamanie się do systemu.
Regularne zmiany haseł zabezpieczają twoje dane i informacje o użytkownikach. Dodają one również dodatkową warstwę zabezpieczeń do twojej witryny. Wygasając hasła po określonym czasie, pomagasz wszystkim zachować bezpieczeństwo.
W tym przewodniku przeprowadzimy Cię przez proces wymuszania na użytkownikach zmiany haseł w WordPressie.
Kiedy i dlaczego zmuszać użytkowników WordPressa do zmiany haseł?
80% naruszeń danych bierze udział w słabych lub skradzionych hasłach. Na szczęście regularne zmiany haseł uniemożliwiają hakerom podejmowanie takich prób.
Hakerzy będą próbowali regularnie uzyskiwać dostęp do twojego konta przez pewien okres czasu. W takim przypadku zapobiegniesz atakom typu brute-force przeprowadzanym przez osoby o złych zamiarach.
Większość nowych użytkowników ma skłonność do używania słabych haseł lub tego samego hasła, co ich inne konta, ponieważ są one łatwe do zapamiętania. Jeśli haker dostanie się na twoją witrynę WordPress, może to zagrozić bezpieczeństwu wszystkich innych użytkowników.
Ale wymuszanie zmiany hasła nie powinno dotyczyć tylko użytkowników administracyjnych. Powinno również dotyczyć użytkowników członkostwa i powracających klientów. Na przykład, gdy klienci rejestrują się w twoim sklepie WooCommerce lub witrynie członkowskiej, otrzymują hasło za pośrednictwem poczty e-mail. Wymuszanie regularnych zmian haseł może pomóc zmniejszyć ryzyko prób phishingu dokonywanych za pośrednictwem poczty e-mail.
Ponadto, jeśli prowadzisz witrynę WordPress z wieloma użytkownikami, powinieneś poprosić użytkowników o aktualizację haseł po określonym czasie.
Z drugiej strony, jeśli niedawno powiadomiłeś o podejrzanym włączaniu twojej witryny WordPress, powinieneś natychmiast wygasić wszystkie istniejące hasła użytkowników i poprosić wszystkich o zaktualizowanie swoich haseł.
Porada eksperta: Martwisz się, że twoja witryna została zhakowana? Pozwól naszym ekspertom ds. zabezpieczeń WordPress poprawić twoją witrynę internetową i przywrócić ją na właściwe tory. Wyczyścimy szkodliwy kod, pliki i złośliwe oprogramowanie, aby twoje poufne informacje pozostały zabezpieczone. Podejmij działania już teraz i zabezpiecz swoją witrynę dzięki naszym dedykowanym usługom naprawy zhakowanych witryn!
Mając to na uwadze, zobaczmy, jak można wygasić hasła i zmusić użytkowników do zmiany haseł w WordPress.
Zmuszanie użytkowników do zmiany haseł w WordPress
Najlepszym sposobem na zmuszenie użytkowników do zmiany haseł w WordPressie jest użycie wtyczki Password Policy Manager. Umożliwia ona łatwe tworzenie i egzekwowanie silnych i bezpiecznych zasad dotyczących haseł.
Aby rozpocząć, należy zainstalować i włączyć wtyczkę Password Policy Manager. Aby uzyskać więcej informacji, zapoznaj się z naszym poradnikiem na temat instalacji wtyczki WordPress.
Następnie należy przejść do strony Menedżer zasad haseł ” Menedżer zasad has eł. Następnie, w karcie Ustawienia zasad ” Dla wszystkich użytkowników, zobaczysz różne ustawienia zasad haseł, które możesz ustawić.
Najpierw upewnijmy się, że włączony jest duży przycisk z napisem „Włącz wszystkie ustawienia”. Poniżej możesz zaznaczyć wszystkie zasady polityki haseł, które chcesz wymusić za każdym razem, gdy nowy użytkownik musi utworzyć nowe hasło.
Dostępne opcje obejmują:
- Musi zawierać małe i wielkie litery
- Musi zawierać cyfry numeryczne
- Musi zawierać znaki specjalne
- Długość hasła od 8 do 25
Zalecamy pozostawienie tych pól zaznaczonych, ponieważ są to najlepsze praktyki dotyczące posiadania silnego hasła. Możesz również przeczytać nasz przewodnik na temat dodawania prostego generatora haseł użytkowników w WordPress.
Poniżej należy zaznaczyć pole „Wymuś reset hasła przy pierwszym logowaniu”. Pomaga to uniemożliwić nowym użytkownikom korzystanie z tego samego hasła, co ich inne konta online i zapewnia, że od razu ustawią silne hasło.
Następnie należy włączyć opcję „Włącz wygasanie hasła”, aby ustawić określony czas wygaśnięcia, który zmusi wszystkich użytkowników witryny do zmiany hasła. Obok możesz ustawić liczbę tygodni, po których chcesz wymusić zmianę.
Po zakończeniu możesz nacisnąć przycisk „Zapisz ustawienia”.
Pod ustawieniami zapisywania zobaczysz opcję resetowania twojego hasła jednym kliknięciem. Jeśli ty lub twoi użytkownicy nie resetowaliście hasła od jakiegoś czasu, warto kliknąć przycisk „Resetuj hasło”.
Spowoduje to automatyczne zakończenie wszystkich sesji logowania się użytkowników i zmusi ich do zresetowania haseł.
Następnie wszyscy użytkownicy otrzymają e-mail z odnośnikiem umożliwiającym zresetowanie hasła.
Wszystko, co muszą zrobić, to kliknąć odnośnik w e-mailu.
Spowoduje to otwarcie ekranu logowania WordPress, na którym wpisz swoje obecne, aktualne i nowe hasło.
Zalecamy skorzystanie z bezpiecznego generatora haseł zamiast próbować utworzyć hasło, które można zapamiętać. Następnie możesz użyć menedżera haseł, takiego jak 1Password, aby je przechowywać.
W tym miejscu możesz kliknąć „Zmień hasło”.
Spowoduje to powrót do strony logowania WordPress, gdzie możesz wpisz swoje nowe dane uwierzytelniające.
Możesz przejść do strony Password Policy Manager ” Reports , aby śledzić wszystkie próby logowania podejmowane przez użytkowników. Zalecamy okresowe sprawdzanie, czy na Twojej witrynie WordPress nie pojawiły się podejrzane próby. Jeśli tak, możesz łatwo wykonać reset jednym kliknięciem, o którym właśnie wspomnieliśmy.
Aby zobaczyć dane, należy włączyć kartę „Enable Report Entry”.
I to wszystko! Teraz z powodzeniem skonfigurowałeś swoją witrynę WordPress tak, aby wymuszała na wszystkich użytkownikach zmianę haseł po upływie daty ważności.
Wskazówki dotyczące rozwiązywania problemów
Czasami sprawy nie idą tak gładko, jak planowano. Oto kilka wskazówek dotyczących rozwiązywania problemów, które pomogą ci poradzić sobie z wszelkimi problemami, które mogą się pojawić.
Co jeśli moi użytkownicy nigdy nie otrzymają e-maili?
Jeśli twoi użytkownicy nie otrzymują powiadomień e-mail o zresetowaniu hasła, może to oznaczać, że dzieje się wiele rzeczy. Zapoznaj się z naszym przewodnikiem na temat tego, jak poprawić WordPress, który nie wysyła e-maili.
Co zrobić, jeśli nie mogę dostać się do obszaru administracyjnego WordPress w celu zresetowania hasła?
Jeśli w jakiś sposób nie możesz dostać się do obszaru administracyjnego WordPress, zapoznaj się z naszym przewodnikiem na temat tego, co zrobić, gdy jesteś zablokowany w obszarze administracyjnym WordPress.
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak zmusić użytkowników do zmiany haseł w WordPress. Możesz również zapoznać się z naszym przewodnikiem po zabezpieczeniach WordPressa, który pomoże poprawić bezpieczeństwo twojej witryny internetowej lub z naszą listą najczęstszych błędów WordPressa i sposobów ich poprawki.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Marko
Article need update.
WPBeginner Support
Thank you for letting us know, we will look into updating the article when we are able
Administrator
Shallum Vohr
How to force user to update password on first login only?
Millie Aveyard
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrator
Remi
Very nice idea! It’s a great to give more security to the administration!
Daniel
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The 'admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the „Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet
This is a very good post ……