Czy chcesz zmusić użytkowników do zmiany haseł w WordPress?
Popraw zabezpieczenia swojej witryny internetowej WordPress, wymuszając regularne zmiany haseł. Ten prosty krok znacznie utrudni hakerom włamanie się na twoją witrynę, zabezpieczając dane twoje i twoich użytkowników.
W tym artykule pokażemy, jak zmusić użytkowników do zmiany haseł w WordPressie poprzez wygaśnięcie ich haseł po określonym czasie.
Kiedy i dlaczego zmuszać użytkowników WordPressa do zmiany haseł?
80% naruszeń danych bierze udział w słabych lub skradzionych hasłach. Regularne zmiany utrudniają próby hakerów.
Hakerzy będą próbowali regularnie uzyskiwać dostęp do twojego konta przez pewien okres czasu. W takim przypadku zapobiegniesz atakom typu brute-force przeprowadzanym przez osoby o złych zamiarach.
Większość nowych użytkowników ma skłonność do używania słabych haseł lub tego samego hasła, co ich inne konta, ponieważ są one łatwe do zapamiętania. Jeśli haker dostanie się na twoją witrynę WordPress, może to zagrozić bezpieczeństwu wszystkich innych użytkowników.
Ale wymuszenie zmiany hasła nie jest możliwe dla użytkowników administracyjnych. Powinieneś także wymusić zmiany na użytkownikach członkostwa i powracających klientach. Na przykład, gdy klienci rejestrują się w twoim sklepie WooCommerce lub witrynie członkowskiej, otrzymują hasło e-mailem. W związku z tym wymuszanie regularnych zmian haseł pomoże złagodzić próby phishingu dokonywane za pośrednictwem poczty e-mail.
Ponadto, jeśli prowadzisz witrynę WordPress z wieloma użytkownikami, powinieneś poprosić użytkowników o aktualizację haseł po określonym czasie.
Z drugiej strony, jeśli niedawno powiadomiłeś o podejrzanym włączaniu twojej witryny WordPress, powinieneś natychmiast wygasić wszystkie istniejące hasła użytkowników i poprosić wszystkich o zaktualizowanie swoich haseł.
Powiedziawszy to, zobaczmy, jak można wygasić hasła i zmusić użytkowników do zmiany haseł w WordPress.
Zmuszanie użytkowników do zmiany haseł w WordPress
Najlepszym sposobem na zmuszenie użytkowników do zmiany haseł w WordPressie jest użycie wtyczki Password Policy Manager. Umożliwia ona łatwe tworzenie i egzekwowanie silnych i bezpiecznych zasad dotyczących haseł.
Aby rozpocząć, należy zainstalować i włączyć wtyczkę Password Policy Manager. Aby uzyskać więcej informacji, zapoznaj się z naszym poradnikiem na temat instalacji wtyczki WordPress.
Następnie należy przejść do strony Menedżer zasad haseł ” Menedżer zasad has eł. Następnie, w karcie Ustawienia zasad ” Dla wszystkich użytkowników, zobaczysz różne ustawienia zasad haseł, które możesz ustawić.
Najpierw upewnij się, że włączyłeś duży przycisk „Włącz wszystkie ustawienia”. Poniżej możesz zaznaczyć wszystkie zasady polityki haseł, które chcesz wymusić za każdym razem, gdy nowy użytkownik musi utworzyć nowe hasło.
Dostępne opcje obejmują:
- Musi zawierać małe i wielkie litery
- Musi zawierać cyfry numeryczne
- Musi zawierać znaki specjalne
- Długość hasła od 8 do 25
Zalecamy pozostawienie tych pól zaznaczonych, ponieważ są to najlepsze praktyki dotyczące posiadania silnego hasła. Możesz również przeczytać nasz przewodnik na temat dodawania prostego generatora haseł użytkowników w WordPress.
Poniżej należy zaznaczyć pole „Wymuś reset hasła przy pierwszym logowaniu”. Pomaga to uniemożliwić nowym użytkownikom korzystanie z tego samego hasła, co ich inne konta online i zapewnia, że od razu ustawią silne hasło.
Następnie należy włączyć opcję „Włącz wygasanie hasła”, aby ustawić określony czas wygaśnięcia, który zmusi wszystkich użytkowników witryny do zmiany hasła. Obok możesz ustawić liczbę tygodni, po których chcesz wymusić zmianę.
Następnie możesz również nacisnąć przycisk „Zapisz ustawienia”.
Pod ustawieniami zapisywania zobaczysz opcję resetowania twojego hasła jednym kliknięciem. Jeśli ty lub twoi użytkownicy nie resetowaliście hasła od jakiegoś czasu, warto nacisnąć przycisk „Resetuj hasło”.
Powoduje to automatyczne zakończenie wszystkich sesji logowania się użytkowników i zmusza ich do zresetowania haseł.
Wszyscy użytkownicy otrzymają e-mail z odnośnikiem umożliwiającym zresetowanie hasła.
Wystarczy kliknąć odnośnik w e-mailu.
Zostaniesz przeniesiony do ekranu logowania WordPress, gdzie wpiszesz obecne, aktualne i nowe hasło.
Zalecamy skorzystanie z bezpiecznego generatora haseł, zamiast próbować wymyślić coś, co można zapamiętać. Następnie do przechowywania haseł można użyć menedżera haseł, takiego jak 1Password lub LastPass.
Następnie kliknij „Zmień hasło”.
Następnie zostaniesz przeniesiony z powrotem na stronę logowania WordPress, gdzie będziesz mógł wpisz swoje nowe dane uwierzytelniające.
Możesz również przejść do strony Password Policy Manager ” Raporty . Tutaj znajdziesz wszystkie próby logowania podjęte przez użytkowników. Dobrze jest okresowo sprawdzać, czy na twojej witrynie WordPress nie doszło do podejrzanych prób. Jeśli tak, możesz łatwo wykonać reset jednym kliknięciem, o którym właśnie wspomnieliśmy.
Aby zobaczyć dane, należy włączyć kartę „Enable Report Entry”.
I to wszystko! Teraz z powodzeniem skonfigurowałeś swoją witrynę WordPress tak, aby wymuszała na wszystkich użytkownikach zmianę haseł po upływie daty ważności.
Wskazówki dotyczące rozwiązywania problemów
Co jeśli moi użytkownicy nigdy nie otrzymają e-maili?
Jeśli twoi użytkownicy nie otrzymują powiadomień e-mail o zresetowaniu hasła, może to oznaczać, że dzieje się wiele rzeczy. Zapoznaj się z naszym przewodnikiem na temat tego, jak poprawić WordPress, który nie wysyła e-maili.
Co zrobić, jeśli nie mogę dostać się do obszaru administracyjnego WordPress w celu zresetowania hasła?
Jeśli w jakiś sposób nie możesz dostać się do obszaru administracyjnego WordPress, zapoznaj się z naszym przewodnikiem na temat tego, co zrobić, gdy jesteś zablokowany w obszarze administracyjnym WordPress.
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak zmusić użytkowników do zmiany haseł w WordPress. Możesz również zapoznać się z naszym przewodnikiem po zabezpieczeniach WordPress a, który pomoże poprawić bezpieczeństwo twojej witryny internetowej lub z naszą listą najczęstszych błędów WordPressa i sposobów ich poprawki.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Marko says
Article need update.
WPBeginner Support says
Thank you for letting us know, we will look into updating the article when we are able
Administrator
Shallum Vohr says
How to force user to update password on first login only?
Millie Aveyard says
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support says
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrator
Remi says
Very nice idea! It’s a great to give more security to the administration!
Daniel says
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The 'admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the „Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet says
This is a very good post ……