Tornar seu site WordPress mais seguro é sempre uma medida inteligente.
Uma maneira eficaz de fazer isso é exigir que os usuários alterem suas senhas regularmente. Essa simples medida pode tornar muito mais difícil a invasão de hackers.
As alterações regulares de senha protegem seus dados e as informações dos usuários. Elas também acrescentam uma camada extra de segurança ao seu site. Ao expirar as senhas após um determinado período, você ajuda a manter todos mais seguros.
Neste guia, vamos orientá-lo sobre como forçar os usuários a alterar as senhas no WordPress.
Quando e por que forçar os usuários do WordPress a alterar as senhas?
80% das violações de dados envolvem senhas fracas ou roubadas. Felizmente, as alterações regulares de senha interrompem as tentativas dos hackers.
Os hackers tentarão acessar sua conta repetidamente durante um período de tempo. Nesse caso, você evitará ataques de força bruta feitos por pessoas com intenções mal-intencionadas.
A maioria dos novos usuários está propensa a usar senhas fracas ou a mesma senha de suas outras contas, pois são fáceis de lembrar. Se um hacker entrar no seu site WordPress, isso poderá comprometer a segurança de todos os outros usuários.
Mas forçar alterações de senha não deve se aplicar apenas aos usuários administradores. Também deve se aplicar aos usuários associados e aos clientes que retornam. Por exemplo, quando os clientes se registram em sua loja WooCommerce ou site de associação, eles recebem a senha por e-mail. Forçar alterações regulares de senha pode ajudar a reduzir o risco de tentativas de phishing feitas por e-mail.
Além disso, se você tiver um site WordPress multiusuário, deverá solicitar aos usuários que atualizem as senhas após um período de tempo específico.
Por outro lado, se você notou recentemente atividades suspeitas em seu site WordPress, deve expirar imediatamente todas as senhas de usuários existentes e pedir a todos que atualizem suas senhas.
Dica de especialista: Está preocupado com o fato de seu site ter sido invadido? Deixe que nossos especialistas em segurança do WordPress consertem seu site e o coloquem de volta nos trilhos. Limparemos todos os códigos, arquivos e malware prejudiciais para que suas informações confidenciais permaneçam seguras. Tome uma atitude agora e proteja seu site com nossos serviços dedicados de reparo de sites invadidos!
Com isso em mente, vamos ver como você pode expirar senhas e forçar os usuários a alterar as senhas no WordPress.
Forçar os usuários a alterar as senhas no WordPress
A melhor maneira de forçar os usuários a alterar as senhas no WordPress é usar o plug-in Password Policy Manager. Ele permite que você crie e aplique facilmente políticas de senha fortes e seguras.
Para começar, você precisará instalar e ativar o plug-in Password Policy Manager. Para obter mais detalhes, consulte nosso tutorial sobre como instalar um plug-in do WordPress.
A partir daqui, você precisará ir para a página Password Policy Manager ” Password Policy Manager. Em seguida, na guia Policy Settings ” For All Users, você verá várias configurações de política de senha que podem ser definidas.
Primeiro, certifique-se de ativar o grande botão de alternância que diz “Ativar todas as configurações”. Abaixo disso, você pode marcar todas as regras de política de senha que deseja aplicar sempre que um novo usuário precisar criar uma nova senha.
As opções incluem:
- Deve conter letras minúsculas e maiúsculas
- Deve conter dígitos numéricos
- Deve conter caracteres especiais
- Comprimento da senha entre 8 e 25
Recomendamos manter essas caixas marcadas, pois são práticas recomendadas para ter uma senha forte. Você também pode ler nosso guia sobre como adicionar um gerador de senha de usuário simples no WordPress.
Abaixo disso, você precisará marcar a caixa que diz “Force Reset Password on first login” (Forçar redefinição de senha no primeiro login). Isso ajuda a evitar que novos usuários usem a mesma senha de suas outras contas on-line e garante que eles configurem uma senha forte logo de cara.
Em seguida, você precisará ativar a opção “Enable Password Expiry” (Ativar expiração da senha) para definir um tempo de expiração específico que obrigue todos os usuários do site a alterar a senha. Ao lado disso, você pode definir o número de semanas em que deseja forçar a alteração.
Depois disso, você pode pressionar o botão “Save Settings” (Salvar configurações).
Abaixo das configurações de salvamento, você verá uma opção para redefinir sua senha com um clique. Se você ou seus usuários não tiverem redefinido a senha há algum tempo, é uma boa ideia clicar no botão “Redefinir senha”.
Isso encerrará automaticamente todas as sessões conectadas dos usuários e os forçará a redefinir suas senhas.
Em seguida, todos os usuários receberão um e-mail com um link para redefinir suas senhas.
Tudo o que eles precisam fazer é clicar no link do e-mail.
Isso abrirá a tela de login do WordPress, onde você digitará sua senha atual e a nova.
Recomendamos o uso de um gerador de senhas seguras em vez de tentar criar uma que você possa memorizar. Em seguida, você pode usar um gerenciador de senhas como o 1Password para armazená-la.
A partir daí, você pode clicar em “Change Password” (Alterar senha).
Isso o levará de volta à página de login do WordPress, onde você poderá inserir suas novas credenciais.
Você pode ir para a página Password Policy Manager ” Reports para rastrear todas as tentativas de login feitas pelos usuários. Recomendamos verificá-la periodicamente para ver se foram feitas tentativas suspeitas em seu site WordPress. Se for o caso, você pode executar facilmente a redefinição com um clique que acabamos de mencionar.
Para ver os dados, você precisará ativar a guia “Enable Report Entry” (Ativar entrada de relatório).
E é isso! Agora você configurou com êxito o seu site WordPress para que ele force todos os usuários a alterar as senhas após a data de expiração.
Dicas de solução de problemas
Às vezes, as coisas não saem tão bem quanto o planejado. Aqui estão algumas dicas de solução de problemas para ajudá-lo a lidar com qualquer problema que possa surgir.
E se meus usuários nunca receberem seus e-mails?
Caso seus usuários não estejam recebendo notificações por e-mail para redefinir suas senhas, pode estar acontecendo uma série de coisas. Dê uma olhada em nosso guia sobre como corrigir o problema do WordPress que não envia e-mails.
E se eu não conseguir entrar na área de administração do WordPress para redefinir minha senha?
Se, de alguma forma, você não conseguir entrar na área de administração do WordPress, dê uma olhada em nosso guia sobre o que fazer quando estiver bloqueado na área de administração do WordPress.
Esperamos que este artigo o tenha ajudado a aprender como forçar os usuários a alterar as senhas no WordPress. Talvez você também queira ver nosso guia definitivo de segurança do WordPress para ajudar a melhorar a segurança do seu site ou nossa lista dos erros mais comuns do WordPress e como corrigi-los.
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Marko
Article need update.
WPBeginner Support
Thank you for letting us know, we will look into updating the article when we are able
Administrador
Shallum Vohr
How to force user to update password on first login only?
Millie Aveyard
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrador
Remi
Very nice idea! It’s a great to give more security to the administration!
Daniel
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the “Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet
This is a very good post ……