Att tillåta användare att ha svaga lösenord är som att lämna ytterdörren vidöppen. Det är en inbjudan till tjuvar och hackare att bryta sig in.
Användare väljer ofta samma korta och osäkra lösenord överallt. Om du inte använder starka lösenord på din WordPress-webbplats utsätter du ditt innehåll och känsliga användardata för risk.
Istället för att lämna lösenordsstyrkan åt slumpen visar den här artikeln hur du kan tvinga dina användare att skapa starka lösenord på din WordPress-webbplats, vilket förbättrar din online-säkerhet.
Varför ska du tvinga dina WordPress användare att använda starka password?
Starka password gör det svårare för hackare att använda brute force-attacker för att komma åt din site. Om du har lagt tid på att optimera säkerheten på din WordPress website, bör du också skydda dina login pages med hjälp av ett starkt password.
Men om du har en onlinebutik, membership site eller blogg med flera författare finns det en risk att dina customers eller andra användare av webbplatsen gör din website sårbar för hackare genom att använda svaga lösenord som är lätta att gissa med brute force-attacker.
Användare med svaga lösenord kan utgöra en säkerhetsrisk, särskilt de som har roller som användare på hög nivå, gillar administratörer och Editors.
WordPress har built-in settings som visar användarna hur starkt passwordet är när de skapar ett account, men det verkställer inte styrkan.
Som tur är kan du använda ett WordPress tillägg för att tvinga dina användare att skapa ett starkt password när de skapar ett account på din WordPress website.
Med detta sagt, låt oss ta en titt på hur du tvingar ett starkt password på dina WordPress användare. Använd bara snabblänkarna under för att hoppa till den metod du vill använda:
Metod 1. Tvinga fram starka lösenord med Solid Security
Det enklaste sättet att tvinga fram starka lösenord är med ett WordPress säkerhetsplugin. Vi rekommenderar Solid Security (tidigare iThemes Security) eftersom det låter dig tvinga fram starka lösenord med ett par clicks.
Det finns en premiumversion som erbjuder säkerhetshärdning, filintegritetskontroller, 404-detekteringar och mer, men vi kommer att använda den gratis versionen för denna tutorial eftersom den har funktioner för lösenordsskydd. För mer detaljer, se vår fullständiga Solid Security review.
Det första du behöver göra är att installera och aktivera pluginet. För mer detaljer, se vår guide om hur du installerar ett plugin för WordPress.
När du är aktiverad går du till Security ” Settings för att välja dina säkerhetsinställningar. Det finns en installationsguide som hjälper dig att konfigurera plugin för säkerhet för dina behov.
Först klickar du på alternativet för den typ av website du har. Vi kommer att selecta alternativet ”Blogg”.
Nu kommer du att se en toggle för att aktivera ”Security Check Pro”. Detta kommer automatiskt att konfigurera dina säkerhetsinställningar för att redirecta HTTP requests till HTTPS och skydda you från IP spoofing.
You should toggle this setting to the ”On” position.
Efter det måste du välja om det är en personlig eller kundwebbplats.
Vi väljer ”Self” för denna tutorial.
Därefter finns det en toggle för att aktivera en policy för starka lösenord för dina användare.
You need to click the toggle to enforce a strong password for your users and click ’Next’.
Nu har du utan problem tvingat användarna att ha ett starkt password. Det finns en mängd andra Settings som du kan aktivera för att göra din login ännu säkrare.
Om du gillar det kan du add to en lista med IP-adresser till en vit lista för att förhindra att de blir utestängda från din website. Du måste ange IP-adressen för varje användare. Du kan snabbt lägga till din egen IP-adress genom att clicka på knappen ”Authorize my IP-adress”.
Du bör lämna inställningen för IP-detektering på ”Security Check Scan (Recommended)” och sedan klicka på knappen ”Next”.
Om du vill aktivera tvåfaktors-autentisering klickar du på toggle till positionen On och klickar sedan på knappen ”Next”.
Efter det får du frågan om du vill aktivera några fler säkerhetsinställningar för olika grupper av användare. Du kan helt enkelt clicka på ”Standard User Groups”.
Då kommer du till en vy där du kan tvinga fram starka password och ändra andra Settings per roll hos användaren.
På den första vyn visas dina säkerhetsinställningar för användare som är administratörer.
You can turn on strong passwords and refuse to let users register with a compromised password that’s been previously used on other sites.
Om du vill ändra säkerhetsinställningarna för andra användare klickar du bara på en annan roll högst upp på vyn. När du är slutförd klickar du på knappen ”Nästa” högst upp eller längst ner på vyn.
Detta kommer att leda dig genom resten av Setup Wizard för att aktivera ytterligare säkerhetsinställningar för din website.
Om du vill ändra dina inställningar för password i framtiden går du till Security ” Settings, click on ’User Groups’ och väljer den grupp du vill ändra.
När du är klar, se till att du klickar på knappen ”Save” längst ner på vyn för att spara dina settings.
Metod 2: Tvinga fram starka lösenord med Password Policy Manager
Ett annat sätt att tvinga fram starka lösenord på din WordPress blogg är genom att använda Password Policy Manager plugin. Det låter dig enkelt skapa starka regler för lösenord som dina användare måste följa, men har inte andra säkerhetsfunktioner för att skydda din site som iThemes Security har.
Det första du behöver göra är att installera och aktivera pluginet. För mer detaljer, se vår guide för nybörjare om hur du installerar ett plugin för WordPress.
Efter aktiveringen kommer du att ha ett new menu alternativ anropat ”miniOrange Password Policy” i din WordPress adminpanel. You need to click this to set up your password rules.
Sedan klickar du på ”Password Policy Settings” toggle för att slå på dina inställningar för starka lösenord.
Efter det kan du ställa in dina starka password settings. Kontrollera bara boxarna för de krav på lösenord som du vill ställa in.
Därefter ställer du in den obligatoriska längden på passwordet.
Efter det kan you välja att låta password löpa ut efter en viss tidsperiod.
Om du vill aktivera detta ska du clicka på ”Enable expiration time” toggle och sedan enter expiration time i veckor.
När du är slutförd, se till att du klickar på knappen ”Save Settings”.
You can also reset all of your users’s password at any time. Simply click the ”Reset Password” button, and all your users will be prompted to create new strong passwords.
Våra bästa guider för att skydda WordPress password
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du tvingar fram starka lösenord för användare i WordPress. Du kanske också vill läsa några andra guider om hur du skyddar WordPress-lösenord:
- Så här ändrar du ditt password i WordPress (Beginner’s Guide)
- Hur man enkelt och säkert hanterar password (Beginner’s Guide)
- Hur och varför du bör limit login-försök i WordPress
- Så här addar du till en enkel generator för lösenord för användare i WordPress
- Hur man tillåter användare att dölja/visa password på WordPress login vy
- Så här återställer du password för alla användare i WordPress
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Dayo Olobayo
Thanks for this clear and informative guide on enforcing strong passwords. One question I have though is whether these plugins integrate easily with other security plugins. For example, plugins for malware scanning or login attempts monitoring.
WPBeginner Support
You would need to check with the specific security plugin you are using as different plugins can have different conflicts or work fine together.
Administratör
Dayo Olobayo
Thank you for the clarification. I’ll check the compatibility with my specific plugins.
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administratör
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administratör
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administratör
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, ”Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the ”Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even ’subscribers’?
Editorial Staff
Yes you would have to use
slt_fsp_weak_rolesfilter. Haven’t tried the code below, but something like this should work:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Administratör
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple ’tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the ”support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the ”company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administratör
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really ”new” code, just ported code.