So implementieren Sie die Sicherheitsrichtlinien für WordPress-Passwörter

Veröffentlicht: 2022-12-22

Die Site-Sicherheit erfordert die Beteiligung der Benutzer, die darauf zugreifen. Während Sie beispielsweise Ihre WordPress-Anmeldeseite sichern müssen (da es sich um einen Einstiegspunkt handelt), müssen die von Ihren Benutzern gewählten Anmeldeinformationen auch stark sein. Dadurch ist es fast sicher, dass ein böswilliger Benutzer keine kostenlose Fahrt zu Ihrer Website erhält.

In diesem Tutorial werden wir uns ansehen, wie man WordPress-Kennwortsicherheitsrichtlinien implementiert. Es wird einiges von dem abdecken, was unser Begleitartikel über den WordPress-Passwortschutz tut. Es wird jedoch auch darüber gesprochen, wie Sie sicherstellen können, dass Benutzer diese Richtlinien im Einklang mit Ihrer eigenen Richtlinie für starke Kennwörter befolgen.

Warum Passwortsicherheit so wichtig ist

An der Oberfläche sollte dies einfach sein: Starke Passwörter bedeuten, dass es Hackern und anderen böswilligen Benutzern schwerer fällt, in Ihre Website einzudringen. Allerdings gibt es hier noch mehr zu beachten:

  • Starke Passwörter sind nur ein Glied in der Kette. Ohne sie werden Ihre sicheren Fesseln jedoch schnell korrodieren.
  • Sie können gefälschte Benutzer oder Bots auf Ihrer Website bekämpfen, indem Sie ein sicheres Passwort festlegen, das sich häufig ändert.
  • WordPress ist eine sichere Plattform. Die Popularität von WordPress bedeutet jedoch, dass es ein häufiges Ziel ist. Eine starke (und gründliche) Passwortsicherheitsrichtlinie schützt die Website als Ganzes.

Insgesamt ist eine robuste, starke Passwortsicherheit für Ihre Website von entscheidender Bedeutung. Tatsächlich enthält WordPress Funktionen, mit denen Sie stärkere Passwörter für Anmeldungen und Registrierungen festlegen können.

Wie WordPress Ihnen hilft, starke Passwörter für alle Benutzer zu implementieren

Die WordPress.org-Website bietet eine eigene Liste mit Best Practices für WordPress-Passwörter, aber die Plattform enthält jetzt Möglichkeiten, Benutzer zur Verwendung sicherer Passwörter zu ermutigen. Sie können dies auf Ihrer Benutzerprofilseite im WordPress-Dashboard testen:

Eine WordPress-Profilseite mit dem Passwortfeld.
Eine WordPress-Profilseite mit dem Passwortfeld.

Der Abschnitt Kontoverwaltung enthält standardmäßig zwei Optionen, aber eine ist hier von Interesse. Sie können die Schaltfläche Neues Passwort festlegen verwenden, um ein Feld zu öffnen, das automatisch mit einem starken und eindeutigen Passwort ausgefüllt wird. Alles, was der Benutzer tun muss, ist, das Passwort zu kopieren, um es zu speichern (mehr dazu später) und die Änderungen zu speichern.

Festlegen eines neuen starken Passworts in WordPress.
Festlegen eines neuen starken Passworts in WordPress.

Wenn der Benutzer jedoch versucht, ein schwaches Passwort festzulegen, werden Sie feststellen, dass sich das Dialogfeld und die Optionen ändern, um dies widerzuspiegeln:

Versuch, ein schwaches Passwort in WordPress festzulegen.
Versuch, ein schwaches Passwort in WordPress festzulegen.

In solchen Fällen muss der Benutzer bestätigen, dass er das schwache Passwort verwenden möchte, indem er ein Kontrollkästchen aktiviert. Obwohl es sich um einen zusätzlichen Schritt handelt, werden die meisten Benutzer wahrscheinlich auf die Schaltfläche klicken und die Änderungen speichern.

Dies ist nicht ideal, da es zu einer der Schwachstellen Ihrer Website wird. Stattdessen sollten Sie eine Kennwortsicherheitsrichtlinie implementieren.

Warum Sie eine solide Kennwortsicherheitsrichtlinie für Ihre Website und Benutzer benötigen

Wir sprechen in unserem vollständigen Leitfaden zum WordPress-Passwortschutz über Passwortrichtlinien. Zusammenfassend lässt sich jedoch sagen, dass eine starke Kennwortsicherheitsrichtlinie den Prozess größtenteils aus den Händen des Benutzers nimmt.

Daher müssen sie sich keine Gedanken über ausgeklügelte Bots zum Knacken von Passwörtern oder Brute-Force-Angriffe machen. Stattdessen können Sie Ihren Benutzern eine Richtlinie zur Verfügung stellen, die Ihren Richtlinien entspricht, und ihnen ermöglichen, weiterhin sicher mit Ihrer Website zu interagieren.

Es ist jedoch wichtig zu wissen, wie eine starke Passwortrichtlinie aussieht. Lassen Sie uns dies als nächstes besprechen.

Die Elemente einer starken Kennwortsicherheitsrichtlinie

Einer der Hauptvorteile einer starken Kennwortsicherheitsrichtlinie besteht darin, dass Sie sie an Ihre Bedürfnisse und die Ihrer Benutzer anpassen können. Es gibt jedoch viele WordPress-Passwortregeln und -richtlinien, die Sie einrichten können, um Ihre Website zu stützen und Benutzer zu schützen:

  • Sie könnten eine Mindestlänge für alle Passwörter sicherstellen.
  • Sie möchten auch Ablaufzeiten für Passwörter einrichten. Andernfalls werden Sie feststellen, dass die Passwörter der gleichen Benutzer für lange Zeit vorhanden sind, was riskant ist. Das Erzwingen des Ablaufs gibt Benutzern die Möglichkeit, neue starke Passwörter zu erstellen.
  • WordPress-Benutzerrollen können auch unterschiedliche Passwortregeln haben. Beispielsweise wird ein Administrator wohl eine strengere Richtlinie wünschen als ein Mitwirkender.

Später werden wir mehr darüber sprechen, wie man starke Passwörter mit einem dedizierten Richtlinien-Plugin für WordPress implementiert. Zuerst werden wir jedoch einige wesentliche Elemente einer starken Passwortsicherheit durchgehen.

Sicherheitsrichtlinien für WordPress-Passwörter: eine Checkliste

Lassen Sie uns als Nächstes über einige der wichtigsten Kennwortsicherheitsrichtlinien sprechen, die Ihre Benutzer befolgen sollten und die Sie implementieren sollten. Es ist eine kurze Checkliste, da Sie mit ein wenig Sorgfalt und Überlegung nicht viele Elemente benötigen, damit alle Benutzer über starke Anmeldeinformationen verfügen.

Wir beginnen mit einem der grundlegendsten Faktoren, die Sie anwenden können.

1. Stellen Sie sicher, dass Ihr Passwort lang und stark ist

Ein Großteil der Diskussion um die Wahl eines starken Passworts legt Wert auf Abwechslung und zufällige Elemente. Beispielsweise können Sonderzeichen in einem zufällig generierten Passwort wichtig sein:

Generieren eines neuen Passworts mit einem Online-Tool.
Generieren eines neuen Passworts mit einem Online-Tool.

Wenn Sie jedoch dieselbe Philosophie verwenden und sie auf die falsche Weise implementieren, werden Sie wahrscheinlich mit einer schlechten Passwortwahl enden:

Ersetzen von Buchstaben in einem Passwort durch Sonderzeichen, was zu einem schwachen Passwort führt.
Ersetzen von Buchstaben in einem Passwort durch Sonderzeichen, was zu einem schwachen Passwort führt.

Stattdessen wissen wir jetzt, dass die Länge des Passworts für seine Stärke wichtiger ist als die Zeichenvielfalt. Diese Philosophie findet sogar Eingang in populäre Medien, wie diesen Passwort-Cartoon von XKCD:

Ein XKCD-Cartoon, der zeigt, dass die Passwortlänge ein stärkerer Aspekt ist als die Verwendung von Sonderzeichen.
Ein XKCD-Cartoon, der zeigt, dass die Passwortlänge ein stärkerer Aspekt ist als die Verwendung von Sonderzeichen.

Sie tun jedoch gut daran, auch Sonderzeichen und Zahlen zu implementieren. Wenn Sie Länge und Vielfalt kombinieren, erhalten Sie schließlich noch stärkere Passwörter.

2. Verwenden Sie einen Passwort-Manager, um Ihre Zugangsdaten zu speichern

Ein Nachteil bei der Verwendung langer Passwörter ist, dass sie schwer zu merken sind und wahrscheinlich der Grund dafür ist, dass typische Ratschläge häufig die Verwendung einer Mischung von Zeichen vorschlagen. In der Vergangenheit hatten wir nicht die Tools zum Erstellen, Speichern und Abrufen von Passwörtern. Die moderne Technologie hat jedoch eine Reihe von Passwort-Manager-Apps zur Auswahl.

Das Logo der 1Password-App.

Einige der beliebtesten Optionen sind 1Password und LastPass. Die meisten Browser bieten jetzt auch die Möglichkeit, Passwörter zu erstellen und zu speichern. Tatsächlich können die drei Hauptakteure – Google Chrome, Apple Safari und Mozilla Firefox – alle Benutzer beim Speichern von Passwörtern unterstützen. Dies ist jedoch keine gute Idee für optimale Sicherheit.

Das Brave-Browser-Passwort-Manager-Tool.
Das Brave-Browser-Passwort-Manager-Tool.

In vielen Fällen verfügen diese Browser auch über Erweiterungen zur Integration mit Apps von Drittanbietern. Zunächst halten Sie Ihre Passwortdaten von potenziellen Browser-Schwachstellen fern. Darüber hinaus haben Sie eine zusätzliche Sicherheitsebene.

Die meisten Passwort-Manager von Drittanbietern bieten die Verschlüsselung Ihrer Daten zusammen mit der Zwei-Faktor-Authentifizierung (2FA) an. Darüber hinaus haben Sie bessere Funktionen für die Lebensqualität als der Browser. Beispielsweise überwachen die meisten Passwort-Manager Ihre Zugangsdaten und informieren Sie, wenn sie kompromittiert sind.

3. Aktualisieren Sie das Passwort regelmäßig

Das Aktualisieren Ihrer Passwörter ist fast ein nicht verhandelbares Element der Passwortsicherheit. Schließlich ist kein Passwort zu 100 Prozent sicher, was bedeutet, dass die Möglichkeit besteht, dass es geknackt und im Internet veröffentlicht wird, unabhängig davon, wie winzig es auch sein mag.

Aus diesem Grund ist das Ändern der Passwörter für alle Ihre Logins ein notwendiger Schritt für die Benutzer Ihrer WordPress-Site, um sicherzustellen, dass ein durchgesickertes oder geknacktes Passwort nicht mehr gültig ist. Wir empfehlen eine sofortige Passwortänderung in einem der folgenden Szenarien:

  • Wenn Ihre WordPress-Site oder Ihr Konto gehackt oder verletzt wird oder Sie Malware auf dem Server finden.
  • Unternehmensweite Datenschutzverletzungen sind auch eine Zeit, in der Sie möchten, dass Benutzer Passwörter ändern. Während Sie sich nur auf betroffene Konten konzentrieren könnten, ist es besser, alle Benutzer vorsichtshalber zu bitten, ihre Passwörter zu ändern.
  • Wenn Sie jemanden aus Ihrem Netzwerk entfernen möchten, ist es eine gute Idee, zumindest das Passwort für sein Konto zu ändern. Sobald Sie alles abgeschlossen haben, können Sie das Benutzerkonto vollständig löschen.

In einigen anderen Fällen möchten Sie sicherstellen, dass Sie ein Passwort basierend auf bestimmten Umständen ändern. Beispielsweise bieten viele öffentliche Wi-Fi-Steckdosen nur ein ungesichertes Netzwerk zum Surfen im Internet an. Wenn Sie mit sensiblen Informationen umgehen, könnten Sie in diesen Situationen gegen gesetzliche Anforderungen zum Schutz von Daten verstoßen. Aus diesem Grund – und weil die Nutzung öffentlicher WLANs sowieso keine gute Praxis ist – sollten Sie das Passwort immer ändern, wenn Sie feststellen, dass Sie ein ungesichertes Netzwerk verwenden müssen.

Der beste Weg, um starke Passwörter für Ihre WordPress-Website zu implementieren

Die WordPress-eigene Passwortsicherheitsfunktion ist gut als grundlegende Methode zum Schutz der Benutzer, weist jedoch Mängel auf. Stattdessen können WordPress-Plugins die Lücke schließen und die nützlichen Funktionen hinzufügen, die Sie benötigen, um eine starke Passwortrichtlinie und Sicherheit zu implementieren.

Ein WordPress-Sicherheits-Plugin ist für jede Website von entscheidender Bedeutung, aber dies enthält möglicherweise nicht immer alles, was Sie zur Implementierung der WordPress-Passwortsicherheit benötigen. Aus diesem Grund ist WPassword eine gute Ergänzung zu Ihren aktuellen Sicherheitsmaßnahmen.

Das WPassword-Plugin.

Sobald Sie WPassword installiert und aktiviert haben, können Sie das Plugin leicht auf dem WordPress-Dashboard erkennen. Der Bildschirm WPassword > Password Policies gibt Ihnen Ihre erste Aufgabe: Aktivieren Sie die Kernfunktionalität der Richtlinie. Sobald Sie dies getan haben, sehen Sie eine ganze Reihe von Optionen:

Umschalten von Passwortrichtlinien innerhalb des WPassword-Plugins.
Umschalten von Passwortrichtlinien innerhalb des WPassword-Plugins.

Der Passwortrichtlinien-Editor ist leistungsstark und enthält alle Funktionen, die Sie benötigen, um starke Passwörter auf Ihrer Website durchzusetzen:

  • Sie können eine Mindestlänge für Passwörter festlegen und festlegen, ob das Passwort Ziffern, Groß- und Kleinbuchstaben, Sonderzeichen enthalten und bestimmte Zeichen sogar sperren muss.
  • Es gibt ein einfaches Feld zum Implementieren von Ablaufzeiten für Passwörter basierend auf Ihren eigenen Bedürfnissen und Wünschen. Sie haben sogar eine Ein-Klick-Funktion, um Passwörter in großen Mengen zurückzusetzen.
  • Sie können auch Zeitrahmen für inaktive Benutzer festlegen, an denen sie automatisch gesperrt werden.

WPassword enthält auch weitere Funktionen, mit denen Sie Ihre WordPress-Passwortsicherheitsrichtlinie implementieren können. Beispielsweise können Sie die Verwendung älterer Passwörter nicht zulassen. Noch besser ist, dass die Konfiguration jeder dieser Optionen die Standard-WordPress-Oberfläche mit Kontrollkästchen und Dropdown-Menüs verwendet, ohne dass Code erforderlich ist.

Einpacken

Wenn die Benutzer Ihrer WordPress-Site keine starken Passwörter verwenden, riskieren Sie natürlich eine Sicherheitsverletzung. Dies kann irreparable Folgen haben. Daher sollten Sie mit WPassword eine dedizierte Passwortrichtlinie anpassen.

Mit dem Plugin können Sie eine starke Passwortrichtlinie erstellen und diese auch durchsetzen. Ihre Benutzer müssen keinen Finger rühren, aber Sie stellen sicher, dass die Sicherheit Ihrer WordPress-Site viel stärker ist als zuvor.

Haben Sie Fragen zur Implementierung der WordPress-Sicherheitsrichtlinien auf Ihrer Website? Fragen Sie im Kommentarbereich unten nach!