Защита паролем WordPress — полное руководство
Опубликовано: 2022-08-02Это «полное» или исчерпывающее руководство по защите паролем WordPress для администраторов и владельцев бизнес-сайтов. Он написан для тех, кто управляет или является администратором веб-сайтов WordPress.
Помимо ролей, следующей наиболее уязвимой и легко усиливаемой защитой веб-сайта WordPress является использование вами паролей, согласно WordPress и поставщикам программного обеспечения для обеспечения безопасности. Вооружившись учетными данными для входа, кто-то потенциально может получить доступ к вашему веб-сайту, а также ко всем конфигурациям и данным, доступным на панели управления WordPress. Вошедший в систему пользователь может выдавать себя за вас, добавлять, изменять или удалять элементы, искажать ваш веб-сайт и разрушать ваш бизнес.
В этом сообщении блога содержится ряд рекомендаций по передовой практике, которые помогут вам установить надежную защиту паролей WordPress в вашей организации и научить ваших пользователей их использованию.
Оглавление
- Установите надежную политику безопасности паролей
- Как выглядит надежный пароль?
- Роли пользователей WordPress и их влияние на безопасность
- Установите правильные инструменты и плагины для защиты паролей WordPress.
- Подайте хороший пример для защиты паролем WordPress
- Использовать менеджер паролей
- Преимущества использования менеджера паролей
- Включить двухфакторную или многофакторную аутентификацию
- Обучите своих пользователей защите паролем WordPress
- Расскажите о заслуживающих внимания утечках данных
- Применяйте политику надежных паролей
- Действия администратора для защиты пароля WordPress
- Подчеркните преимущества использования диспетчера паролей для снятия стресса и экономии времени.
- Подчеркните целесообразность инвестиций в надежную защиту паролей WordPress.
- Установить другие соответствующие гарантии
Установите надежную политику безопасности паролей
Как администратор веб-сайта WordPress, у вас есть возможность и ответственность за соблюдение политики надежных паролей для ваших пользователей. При этом вы защитите свою организацию, ее веб-сайты, данные, персонал и других пользователей от целого ряда атак.
- В случае компании и ее внутренних сотрудников сотрудникам отдела маркетинга потребуется доступ к веб-сайту WordPress для создания и редактирования страниц веб-сайта и сообщений в блогах, в то время как другим потребуется доступ только для модерации и ответа на комментарии. С другой стороны, специалистам по управлению учетными записями клиентов или сотрудникам службы поддержки потребуются различные уровни доступа к учетным записям клиентов, чтобы отвечать на заявки в службу поддержки. В этом случае большинству внутренних сотрудников не потребуется доступ к учетным записям клиентов, хотя некоторым он понадобится. Тем, кто работает в сфере ИТ-поддержки, может потребоваться доступ к некоторым аспектам учетных записей клиентов, но не ко всем.
- Давайте подумаем о другой точке зрения, о внешних пользователях на веб-сайте электронной коммерции WordPress. Им может потребоваться войти в систему, чтобы управлять своей учетной записью, совершать покупки, отслеживать статус доставки или возврата или обращаться в службу поддержки. Этим же пользователям не должен быть предоставлен доступ, например, к созданию или удалению веб-страниц, или возможность просматривать счета и финансовые данные других клиентов. В некоторых случаях веб-сайты электронной коммерции не требуют, чтобы пользователи, являющиеся клиентами, вообще создавали учетную запись и входили в систему, поскольку иногда это может быть препятствием для получения продажи.
Зачем нужно все это рассмотрение? Разве пользователи еще не знают, как создавать и использовать безопасные пароли?
Средний пользователь компьютера плохо осведомлен о защите паролем WordPress или безопасности паролей WordPress в целом. Скорее всего, они будут небрежно относиться к своим онлайн-данным и сочтут управление учетными данными для входа стрессовым (все это мы обсудим позже), поэтому они записывают их на стикерах и прикрепляют к своим мониторам!
Кроме того:
- Боты для подбора паролей становятся все более изощренными
- Хакеры-злоумышленники по-прежнему используют атаки методом грубой силы и словаря.
Гнусные действия становятся намного проще для злонамеренных хакеров, если у них уже есть личная информация, такая как настоящие имена, которые могут стать частью слабого пароля.
Как выглядит надежный пароль?
- Более длинные пароли . Как правило, чем короче пароль, тем больше он подвержен атаке методом грубой силы или атаке по словарю. Лучший текущий совет — установить минимальную длину пароля в 16 символов и допускать пробелы. Некоторые генераторы паролей позволяют пользователям настраивать длину безопасного случайного пароля, который они создают.
- Смешанные пароли . Используйте случайную комбинацию символов (как в верхнем, так и в нижнем регистре), цифр и специальных символов. Это защитит ваш пароль от атак по словарю. Избегайте словарных слов и шаблонов букв или цифр, заменяя буквы цифрами ("@" вместо "a", "0" вместо "O", включая комбинации клавиш (qwerty).
- Случайные пароли . Держите ваши пароли не связанными с вами. Не используйте никакую часть своего имени, а также имени домашнего животного, ребенка или другого родственника. Не используйте свой DOB, почтовый адрес или любую другую общедоступную информацию, которую злоумышленник может легко связать с вами. Также избегайте использования информации, которую может угадать коллега или знакомый, например псевдонимов.
- Смена паролей . Регулярно меняйте пароли (рекомендуется каждые три месяца). Это перезапускает часы при любых попытках грубой силы и позволяет вам опережать достижения в области технологий неэтичного взлома.
- Разные пароли . Используйте разные пароли для каждого веб-сайта. Таким образом, если один взломан, остальные останутся в безопасности. Ежедневно используйте менеджер паролей для их хранения, обновления и использования.
- Сохраненные пароли . Не используйте конфигурацию браузера, ноутбуки или общие папки для сохранения паролей на случай, если ваш компьютер будет взломан или украден. Вот для чего нужен менеджер паролей!
Роли пользователей WordPress и их влияние на безопасность
Конфигурация ролей имеет огромное значение для безопасности веб-сайта WordPress. Как правило, безопасность WordPress должна повышаться прямо пропорционально уровню конфиденциальной информации, которая содержится или передается на веб-сайте.
Во-первых, давайте посмотрим на роли администратора:
- Суперадминистраторы — назначаются владельцам мультисайтов, использующим мультисайтовую сеть WordPress, дают вам те же права, что и роль администратора.
- Администратор — автоматически назначается владельцу/создателю веб-сайта при установке, дает вам полный контроль над веб-сайтом, включая удаление, они могут: устанавливать, редактировать и удалять темы и плагины; запускать обновления и обновления; создавать, редактировать и удалять страницы и сообщения в блогах; добавлять, редактировать и удалять пользователей, включая других администраторов; и добавлять, редактировать и удалять медиа
Все остальные роли пользователей, перечисленные в порядке убывания полномочий:
- Редактор — может добавлять, редактировать и удалять новые страницы, посты в блогах, медиа; создавать категории и теги; публиковать контент, написанный им самим и другими; и модерировать комментарии
- Автор — может добавлять, редактировать и публиковать только собственный контент; загружать медиафайлы; и назначать существующие категории и теги сообщениям в блоге
- Участник — может добавлять и редактировать только свой контент; и назначать существующие категории и теги своим собственным сообщениям в блоге
- Подписчик – может обновлять только свой профиль пользователя; читать чужой контент; и добавить комментарии
Следуя принципу наименьших привилегий, когда вы устанавливаете роли для делегирования задач в WordPress, избегайте предоставления кому-либо еще доступа (супер) администратора, если только им не требуется такой уровень контроля над веб-сайтом, его функциями и пользователями. Поскольку читатели могут видеть «размещено» (имя пользователя) на вашем веб-сайте, администраторы — в качестве дополнительной меры предосторожности — должны настроить для себя дополнительного пользователя редактора и входить в систему только с учетной записью (супер) администратора, когда им нужно выполнить эти задачи более высокого уровня. Это означает, что хакеры-злоумышленники имеют еще меньше информации, на которую можно положиться, если они обдумывают атаку методом грубой силы.
Для получения дополнительной информации см. Как использовать роли пользователей WordPress для повышения безопасности WordPress.
Установите правильные инструменты и плагины для защиты паролей WordPress.
Один из способов, с помощью которого вы можете установить надежные пароли WordPress для своих пользователей, — это использовать плагин WPassword для:
- Установите надежные пароли на своих сайтах WordPress за считанные секунды
- Дайте советы, которые помогут пользователям придумывать надежные пароли (вместо того, чтобы угадывать)
- Настройте политики паролей для важных аспектов защиты паролей, таких как сложность пароля, история и возраст.
- Настройте политики паролей на основе роли пользователя, чтобы удовлетворить индивидуальные, специализированные роли или исключить определенных пользователей из определенных политик.
- Немедленный сброс всех паролей при обнаружении атаки
- Внедрите политику неактивных пользователей, чтобы устранить угрозу, создаваемую неактивными учетными записями пользователей, которые были настроены до того, как политика была введена в действие.
Подайте хороший пример для защиты паролем WordPress
Мы рекомендуем вам использовать безопасные учетные данные и призывать к этому своих пользователей.
- Объедините надежный пароль (см. Как выглядит надежный пароль?) с надежным именем пользователя.
- Как администратор, избегайте очевидных и слабых имен пользователей по умолчанию, таких как admin, default, password или guest.
- Не делайте так, чтобы плохим актерам было так легко обнаружить только одно удостоверение личности.
Помните, что если вы полагаетесь на меры безопасности паролей WordPress, вы также должны применять надежные пароли с помощью плагина. WordPress не имеет встроенного или стандартного принудительного применения надежных паролей.
Использовать менеджер паролей
Диспетчер паролей — это онлайн-сервис или программный клиент, который безопасно хранит учетные данные пользователей и управляет ими на нескольких веб-сайтах и в различных сервисах. Доступ к этой информации осуществляется с помощью единого главного пароля и опций многофакторной аутентификации. Популярные примеры включают 1Password и KeePass. Но, несмотря на то, что есть много онлайн-менеджеров паролей, это не заменит надежных резервных копий и надежности.
Преимущества использования менеджера паролей
- Им не нужно будет запоминать свои пароли для каждого веб-сайта — одновременно это одна из самых больших болевых точек на рабочем месте, которая «решается» ленивой и безумной практикой использования одних и тех же учетных данных во многих онлайн-сервисах.
- У них не возникнет соблазна хранить учетные данные для входа в систему в письменной форме, нарушающей правила защиты данных, или в онлайн-файлах, которые могут быть скомпрометированы.
- Это освободит пользователей от использования сложных и разных паролей. Многие менеджеры паролей имеют встроенный генератор паролей с удобным и быстрым всплывающим предложением в браузере, которое также мгновенно записывает новую запись.
- Они не оставят свою учетную запись или веб-сайт открытыми для злоумышленников и автоматических ботов.
- Менеджеры паролей часто отслеживают адреса электронной почты и предупреждают пользователей об их появлении в даркнете. И они также могут порекомендовать изменить повторно используемые или иным образом слабые пароли.
Включить двухфакторную или многофакторную аутентификацию»
Двухфакторная или многофакторная аутентификация — это дополнительный уровень учетных данных, который необходимо ввести, прежде чем пользователю будет предоставлен доступ к веб-сайту или приложению, в дополнение к традиционной комбинации имени пользователя и пароля. Он используется, когда кто-то уже использует надежные пароли, потому что многофакторный подход лучше всего подходит для безопасности WordPress. Надежные комбинации пароля и имени пользователя могут быть украдены. Одноразовый код, сгенерированный приложением и полученный по электронной почте или SMS, отправленному на личное устройство пользователя, учетную запись электронной почты или мобильный телефон, хакеру-злоумышленнику сложнее обойти.
Есть несколько альтернатив, которые претендуют на место лучших плагинов двухфакторной аутентификации для WordPress. Проверьте это. Но мы настоятельно рекомендуем наш собственный продукт — плагин WP 2FA. Он не только улучшит аутентификацию вашего веб-сайта WordPress, но и разработан с учетом простоты использования и настройки. Он также позволяет сделать двухфакторную аутентификацию обязательной с полностью настраиваемыми политиками двухфакторной аутентификации для разных ролей пользователей. Комбинация плагинов WPassword и WP 2FA делает ваши веб-сайты WordPress очень безопасными.
Обучите своих пользователей защите паролем WordPress
Пользователи вашего веб-сайта уже смутно знают, что существует необходимость в надежной защите паролем. Но они часто ничего не могут с этим поделать.
Итак, чему конкретно вам нужно их научить?
Расскажите о заслуживающих внимания утечках данных
Слабые пароли — одна из самых больших угроз безопасности веб-сайтов WordPress. Почему? Потому что слабые учетные данные, которые легко обойти с помощью грубой силы или атаки по словарю, являются основной причиной утечек данных, о которых мы все читаем в новостях. Добавьте к этому потери данных, вызванные украденными паролями по умолчанию или паролями, взятыми с утерянных или украденных устройств, и проблема умножится.
Что могут сделать злонамеренные хакеры и неавторизованные пользователи при доступе к вашему веб-сайту?
- На базовом уровне они могут изменить ваши конфигурации или внедрить вредоносное ПО.
- Они также могут перенаправлять трафик с вашего сайта или использовать его для распространения пиратского программного обеспечения.
- В самых серьезных атаках они могут украсть и неправомерно использовать конфиденциальные данные, создать фиктивные банковские платежи или собрать финансовую и другую информацию для перепродажи в даркнете.
- Помимо этой коммерческой деятельности, хактивисты могут политизировать или испортить ваш веб-сайт ненавистническими высказываниями.
Убедитесь, что ваши внутренние сотрудники осведомлены о серьезных последствиях в масштабах всей организации для внутренней информации компании и данных внешних клиентов, а также о штрафах или принудительных увольнениях компании. И повторяйте те же сообщения клиентам вашего веб-сайта, чтобы убедиться, что они отдают приоритет безопасности своих личных, финансовых, медицинских и других конфиденциальных данных.
Негативные последствия таких утечек данных для вашей организации и вашего веб-сайта огромны:
- Потеря репутации и доверия к вашей организации и веб-сайту
- Существенные штрафы от регулирующих органов, а также другие штрафы или отстранение от партнеров и клиентов
Применяйте политику надежных паролей
- Во-первых, расскажите своим пользователям обо всех элементах статьи Как выглядит надежный пароль? и преимущества использования менеджера паролей? Например, убедитесь, что они знают о постоянных и серьезно небезопасных формулировках паролей, таких как thisismypassword, 123456789, [mykidsname] или [mypetsname]. Вместо этого поощряйте использование сложных формулировок паролей (например , vqO&V13@H%fF или @iGOuqk%W0xY ). Не делитесь и не используйте эти конкретные примеры для каких-либо ваших служб или пользователей. Это просто примеры.
- Регулярно напоминайте внутренним сотрудникам о подписанной ими политике занятости и/или защиты данных, а также о личных юридических обязанностях, которые они несут по отношению к своему работодателю.
- Регулярно напоминайте внутренним сотрудникам, что политика защиты данных и заявления, сделанные компанией клиентам и клиентам, зависят от их соблюдения политики компании и что они могут иметь серьезные и необратимые юридические, финансовые, трудовые и правоохранительные последствия.
- Поощряйте пользователей создавать свои собственные безопасные пароли с помощью менеджеров паролей, в которых также есть инструменты для создания паролей. У большинства программ для управления паролями также есть свои собственные, что полезно при создании новых учетных записей для онлайн-сервисов и других сервисов.
Действия администратора для защиты пароля WordPress
- Проверьте надежность паролей ваших пользователей WordPress с помощью сканера, такого как WPScan.
- Используйте инструменты, которые злоумышленники используют, чтобы попытаться «угадать» пароли ваших пользователей. Планируйте атаки полным перебором и атаками по словарю самостоятельно!
- Блокируйте пользователей со слабыми паролями и отправляйте запрос на их сброс.
- Проводите семинары по использованию выбранного менеджера паролей.
Подчеркните преимущества использования диспетчера паролей для снятия стресса и экономии времени.
Многие из ваших пользователей могут видеть необходимость в надежных паролях, но не хотят их использовать из-за незнания и предполагаемых трудностей или затрат на практике. Именно здесь вы можете усилить простоту и преимущества использования диспетчера паролей, а также низкую стоимость, надежность и простоту хранения резервных копий учетных данных.
Это огромное преимущество только в том, что нужно помнить один пароль, а не несколько паролей.
С точки зрения пользователя, основными моментами являются:
- Они должны помнить только один пароль – блаженство!
- Диспетчер паролей будет действовать как новый генератор паролей, инструмент управления паролями и предлагать им ввести безопасные учетные данные на месте.
Подчеркните целесообразность инвестиций в надежную защиту паролей WordPress.
Мы должны смотреть фактам в лицо. Некоторые потенциальные пользователи не захотят регистрироваться на вашем веб-сайте, если им придется использовать надежные пароли и часто их менять. Эти процедуры требуют немного времени и усилий для первоначальной настройки. Некоторые сочтут это ненужной неприятностью, в то время как другие будут жаловаться, что это портит их пользовательский опыт на вашем веб-сайте.
Установление и применение строгой политики безопасности паролей WordPress, возможно, с использованием плагина, который различает политики паролей и уровни безопасности в зависимости от ролей пользователей, сведет беспокойство пользователя к минимуму.
Установить другие соответствующие гарантии
Как владелец веб-сайта или администратор WordPress, вот несколько заключительных предложений по более крупным проблемам, которые вам необходимо учитывать для защиты паролей WordPress:
- Ознакомьтесь с общими протоколами усиления безопасности и защиты WordPress для WordPress. Существуют определенные причины, по которым сайты WordPress взламываются. Вам как администратору или владельцу полезно знать, что это такое и как с ними обращаться. Да, слабые пароли — серьезная проблема, как и отсутствие 2FA и журналов активности. Но знаете ли вы, что использование устаревшего ядра WordPress, плагинов и другого программного обеспечения также является серьезной проблемой?
- Используйте плагин журнала активности WordPress, который позволит вам узнать, получили ли неавторизованные пользователи доступ к вашей учетной записи, и если да, то какой ущерб они нанесли. Наш журнал активности WP поможет вам выявить подозрительное поведение на самой ранней стадии и предотвратить любые вредоносные хакерские атаки на ваш сайт.
- Настройте политику неактивных или неактивных пользователей для своего веб-сайта WordPress. Забытые учетные записи пользователей являются легкой точкой входа для злонамеренных хакеров.
- Ваш веб-сайт может быть взломан, даже если вы используете надежные пароли и применяете политики надежных паролей для своих пользователей. Хорошо сразу узнать, взломан ли ваш веб-сайт. Это бесплатная служба уведомления об утечке данных, которую мы рекомендуем вам проверить.
У вас есть вопросы о защите паролем WordPress или о каких-либо продуктах, которые мы упомянули в этом блоге? Дайте нам знать ниже! И помните слова Криса Пирилло:
«Пароли как нижнее белье: их нельзя показывать людям, их нужно менять очень часто, и нельзя делиться ими с незнакомцами».
Получите 7-дневную пробную версию WPassword, чтобы испытать ее в действии и помочь пользователям вашего веб-сайта использовать надежные пароли WordPress.