如何实施 WordPress 密码安全准则

已发表: 2022-12-22

站点安全需要访问它的用户的参与。 例如,虽然您需要保护您的 WordPress 登录页面(因为它是一个入口点),但您的用户选择的凭据也需要强大。 这几乎可以肯定恶意用户不会免费访问您的网站。

对于本教程,我们将研究如何实施 WordPress 密码安全准则。 它将涵盖我们关于 WordPress 密码保护的配套文章的一些基础知识。 但是,它还将讨论如何确保用户按照您自己的强密码策略遵循这些准则。

为什么密码安全如此重要

从表面上看,这应该很简单:强密码意味着黑客和其他恶意用户将更难侵入您的网站。 但是,这里还有更多需要考虑的因素:

  • 强密码只是链条中的一个环节。 但是,如果没有它们,您的安全枷锁将很快被腐蚀。
  • 您可以通过设置经常更改的强密码来打击您网站上的假冒用户或机器人。
  • WordPress 是一个安全的平台。 然而,WordPress 的流行意味着它是一个共同的目标。 强大(和彻底)的密码安全策略将保护整个站点。

总的来说,强大的密码安全性对您的网站至关重要。 事实上,WordPress 包含帮助您为注册和注册设置更强密码的功能。

WordPress 如何帮助您为所有用户实施强密码

WordPress.org 网站提供了自己的 WordPress 密码最佳实践列表,但该平台现在包括鼓励用户使用强密码的方法。 您可以从 WordPress 仪表板上的用户个人资料页面对此进行测试:

显示密码字段的 WordPress 配置文件页面。
显示密码字段的 WordPress 配置文件页面。

默认情况下,账户管理部分包括两个选项,但这里只对其中一个感兴趣。 您可以使用“设置新密码”按钮打开一个字段,该字段将自动填充一个强而独特的密码。 用户在这里需要做的就是复制密码以存储它(稍后会详细介绍)并保存更改。

在 WordPress 中设置新的强密码。
在 WordPress 中设置新的强密码。

但是,如果用户尝试设置弱密码,您会发现对话框和选项发生变化以反映这一点:

试图在 WordPress 中设置弱密码。
试图在 WordPress 中设置弱密码。

在这种情况下,用户需要通过复选框确认他们想要使用弱密码。 然而,虽然这是一个额外的步骤,但大多数用户可能会单击该按钮并保存更改。

这并不理想,因为它会成为您网站的漏洞之一。 相反,您需要实施密码安全策略。

为什么您需要为您的站点和用户制定可靠的密码安全策略

我们在 WordPress 密码保护完整指南中讨论了密码策略。 但是,总而言之,强大的密码安全策略将使大部分过程脱离用户的控制。

因此,他们无需担心复杂的密码破解机器人或暴力攻击。 相反,您可以为您的用户提供符合您的指导方针的政策,让他们继续安全地与您的网站互动。

但是,重要的是要了解强密码策略是什么样的。 我们接下来讨论这个。

强密码安全策略的要素

强密码安全策略的主要好处之一是您可以根据自己和用户的需要对其进行自定义。 但是,您可以制定许多 WordPress 密码规则和政策来支持您的网站并保护用户:

  • 您可以确保所有密码的最小长度。
  • 您还想设置密码过期时间。 否则,您会发现同一用户的密码将长期存在,这是有风险的。 强制过期使用户有动力创建新的强密码。
  • WordPress 用户角色也可以有不同的密码规则。 例如,管理员可能会想要比贡献者更严格的政策。

稍后,我们将详细讨论如何使用 WordPress 的专用策略插件实施强密码。 不过,首先,我们将介绍强密码安全性的一些基本要素。

WordPress 密码安全指南:清单

接下来,让我们谈谈您的用户应该遵循并且您应该实施的一些关键密码安全指南。 这是一个简短的清单,因为只要稍加小心和思考,您不需要很多元素就可以让所有用户拥有强大的凭据。

我们将从您可以应用的最基本因素之一开始。

1.确保您的密码又长又强

许多关于选择强密码的讨论都重视多样性和随机因素。 例如,特殊字符在您随机生成的密码中可能很重要:

使用在线工具生成新密码。
使用在线工具生成新密码。

但是,如果您采用相同的理念并以错误的方式实施它,您最终可能会选择糟糕的密码:

用特殊字符替换密码中的字母,导致密码强度低。
用特殊字符替换密码中的字母,导致密码强度低。

相反,我们现在知道密码长度对其强度比字符的多样性更重要。 这种理念甚至进入了流行媒体,例如来自 XKCD 的密码卡通:

XKCD 卡通显示密码长度比使用特殊字符更强大。
XKCD 卡通显示密码长度比使用特殊字符更强大。

但是,您最好也实现特殊字符和数字。 毕竟,如果将长度和多样性结合起来,您将拥有更强大的密码。

2. 使用密码管理器来存储您的凭据

使用长密码的一个缺点是它们很难记住,这可能就是为什么典型的建议通常建议使用混合字符的原因。 过去,我们没有创建、存储和恢复密码的工具。 然而,现代技术有许多密码管理器应用程序可供选择。

1Password 应用程序徽标。

一些最受欢迎的选择包括 1Password 和 LastPass。 大多数浏览器现在也包含创建和存储密码的功能。 事实上,三大玩家——Google Chrome、Apple Safari 和 Mozilla Firefox——都可以帮助用户存储密码。 但是,这不是最佳安全性的好主意。

Brave 浏览器密码管理器工具。
Brave 浏览器密码管理器工具。

在许多情况下,这些浏览器还将具有与第三方应用程序集成的扩展。 对于初学者来说,您将使您的密码数据远离任何潜在的浏览器漏洞。 更重要的是,您将拥有额外的安全层。

大多数第三方密码管理器将提供数据加密以及双因素身份验证 (2FA)。此外,您将拥有比浏览器更好的生活质量功能。 例如,大多数密码管理器会监控您的凭据并在它们被泄露时通知您。

3.定期更新密码

更新您的密码几乎是密码安全的一个不可协商的因素。 毕竟,没有密码是 100% 安全的,这意味着它存在被破解和泄露到网络上的可能性,无论它有多微小。

因此,更改所有登录密码是 WordPress 网站用户确保泄露或破解密码不再有效的必要步骤。 我们建议在以下任何情况下立即更改密码:

  • 如果您的 WordPress 网站或帐户遭到黑客攻击、遭到破坏,或者您在服务器上发现了恶意软件。
  • 公司范围内的数据泄露也是您希望用户更改密码的时候。 虽然您可以只关注受影响的帐户,但最好要求所有用户更改密码以防万一。
  • 如果您选择从网络中删除某人,最好至少更改他们帐户的密码。 完成所有操作后,您可以完全删除用户帐户。

在其他一些情况下,您需要确保根据特定情况更改密码。 例如,许多公共 Wi-Fi 插座将只提供不安全的网络来浏览网页。 如果您处理敏感信息,您可能会违反在这些情况下保护数据的法律要求。 正因为如此——而且使用公共 Wi-Fi 无论如何都不是一个好习惯——如果你发现自己需要使用不安全的网络,你总是想更改密码。

为您的 WordPress 网站实施强密码的最佳方式

WordPress 自己的密码安全功能作为帮助保护用户的基本方法是很好的,但它也有缺点。 相反,WordPress 插件可以缩小差距并添加您需要的有用功能来实施强密码策略和安全性。

WordPress 安全插件对任何网站都至关重要,但这可能并不总是包含实现 WordPress 密码安全所需的一切。 这就是为什么 WPassword 将成为您当前安全措施的一个很好的补充。

W密码插件。

安装并激活 WPassword 后,您可以轻松地在 WordPress 仪表板上找到该插件。 WPassword > 密码策略屏幕为您提供第一个任务:打开核心策略功能。 执行此操作后,您会看到一大堆选项:

在 WPassword 插件中切换密码策略。
在 WPassword 插件中切换密码策略。

密码策略编辑器功能强大,包含您在网站上强制使用强密码所需的所有功能:

  • 您可以指定密码的最小长度,并确定密码是否必须包含数字、大小写字母、特殊字符,甚至可以屏蔽某些字符。
  • 有一个简单的字段可以根据您自己的需要和愿望来实现密码过期时间。 您甚至可以使用一键式功能来批量重置密码。
  • 您还可以为不活跃的用户设置时间范围,届时他们将被自动锁定。

WPassword 还包括更多功能来帮助您实施 WordPress 密码安全策略。 例如,您可以选择不允许使用旧密码。 更好的是,配置这些选项中的每一个都使用复选框和下拉菜单的默认 WordPress 界面,无需代码。

包起来

如果您的 WordPress 网站用户不使用强密码,当然,您可能会面临安全漏洞的风险。 这可能会产生无法弥补的后果。 因此,您需要使用 WPassword 自定义专用密码策略。

该插件可让您创建强密码策略并强制执行。 您的用户无需费力,但您将确保您的 WordPress 网站的安全性比以前强得多。

您对如何在您的网站上实施 WordPress 安全准则有任何疑问吗? 在下面的评论部分提问!