WordPress 密码保护 – 完整指南
已发表: 2022-08-02这是针对企业网站管理员和所有者的 WordPress 密码保护“终极”或综合指南。 它是为那些管理或是 WordPress 网站管理员的人编写的。
根据 WordPress 和安全软件供应商的说法,除了角色之外,下一个最易受攻击且最容易强化的 WordPress 网站安全性是您对密码的使用。 有了登录凭据,有人可能会访问您的网站以及 WordPress 仪表板中可用的所有配置和数据。 登录用户可能会冒充您,添加、修改或删除项目,破坏您的网站并毁掉您的业务。
这篇博文提供了一系列最佳实践指南,以帮助您在整个组织中建立安全的 WordPress 密码保护,并让您的用户了解他们的使用方法。
目录
- 建立强大的密码安全策略
- 强密码是什么样的?
- WordPress 用户角色及其安全隐患
- 安装正确的 WordPress 密码安全工具和插件
- 为 WordPress 密码保护树立一个好榜样
- 聘请密码管理器
- 使用密码管理器的好处
- 启用两因素或多因素身份验证
- 教育您的用户了解 WordPress 密码保护
- 谈论有新闻价值的数据泄露
- 执行您的强密码策略
- WordPress 密码安全的管理员活动
- 强调使用密码管理器的压力消除和节省时间的好处
- 强调对强大的 WordPress 密码安全性的值得投资
- 建立其他相关保障措施
建立强大的密码安全策略
作为 WordPress 网站管理员,您有机会也有责任对您的用户实施强密码策略。 这样做,您将保护您的组织、其网站、数据、员工和其他用户免受一系列攻击。
- 对于公司及其内部员工,营销人员将需要访问 WordPress 网站来创建和编辑网站页面和博客文章,而其他人只需要访问权限来审核和回复评论。 另一方面,客户帐户管理或客户服务员工将需要不同级别的客户帐户访问权限,以响应支持请求。 在这种情况下,大多数内部员工用户将不需要访问客户帐户,但有些人会这样做。 从事 IT 支持工作的人员可能需要访问客户帐户的某些方面,但不是全部。
- 让我们考虑另一个观点,即电子商务 WordPress 网站上的外部用户的观点。 他们可能需要登录来管理他们的帐户、进行购买、跟踪交付或退货的状态,或联系客户支持。 例如,这些相同的用户不应被授予创建或删除网页的权限,或者能够查看其他客户的帐户和财务详细信息。 在某些情况下,电子商务网站根本不需要作为客户的用户创建帐户并登录,因为它有时可能成为获得销售的障碍。
为什么所有这些考虑都是必要的? 用户难道不知道如何创建和使用安全密码吗?
一般的计算机用户一般都没有受过关于 WordPress 密码保护或 WordPress 密码安全性的良好教育。 他们很可能会对自己的在线数据采取松懈的态度,并发现管理登录凭据的压力很大(所有这些我们将在后面讨论),他们将它们写在便签上并贴在他们的显示器上!
此外:
- 密码猜测机器人变得越来越复杂
- 恶意黑客仍在使用暴力破解和字典攻击
如果恶意黑客已经拥有可能构成弱密码一部分的真实姓名等个人信息,恶意黑客的恶意活动就会变得更加容易。
强密码是什么样的?
- 更长的密码——一般来说,密码越短,就越容易受到暴力破解或字典攻击。 当前最好的建议是为您的密码设置至少 16 个字符并允许空格。 一些密码生成器允许用户自定义他们创建的安全、随机密码的长度。
- 混合密码– 使用字符(大写和小写)、数字和特殊字符的随机组合。 这将保护您的密码免受字典攻击。 避免字典单词和字母或数字模式,用数字替换字母('@' 代替 'a','0' 代替 'O',包括键盘序列(qwerty)。
- 随机密码——让您的密码与您无关。 请勿使用您姓名的任何部分,或宠物、孩子或其他亲属姓名的任何部分。 不要使用您的出生日期、邮政地址或任何其他恶意黑客可以轻松连接到您的公共信息。 此外,避免使用同事或熟人可能猜到的信息,例如昵称。
- 更改密码- 定期重置密码(建议每三个月重设一次。)这会重新启动任何暴力尝试的时钟,并让您领先于不道德的黑客技术的进步。
- 不同的密码——为每个网站设置不同的密码。 这样,如果一个被破坏,其他的仍然是安全的。 每天使用密码管理器来存储、更新和使用它们。
- 保存的密码——不要使用浏览器配置、笔记本电脑或共享文件夹来保存密码,以防您的计算机被黑客入侵或被盗。 这就是密码管理器的用途!
WordPress 用户角色及其安全隐患
角色的配置对 WordPress 网站的安全性有很大的影响。 作为一般规则,WordPress 的安全性应与网站上包含或交换的敏感信息的级别成正比。
首先,让我们看一下管理员角色:
- 超级管理员– 分配给使用 WordPress 多站点网络的多站点所有者,它为您提供与管理员角色完全相同的权限
- 管理员- 在安装时自动分配给网站所有者/创建者,它使您可以完全控制网站,包括删除,他们可以:安装、编辑和删除主题和插件; 运行升级和更新; 创建、编辑和删除页面和博客文章; 添加、编辑和删除用户,包括其他管理员; 以及添加、编辑和删除媒体
所有其他用户角色,按权限范围递减的顺序列出:
- 编辑器——可以添加、编辑和删除新页面、博客文章、媒体; 创建类别和标签; 发布自己和他人撰写的内容; 和温和的评论
- 作者——只能添加、编辑和发布自己的内容; 上传媒体; 并将现有类别和标签分配给博客文章
- 贡献者——只能添加和编辑他们自己的内容; 并将现有的类别和标签分配给他们自己的博客文章
- 订阅者——只能更新自己的用户资料; 阅读他人的内容; 并添加评论
遵循最小权限原则,当您在 WordPress 中设置角色以委派任务时,请避免授予其他任何人(超级)管理员访问权限,除非他们需要对网站、其功能和用户具有这种级别的控制权。 由于读者可以在您的网站上看到“发布者”(用户名),作为额外的预防措施,管理员应该为自己设置一个额外的编辑器用户,并且只在需要执行时使用(超级)管理员帐户登录这些更高级别的任务。 这意味着如果恶意黑客正在考虑进行暴力攻击,他们可以依赖的信息就更少了。
有关详细信息,请参阅如何使用 WordPress 用户角色来提高 WordPress 安全性。
安装正确的 WordPress 密码安全工具和插件
您可以对用户强制使用强 WordPress 密码的一种方法是使用 WPassword 插件来:
- 在几秒钟内在您的 WordPress 网站上实施强密码
- 提供提示以帮助用户想出强密码(而不必猜测)
- 在密码保护的重要方面配置密码策略,例如密码复杂性、历史和年龄
- 根据用户角色配置密码策略,以适应定制的专家角色,或将特定用户排除在特定策略之外。
- 如果检测到攻击,请立即重置所有密码
- 实施休眠用户策略,以消除在策略实施之前设置的非活动用户帐户发布的威胁
为 WordPress 密码保护树立一个好榜样
我们建议您使用安全凭据,并且您还鼓励您的用户这样做。
- 将您的强密码(请参阅强密码是什么样的?)与强用户名相结合。
- 作为管理员,请避免使用明显且弱的默认用户名,例如 admin、default、password 或 guest
- 不要让坏演员变得如此容易,以至于他们只剩下一个凭证可以发现
请记住,如果您依赖 WordPress 密码安全措施,您还必须使用插件强制使用强密码。 WordPress 没有内置或默认的强密码强制执行。
聘请密码管理器
密码管理器是一种在线服务或软件客户端,可跨多个网站和服务安全地存储和管理用户凭据。 使用单个主密码和多因素身份验证选项访问此信息。 流行的例子包括 1Password 和 KeePass。 但是,即使有许多在线密码管理器,这也无法替代可靠的备份和可靠性。
使用密码管理器的好处
- 他们不必记住每个网站的密码是什么——同时也是工作场所最大的痛点之一,这是通过在许多在线服务中使用相同凭据的懒惰和疯狂的做法“解决”的。
- 他们不会试图以违反数据保护法规的书面形式或可能被泄露的在线文件存储登录凭据。
- 它将解放用户使用复杂和不同的密码。 许多密码管理器都有一个内置的密码生成器,带有方便快捷的浏览器弹出建议,还可以立即记录新记录。
- 他们不会让他们的帐户或网站对恶意黑客和自动机器人开放。
- 密码管理员经常监控电子邮件地址,并在用户出现在暗网上后提醒他们。 而且,他们还可能建议更改重复使用的或其他弱密码。
启用两因素或多因素身份验证”
除了传统的用户名和密码组合之外,双因素或多因素身份验证是在授予用户访问网站或应用程序之前必须输入的额外凭据层。 当有人已经在使用强密码时使用它,因为多因素方法最适合 WordPress 安全性。 强密码和用户名组合可能会被盗。 一次性代码由应用程序生成,并通过发送到用户个人设备、电子邮件帐户或手机的电子邮件或 SMS 接收,恶意黑客更难以规避。
有几种替代方案声称是 WordPress 最好的两因素身份验证插件。 检查这些。 但我们强烈推荐我们自己的产品——WP 2FA 插件。 它不仅会改善您的 WordPress 网站的身份验证,而且在设计时考虑到了易用性和设置的简单性。 它还允许您强制执行 2FA,并为不同的用户角色提供完全可配置的 2FA 策略。 WPassword 和 WP 2FA 插件的组合使您的 WordPress 网站超级安全。
教育您的用户了解 WordPress 密码保护
您的网站用户已经模糊地知道需要强大的密码安全性。 但他们经常对此无能为力。
那么,具体来说,您需要对他们进行哪些教育?
谈论有新闻价值的数据泄露
弱密码是 WordPress 网站安全的最大威胁之一。 为什么? 因为弱凭证——很容易被暴力破解或字典攻击绕过——是我们在新闻中读到的数据泄露的主要原因。 再加上默认密码或被盗密码或从丢失或被盗设备中获取的密码导致的数据丢失,问题就会成倍增加。
恶意黑客和未经授权的用户在访问您的网站时会做什么?
- 在基本层面上,他们可以更改您的配置或插入恶意软件
- 他们还可以将流量重定向到您的网站或使用它来分发盗版软件
- 在最严重的攻击中,他们可以窃取和滥用敏感数据,制造虚假银行费用,或收集财务和其他信息以在暗网上转售
- 除了这些商业活动之外,黑客活动分子还可以用仇恨言论将您的网站政治化或破坏
确保您的内部员工用户了解对内部公司信息和外部客户数据的重大组织范围内的影响,以及罚款或强制公司罢工。 并且,向您的网站客户重复相同的信息,以确保他们优先考虑自己的个人、财务、健康和其他敏感数据的安全。
此类数据泄露可能对您的组织和网站产生巨大的负面影响:
- 对您的组织和网站失去声誉和信心
- 来自监管机构的巨额罚款,以及来自合作伙伴和客户的其他处罚或解约
执行您的强密码策略
- 首先,让您的用户了解强密码是什么样的? 以及使用密码管理器的好处? 例如,确保他们知道持久且严重不安全的密码公式,例如thisismypassword、123456789、 [mykidsname] 或 [mypetsname]。 并且,鼓励使用强密码公式(例如vqO&V13@H% fF 或@iGOuqk%W0xY )。 不要为您的任何服务或用户共享或使用这些特定示例。 它们只是示例。
- 定期提醒内部员工他们签署的雇佣和/或数据保护政策,以及他们对雇主的个人法律责任。
- 定期提醒内部员工,公司向客户和客户作出的数据保护政策和声明依赖于他们遵循公司政策,并且它们具有潜在的严重和永久的法律、财务、就业和执法影响。
- 鼓励用户使用同样具有密码生成器工具的密码管理器创建自己的安全密码。 大多数密码管理器软件也会有自己的,这在您为在线和其他服务创建新帐户时很有帮助。
WordPress 密码安全的管理员活动
- 使用扫描仪(例如 WPScan)检查 WordPress 用户密码的密码强度。
- 使用恶意黑客使用的工具来尝试“猜测”您用户的密码。 自己安排蛮力和字典攻击!
- 锁定密码较弱的用户并发送提示以重置密码。
- 举办有关如何使用所选密码管理器的研讨会。
强调使用密码管理器的压力消除和节省时间的好处
您的许多用户可能会看到需要强密码,但由于不熟悉以及在实践中感知到的困难或成本而不愿意使用它们。 在那里,您可以加强使用密码管理器的便利性和优势,以及低成本、可靠性和易于保存凭据备份的优势。
只需记住一个密码而不是多个密码,这是一个巨大的优势。
从用户的角度来看,亮点是:
- 他们只需要记住一个密码——幸福!
- 密码管理器将充当新的密码生成器、密码管理工具和现场为他们输入安全凭据的提示
强调对强大的 WordPress 密码安全性的值得投资
我们需要面对事实。 如果一些潜在用户被迫使用强密码并经常更改密码,他们将被推迟注册您的网站。 最初设置这些程序需要一些时间和精力。 有些人会认为这是他们不想要的麻烦,而另一些人会抱怨这会破坏他们对您网站的用户体验。
建立和执行强大的 WordPress 密码安全策略,可能使用根据用户角色区分密码策略和安全级别的插件,将用户干扰降至最低。
建立其他相关保障措施
作为网站所有者或 WordPress 管理员,以下是一些关于 WordPress 密码安全性需要考虑的更大问题的结论性建议:
- 熟悉 WordPress 的通用 WordPress 安全强化和保护协议。 WordPress网站被黑客入侵有特定的原因。 作为管理员或所有者,了解这些是什么以及如何处理它们对您有利。 是的,弱密码是一个主要问题,缺少 2FA 和活动日志也是如此。 但是您知道使用过时的 WordPress 核心、插件和其他软件也是一个严重的问题吗?
- 使用 WordPress 活动日志插件,让您知道未经授权的用户是否访问了您的帐户,如果是,他们造成了什么损害。 我们的 WP 活动日志可帮助您尽早识别可疑行为并防止对您的网站进行任何恶意黑客攻击。
- 为您的 WordPress 网站设置休眠或非活动用户策略。 被忽视的用户帐户是恶意黑客的一个轻松入口。
- 即使您使用强密码并对用户实施强密码策略,您的网站也可能被黑客入侵。 如果您的网站遭到入侵,最好立即知道。 这是一项免费的数据泄露通知服务,我们建议您查看。
您对 WordPress 密码保护或我们在这篇博文中提到的任何产品有任何疑问吗? 请在下面告诉我们! 记住 Chris Pirillo 的话:
“密码就像内衣:不要让别人看到,要经常更换,不要与陌生人分享。”
获得 WPassword 的 7 天试用版以体验它并帮助您的网站用户使用强大的 WordPress 密码