Warum eine starke Passwortrichtlinie für Ihre WordPress-Website so wichtig ist
Veröffentlicht: 2020-09-10Wenn Sie schon eine Weile eine WordPress-Site verwalten, fragen Sie sich vielleicht, warum eine starke Passwortrichtlinie so wichtig ist. Sicherlich sind sich die Benutzer bewusst, dass sie starke Passwörter verwenden müssen? Leider verwenden viele Benutzer wissentlich schwache Passwörter, wodurch Ihre WordPress-Site einem Risiko ausgesetzt wird.
Es gibt unterschiedliche Gründe, warum dies weiterhin auftritt. Manche möchten sich kein komplexes Passwort merken müssen. Während andere dasselbe Passwort gerne über mehrere Sites hinweg verwenden. In jedem Fall schützt Sie die Durchsetzung einer Richtlinie für starke Kennwörter vor der schlechten Kennwortwahl der Benutzer, wie z. B. password123 .
In diesem Beitrag erklären wir, warum Passwortsicherheit so wichtig ist und wie Sie mit nur wenigen Klicks garantieren können, dass alle Benutzer ein sicheres Passwort wählen. Doch schauen wir uns zunächst einmal an, wie Sie mit Hilfe eines Passwort-Managers sicherstellen können, dass alle Nutzer ein sicheres Passwort wählen.
Warum Sie einen Passwort-Manager verwenden sollten
Knapp 75 % der Website-Benutzer haben Probleme, sich an ihre Passwörter zu erinnern. Dies fördert riskantes Verhalten wie die Wiederverwendung von Kennwörtern über mehrere Websites hinweg oder das Speichern sensibler Kennwörter in Online-Dateien, die kompromittiert werden könnten. Genau aus diesem Grund scheitern viele WordPress-Administratoren daran, strenge Passwortrichtlinien durchzusetzen. Sie befürchten, dass ihre Benutzer abgeschreckt werden, wenn sie gezwungen werden, sich komplizierte Passwörter zu merken.
Ob sich ein Benutzer an sein Passwort erinnern kann oder nicht, sollte jedoch nicht in die Gleichung einfließen. Durch die Verwendung eines Passwort-Managers können Sie sehr starke, schwer zu erratende und eindeutige Passwörter verwenden, ohne sich diese merken zu müssen.
Was ist ein Passwort-Manager?
Ein Passwort-Manager ist eine Software oder ein Online-Dienst, der Ihre Zugangsdaten für verschiedene Online-Konten sicher speichert. Alle Informationen innerhalb des Passwort-Managers sind durch ein Master-Passwort geschützt. Viele ermöglichen auch die Zwei-Faktor-Authentifizierung, was sie noch sicherer macht.
Indem Sie die Verwendung eines Passwort-Managers fördern, müssen sich Ihre WordPress-Benutzer nur noch ein Master-Passwort merken. Dadurch wird es für sie viel einfacher, Ihre strengen Passwortrichtlinien einzuhalten. Wir empfehlen entweder 1Password oder KeePass, da wir beide regelmäßig verwenden.
Was ist eine starke Passwortrichtlinie (und Passwortsicherheit)?
Die Implementierung einer Richtlinie für sichere Kennwörter erfordert mehrere Schritte. Viele WordPress-Administratoren glauben, dass sie sich ausschließlich auf den eigenen Passwort-Sicherheitsmesser von WordPress verlassen können. Das funktioniert nicht, da es den Benutzern nur empfiehlt, stärkere Passwörter zu verwenden, sie aber nicht dazu zwingt, wie in erklärt, wie man starke Passwörter in WordPress erzwingt. Und nur eine einfache Richtlinie zur Mindestkennwortlänge reicht nicht aus, um eine Sicherheitsverletzung zu verhindern.
Während die Passwortlänge ein wesentlicher Faktor ist; Es muss von den folgenden zusätzlichen Passwortrichtlinien begleitet werden:
- Groß-und Kleinbuchstaben
- Zahlen
- Spezielle Charaktere
- Regelmäßig wechselnd
- Blockieren der Wiederverwendung alter Passwörter
Der Ansatz für Ihre Passwortrichtlinie muss mehrgleisig sein. Andernfalls sind die Passwörter nicht stark genug, um das Potenzial einer Verletzung Ihrer WordPress-Site auszumerzen.
Warum ist eine starke Passwortrichtlinie so wichtig?
Die Implementierung einer starken Passwortrichtlinie ist so wichtig, weil sie vor einer Reihe von Angriffen schützt. Automatisierte Passwort-Erraten-Bots sind ausgeklügelt geworden. Wenn es Hackern gelungen ist, die mit einem WordPress-Konto verknüpfte E-Mail zu finden, könnten sie diese Software verwenden, um mit Brute-Force in das Konto einzudringen.
Ein Wörterbuchangriff ist eine der am häufigsten verwendeten Techniken für den Brute-Force-Zugriff auf das Konto eines Benutzers. Es funktioniert, indem Tausende oder sogar Millionen wahrscheinlicher Möglichkeiten ausprobiert werden, z. B. Wörter in einem Wörterbuch oder zuvor verwendete Passwörter, die aus früheren Sicherheitsverletzungen stammen. Aus diesem Grund sind alphanumerische Passwörter unerlässlich. Eine Reihe von Wörterbuchwörtern kann innerhalb weniger Millisekunden geknackt werden. Selbst ein Passwort mit mehr als zehn Zeichen Länge reicht nicht aus.
Starke Passwortrichtlinien schützen Websites auch vor manuellen Hacking-Versuchen. Dies ist ein Szenario, bei dem ein Cyberkrimineller an persönliche Informationen (z. B. das Geburtsdatum oder die Adresse eines Benutzers) gelangt ist, die häufig Teil schwacher Passwörter sind, die von sorglosen Benutzern festgelegt wurden.
Welche Eigenschaften hat ein starkes Passwort?
Unabhängig davon, ob Sie einen automatisierten Passwortgenerator verwenden oder Ihren eigenen erstellen, ist es hilfreich, genau zu wissen, worauf Sie sich konzentrieren müssen, um Ihre WordPress-Passwörter so sicher wie möglich zu machen.
Längere Passwörter sind stärker
Der erste Punkt, auf den Sie sich konzentrieren sollten, ist die Länge. Längere Passwörter sind fast immer stärker. Moderne Technologie kann ein siebenstelliges Passwort mit nur Buchstaben in nur 0,29 Millisekunden erraten. Ein zehnstelliges Passwort würde vier Monate dauern. Steigern Sie das auf bis zu 12 Zeichen, und plötzlich würde es zwei Jahrhunderte dauern, bis Ihr Passwort geknackt ist. Keine schlechte Rendite für ein paar zusätzliche Charaktere.
Alle Passwörter sollten alphanumerisch sein
Stellen Sie als Nächstes sicher, dass Sie sowohl alphabetische als auch numerische Zeichen enthalten, um eine weitere Ebene der Komplexität hinzuzufügen. Ein Passwort von „ 123456789“ könnte Hunderte Male pro Sekunde geknackt werden. Indem Sie jedoch den Buchstaben A an der Vorderseite hinzufügen, um „ A23456789″ zu erhalten, können Sie jahrzehntelangen Schutz vor Brute-Force-Techniken genießen.
Geben Sie immer Sonderzeichen ein
Stellen Sie als Nächstes sicher, dass Sie ein Sonderzeichen sowie Groß- und Kleinbuchstaben einfügen, um die Komplexität weiter zu erhöhen. „ Passwort“ konnte in Millisekunden geknackt werden. Aber „ P@ssw0rD“ würde 14 Jahre dauern.
Alle paar Monate sollten Sie Ihre Passwörter ändern
Die Technologie zum Knacken von Passwörtern schreitet immer schneller voran. Je länger Sie also ein Passwort beibehalten, desto anfälliger wird es. Daher ist ein regelmäßiger Wechsel unerlässlich. Es schützt Ihre Konten auch vor böswilligen Übernahmen, wenn alte Passwortinformationen aus Sicherheitsverletzungen auf anderen Websites gesammelt werden.
Welche Gefahren birgt ein schwaches Passwort?
Abhängig von der Art der WordPress-Site, die Sie betreiben, kann ein schwaches Passwort ein großes Risiko darstellen. Wenn Sie beispielsweise einen E-Commerce-Shop betreiben, könnte ein Benutzer seine Zahlungsinformationen riskieren, wenn er ein unsicheres Passwort hat.
Nicht nur das, ein Hacker könnte auch Zugriff auf das Konto eines Käufers erlangen und damit beginnen, Code auf Ihrer Website zu platzieren, um die Informationen verschiedener Kartendetails zu sammeln. Cyberkriminelle verkaufen diese Informationen dann im Dark Web. Wenn sich herausstellt, dass Sie eine Datenschutzverletzung dieser Art geleitet haben, verlieren Ihre Kunden das Vertrauen in die Sicherheit Ihrer Website. Schlimmer noch, Sie könnten am falschen Ende einer beträchtlichen Geldbuße einer nationalen Regulierungsbehörde stehen.
Personen mit anderen Absichten (z. B. Hacktivisten) können Ihre Website mit politischen Slogans oder rassistischen Beleidigungen unkenntlich machen. Erschüttern Sie erneut das Vertrauen Ihrer Besucher und beschmutzen Sie den Ruf Ihres Unternehmens.
Schwache Passwörter sind eine der Hauptursachen für Datenschutzverletzungen
Vergessen Sie nicht, dass modernste Hacking-Software 10 Milliarden Passwortkombinationen in Sekundenschnelle erraten kann. Schwache Passwörter sind häufig für die oben genannten Szenarien verantwortlich. Eine Studie von Verizon aus dem Jahr 2016 ergab, dass 63 % der bestätigten Datenschutzverletzungen die Verwendung schwacher, standardmäßiger oder gestohlener Passwörter beinhalten. Untersuchungen von Bitglass ergaben, dass 25 % aller Sicherheitsverletzungen in der Finanzdienstleistungsbranche seit 2006 auf verlorene oder gestohlene Geräte (und die daraus gestohlenen Passwörter) zurückzuführen sind.
Diese beiden Fälle veranschaulichen perfekt die Gefahren, die sowohl mit schwachen Passwörtern als auch mit Passwortrichtlinien verbunden sind, die keine regelmäßige Passwortänderung erzwingen. Aus diesem Grund ist es so wichtig, dass Sie eine starke Passwortrichtlinie verwalten.
Aber Sie fragen sich vielleicht genau, wie Sie dieses Ergebnis für Ihre WordPress-Site erreichen können. Glücklicherweise gibt es ein benutzerfreundliches Plugin, das Ihre Website in wenigen Minuten vor schwachen Passwörtern schützen kann.
So richten Sie mit WPassword Ihre eigene Richtlinie für sichere Kennwörter ein
Mit dem WPassword-Plug-in können Sie eine starke Passwortrichtlinie erzwingen, einschließlich:
- Mindestpasswortlängen
- Obligatorische Verwendung von Groß- und Kleinbuchstaben
- Die Anforderung, Zahlen zu verwenden
- Die obligatorische Verwendung von Sonderzeichen
- Und vieles mehr (lesen Sie die vollständige Liste der Plugin-Funktionen für weitere Informationen)
Um loszulegen, laden Sie einfach WPassword herunter und installieren Sie es. Gehen Sie dann über den Knoten „Passwortrichtlinien“ im Einstellungsmenü, das Sie in Ihrem WordPress-Dashboard finden.
So verwenden Sie WPassword
Hier können Sie die Passwortrichtlinien Ihrer Website konfigurieren und Ihre Benutzer zwingen, starke WordPress-Passwörter zu verwenden. Sie können die oben beschriebenen Regeln für Passwörter festlegen und eine Ablaufrichtlinie für Passwörter implementieren. Diese Richtlinie stellt sicher, dass Benutzer ihre Passwörter häufig ändern und alte nicht wiederverwenden.
WPassword ermöglicht es WordPress-Administratoren außerdem:
- Ausnehmen bestimmter Benutzer oder Rollen von den Kennwortrichtlinien
- Geben Sie an, wann Benutzersitzungen nach Ablauf des Kennworts beendet werden
- Setzen Sie alle Passwörter mit nur einem Mausklick zurück
Im Falle eines WordPress-Hacks kann Ihnen diese letzte Funktion dabei helfen, die Kontrolle über Ihre Benutzerkonten zurückzugewinnen, indem Sie alle Benutzer ausschließen und sie bitten, ihre Passwörter zurückzusetzen.
Schließlich können Sie in den Einstellungen dieses Plugins auch auswählen, inaktive Konten mithilfe der Richtlinie für inaktive WordPress-Benutzer zu deaktivieren. Inaktive Konten sind besonders anfällig, da sie wahrscheinlich vor Jahren eingerichtet wurden, bevor Sie eine starke Passwortrichtlinie durchgesetzt haben. Hacker zielen genau aus diesem Grund auf sie ab. Stellen Sie also sicher, dass Sie inaktive Benutzer sperren, um diese böswilligen Eindringlinge daran zu hindern, diese Konten zu kapern.
Beginnen Sie mit der Einrichtung Ihrer Richtlinie für sichere Kennwörter
Hoffentlich sollten Sie jetzt verstehen, warum eine starke Passwortrichtlinie für die Sicherheit Ihrer WordPress-Website so wichtig ist. Automatisierte Hacking-Software kann schwache Passwörter leicht knacken, und die Folgen einer Verletzung des Benutzerkontos könnten katastrophal sein.
Daher ist es sinnvoll, das WPassword- Plugin zu verwenden, damit Sie:
- Erzwinge sichere Passwörter für deine Benutzer
- Ablaufdaten an Passwörter anhängen
- Sperren Sie inaktive Benutzer
- Ausnehmen bestimmter Benutzerrollen
- Setzen Sie alle Passwörter mit nur einem Klick zurück
Laden Sie WPassword herunter , um loszulegen.
Bonus-Tipp: Füge 2FA für eine noch stärkere WordPress-Authentifizierung hinzu
Installieren Sie die Zwei-Faktor-Authentifizierung, um Ihre Website mit dem WP 2FA-Plugin für WordPress nahezu undurchdringlich zu machen.
Durch die Implementierung der Zwei-Faktor-Authentifizierung fordern Sie die Benutzer auf, sich mit einem anderen Passwort, einem anderen Gerät oder einer biometrischen Information zu identifizieren. Daher kann diese zusätzliche Sicherheitsebene Benutzerkonten schützen, selbst wenn ein Hacker die richtige Kombination aus Benutzername und Passwort hat.