Perché una politica di password forte è così importante per il tuo sito Web WordPress

Pubblicato: 2020-09-10

Se gestisci un sito WordPress da un po', ti starai chiedendo perché una politica di password forte è così importante. Sicuramente gli utenti sono consapevoli di dover utilizzare password complesse? Sfortunatamente, molti utenti utilizzano consapevolmente password deboli, mettendo a rischio il tuo sito WordPress.

Ci sono diverse ragioni per cui questo continua a verificarsi. Alcuni non vogliono dover ricordare una password complessa. Mentre ad altri piace riutilizzare la stessa password su più siti. In ogni caso, l'applicazione di una policy password forte ti protegge dalle scelte sbagliate delle password degli utenti come password123 .

In questo post, spiegheremo perché la sicurezza della password è così vitale e come puoi garantire che tutti gli utenti scelgano una password complessa con pochi clic. Ma prima, esaminiamo come puoi garantire che tutti gli utenti scelgano una password complessa con l'aiuto di un gestore di password.

Perché dovresti usare un gestore di password

Poco meno del 75% degli utenti di siti Web ha difficoltà a ricordare le proprie password. Ciò determina comportamenti rischiosi come il riutilizzo delle password su più siti o l'archiviazione di password sensibili in file online che potrebbero essere compromessi. È per questo preciso motivo che molti amministratori di WordPress non riescono a imporre politiche di password complesse. Sono preoccupati che i loro utenti vengano scoraggiati se costretti a ricordare password complicate.

Tuttavia, se un utente può ricordare la propria password o meno non dovrebbe rientrare nell'equazione. Utilizzando un gestore di password, puoi utilizzare password molto forti, difficili da indovinare e distinte senza doverle ricordare.

Che cos'è un gestore di password?

Un gestore di password è un software o un servizio online che memorizza le tue credenziali per diversi account online in modo sicuro. Tutte le informazioni all'interno del gestore password sono protette da una password principale. Molti facilitano anche l'autenticazione a due fattori, rendendola ancora più sicura.

Promuovendo l'uso di un gestore di password, i tuoi utenti WordPress dovranno ricordare solo una password principale. Pertanto, diventa molto più facile per loro rispettare la tua rigorosa politica sulle password. Raccomandiamo 1Password o KeePass, poiché li usiamo entrambi regolarmente.

Che cos'è una policy password complessa (e sicurezza password)?

L'implementazione di una policy password complessa richiede più passaggi. Molti amministratori di WordPress credono di poter fare affidamento esclusivamente sul misuratore di sicurezza delle password di WordPress. Ciò non funziona poiché consiglia solo agli utenti di utilizzare password più forti, ma non li obbliga a farlo, come spiegato in come forzare password complesse su WordPress. E solo una semplice politica di lunghezza minima della password non è sufficiente per prevenire una violazione della sicurezza.

Mentre la lunghezza della password è un fattore significativo; deve essere accompagnato dalle seguenti politiche di password aggiuntive:

  • Lettere maiuscole e minuscole
  • Numeri
  • Personaggi speciali
  • Cambiare regolarmente
  • Blocco del riutilizzo delle vecchie password

L'approccio alla politica delle password deve essere su più fronti. In caso contrario, le password non saranno abbastanza forti da eliminare il potenziale di violazione del tuo sito WordPress.

Perché una policy password forte è così importante?

L'implementazione di una policy password forte è così importante perché protegge da una serie di attacchi. I robot automatizzati per indovinare le password sono diventati sofisticati. Se gli hacker sono riusciti a trovare l'e-mail associata a un account WordPress, potrebbero utilizzare questo software per farsi strada con la forza bruta nell'account.

Un attacco dizionario è una delle tecniche più comuni utilizzate per l'immissione di forza bruta nell'account di un utente. Funziona provando migliaia o addirittura milioni di possibili possibilità, come parole in un dizionario o password utilizzate in precedenza ottenute da precedenti violazioni della sicurezza. Ecco perché le password alfanumeriche sono fondamentali. Una stringa di parole del dizionario può essere decifrata in pochi millisecondi. Anche avere una password lunga più di dieci caratteri non sarà sufficiente.

Le forti politiche sulle password proteggono anche i siti Web dai tentativi di hacking manuali. Questo è uno scenario in cui un criminale informatico ha ottenuto informazioni personali (come la data di nascita o l'indirizzo di un utente), che spesso fanno parte di password deboli impostate da utenti negligenti.

Quali sono le qualità di una password complessa?

Sia che utilizzi un generatore di password automatizzato o ne crei uno tuo, è utile sapere esattamente su cosa devi concentrarti per rendere le tue password WordPress il più sicure possibile.

Le password più lunghe sono più forti

Il primo elemento su cui dovresti concentrarti è la lunghezza. Le password più lunghe sono quasi sempre più forti. La tecnologia moderna può indovinare una password di sette caratteri con solo lettere in soli 0,29 millisecondi. Una password di dieci caratteri richiederebbe quattro mesi. Aumenta fino a 12 caratteri e improvvisamente la tua password impiegherebbe due secoli per decifrare. Non male come ritorno per qualche personaggio in più.

Tutte le password devono essere alfanumeriche

Quindi, assicurati di includere sia i caratteri alfabetici che quelli numerici per aggiungere un altro livello di complessità. Una password di " 123456789″ potrebbe essere violata centinaia di volte al secondo. Ma aggiungendo la lettera A in primo piano per creare " A23456789" , puoi goderti decenni di protezione contro le tecniche di forza bruta.

Includi sempre caratteri speciali

Quindi, assicurati di includere un carattere speciale e lettere maiuscole e minuscole, per aumentare ulteriormente la complessità. " Password" potrebbe essere decifrata in millisecondi. Ma " P@ssw0rD" richiederebbe 14 anni.

Ogni pochi mesi dovresti cambiare le tue password

La tecnologia coinvolta nel decifrare le password avanza a un ritmo sempre più rapido. Quindi più a lungo lasci una password in posizione, più diventa vulnerabile. Pertanto, cambiarlo regolarmente è fondamentale. Protegge inoltre i tuoi account da acquisizioni dannose quando le informazioni sulla vecchia password vengono raccolte da violazioni della sicurezza su altri siti.

Quali sono i pericoli di avere una password debole?

A seconda del tipo di sito WordPress che gestisci, potrebbero esserci molti rischi quando si tratta di avere una password debole. Ad esempio, se gestisci un negozio di e-commerce, un utente potrebbe mettere a rischio le proprie informazioni di pagamento se ha una password non sicura.

Non solo, un hacker potrebbe accedere all'account di un acquirente e iniziare a inserire codice nel tuo sito Web per raccogliere le informazioni sui vari dettagli della carta. I criminali informatici vendono quindi tali informazioni sul dark web. Se si scopre che hai presieduto una violazione dei dati di questa natura, i tuoi clienti perderanno fiducia nella sicurezza del tuo sito. Peggio ancora, potresti trovarti dalla parte sbagliata di una consistente multa da parte di un organismo nazionale di regolamentazione.

Coloro che hanno in mente altre intenzioni (come gli hacktivisti) possono scegliere di deturpare il tuo sito con slogan politici o abusi razzisti. Ancora una volta, scuotendo la fiducia dei tuoi visitatori e rovinando la reputazione della tua azienda.

Le password deboli sono una delle principali cause di violazione dei dati

Non dimenticare che un software di hacking all'avanguardia può indovinare 10 miliardi di combinazioni di password in pochi secondi. Le password deboli sono spesso responsabili degli scenari sopra menzionati. Uno studio del 2016 di Verizon ha rilevato che il 63% delle violazioni dei dati confermate implica l'utilizzo di password deboli, predefinite o rubate. Una ricerca condotta da Bitglass ha rilevato che il 25% di tutte le violazioni del settore dei servizi finanziari dal 2006 potrebbero essere attribuite a dispositivi smarriti o rubati (e alle password rubate da essi).

Entrambi questi casi illustrano perfettamente i pericoli associati sia a password deboli che a criteri di password che non impongono la modifica regolare della password. Ecco perché è così fondamentale amministrare una politica di password forte.

Ma potresti chiederti esattamente come puoi ottenere quel risultato per il tuo sito WordPress. Fortunatamente, esiste un plug-in facile da usare che può proteggere il tuo sito Web da password deboli in pochi minuti.

Come impostare la tua policy password forte usando WPassword

Sebbene WordPress avverta gli utenti dell'utilizzo di una password debole, consente comunque agli utenti di farlo. Tutto quello che devono fare è riconoscere che stanno per impostare una password non sicura. Pertanto, l'unica opzione per applicare una politica di password complessa è utilizzare un plug-in di sicurezza della password.

Il plug-in WPassword ti consente di applicare una forte politica della password tra cui:

  • Lunghezze minime delle password
  • Uso obbligatorio di lettere maiuscole e minuscole
  • L'obbligo di utilizzare i numeri
  • L'uso obbligatorio dei caratteri speciali
  • E molto altro (leggi l'elenco completo delle funzionalità dei plugin per maggiori informazioni)

Per iniziare, scarica e installa semplicemente WPassword. Quindi vai sul nodo "Politiche password" nel menu delle impostazioni che si trova all'interno della dashboard di WordPress.

Come usare WPassword

Qui puoi configurare le politiche delle password del tuo sito Web e costringere i tuoi utenti a utilizzare password WordPress complesse. È possibile stabilire le regole che disciplinano le password come indicato sopra e implementare una politica di scadenza delle password. Questa politica assicurerà che gli utenti cambino frequentemente le loro password e si astengano dal riutilizzare quelle vecchie.

WPassword consente inoltre agli amministratori di WordPress di:

  • Esenta utenti o ruoli specifici dalle politiche delle password
  • Specificare quando le sessioni utente vengono terminate alla scadenza della password
  • Reimposta tutte le password con un solo clic del mouse

In caso di un hack di WordPress, quest'ultima funzionalità può aiutarti a riprendere il controllo dei tuoi account utente eliminando tutti gli utenti e chiedendo loro di reimpostare le loro password.

Infine, nelle impostazioni di questo plugin, puoi anche selezionare di disabilitare gli account inattivi utilizzando la politica degli utenti inattivi di WordPress. Gli account inattivi sono particolarmente vulnerabili perché probabilmente sono stati impostati anni fa, prima che tu applicassi una forte politica delle password. Gli hacker li prendono di mira proprio per questo motivo. Quindi assicurati di bloccare gli utenti inattivi per impedire a quegli intrusi dannosi di dirottare quegli account.

Inizia a configurare la tua politica per le password complesse

Si spera che ora dovresti apprezzare appieno il motivo per cui una politica di password forte è così importante per la sicurezza del tuo sito Web WordPress. Il software di hacking automatizzato può facilmente decifrare password deboli e le conseguenze di una violazione dell'account utente potrebbero essere catastrofiche.

Pertanto, ha senso utilizzare il plug-in WPassword in modo da poter:

  • Applica password complesse ai tuoi utenti
  • Allega date di scadenza alle password
  • Blocca gli utenti dormienti
  • Esente da ruoli utente specifici
  • Reimposta tutte le password con un solo clic

Scarica WPassword per iniziare.

Suggerimento bonus: aggiungi 2FA per un'autenticazione WordPress ancora più forte

Installa l'autenticazione a due fattori per rendere il tuo sito Web quasi impenetrabile con il plug-in WP 2FA per WordPress.

Implementando l'autenticazione a due fattori, chiedi agli utenti di identificarsi con un'altra password, un altro dispositivo o un'informazione biometrica. Pertanto, questo livello di sicurezza aggiuntivo può proteggere gli account utente anche se un hacker ha la combinazione corretta di nome utente e password.