Ochrona hasłem WordPress – kompletny przewodnik
Opublikowany: 2022-08-02Jest to „ostateczny” lub kompleksowy przewodnik po ochronie hasłem WordPress dla administratorów i właścicieli witryn biznesowych. Jest napisany dla tych, którzy zarządzają lub są administratorami witryn WordPress.
Pomijając role, kolejnym najbardziej wrażliwym i łatwym do wzmocnienia zabezpieczeniem witryny WordPress jest korzystanie z haseł, według dostawców WordPress i oprogramowania zabezpieczającego. Uzbrojony w dane logowania, ktoś może potencjalnie uzyskać dostęp do Twojej witryny oraz wszystkich konfiguracji i danych dostępnych z pulpitu WordPress. Zalogowany użytkownik może podszywać się pod Ciebie, dodawać, zmieniać lub usuwać elementy, niszczyć Twoją witrynę i zrujnować Twoją firmę.
Ten wpis na blogu zawiera szereg wskazówek dotyczących najlepszych praktyk, które pomogą Ci zapewnić bezpieczną ochronę hasłem WordPress w całej organizacji i edukować użytkowników w zakresie ich używania.
Spis treści
- Ustal silną politykę bezpieczeństwa haseł
- Jak wygląda silne hasło?
- Role użytkowników WordPress i ich konsekwencje dla bezpieczeństwa
- Zainstaluj odpowiednie narzędzia i wtyczki do zabezpieczania haseł WordPress
- Daj dobry przykład ochrony hasłem WordPress
- Zatrudnij menedżera haseł
- Korzyści z używania menedżera haseł
- Włącz uwierzytelnianie dwuskładnikowe lub wieloskładnikowe
- Edukuj swoich użytkowników w zakresie ochrony hasłem WordPress
- Porozmawiaj o naruszeniach bezpieczeństwa danych wartych opublikowania
- Egzekwuj swoją politykę silnych haseł
- Czynności administratora związane z bezpieczeństwem haseł WordPress
- Podkreśl zalety korzystania z menedżera haseł, które pozwalają zaoszczędzić stres i czas
- Podkreśl opłacalną inwestycję w silne zabezpieczenia haseł WordPress
- Ustanowić inne odpowiednie zabezpieczenia
Ustal silną politykę bezpieczeństwa haseł
Jako administrator witryny WordPress masz możliwość i odpowiedzialność za egzekwowanie silnej polityki haseł na swoich użytkownikach. W ten sposób ochronisz swoją organizację, jej witryny internetowe, dane, personel i innych użytkowników przed szeregiem ataków.
- W przypadku firmy i jej wewnętrznych pracowników, pracownicy marketingu będą potrzebować dostępu do witryny WordPress, aby tworzyć i edytować strony witryny i posty na blogu, podczas gdy inni będą potrzebować dostępu tylko do moderowania i odpowiadania na komentarze. Z drugiej strony osoby zarządzające kontem klienta lub pracownicy obsługi klienta będą potrzebować różnych poziomów dostępu do kont klientów, aby odpowiedzieć na zgłoszenia pomocy technicznej. W takim przypadku większość wewnętrznych użytkowników personelu nie będzie potrzebować dostępu do kont klientów, choć niektórzy będą. Osoby pracujące w dziale wsparcia IT mogą potrzebować dostępu do niektórych aspektów kont klientów, choć nie do wszystkich.
- Pomyślmy o innym punkcie widzenia, o zewnętrznych użytkownikach witryny e-commerce WordPress. Może być konieczne zalogowanie się, aby zarządzać swoim kontem, dokonać zakupu, śledzić status dostawy lub zwrotu lub skontaktować się z obsługą klienta. Ci sami użytkownicy nie powinni mieć na przykład dostępu do tworzenia lub usuwania stron internetowych ani możliwości przeglądania konta i danych finansowych innych klientów. W niektórych przypadkach witryny e-commerce w ogóle nie wymagają od użytkowników, którzy są klientami, tworzenia konta i logowania, ponieważ czasami może to stanowić przeszkodę w uzyskaniu sprzedaży.
Dlaczego to wszystko jest konieczne? Czy użytkownicy nie wiedzą już, jak tworzyć i używać bezpiecznych haseł?
Przeciętny użytkownik komputera nie jest dobrze wykształcony w zakresie ochrony hasłem WordPress lub ogólnie bezpieczeństwa haseł WordPress. Jest prawdopodobne, że będą mieli luźne podejście do własnych danych online i uznają zarządzanie danymi logowania za stresujące (o wszystkim omówimy później). Zapisują je na karteczkach samoprzylepnych i przyklejają do swoich monitorów!
Dodatkowo:
- Boty zgadujące hasła stają się coraz bardziej wyrafinowane
- Złośliwi hakerzy nadal stosują ataki brute-force i słownikowe
Nikczemne działania stają się znacznie łatwiejsze dla złośliwych hakerów, jeśli mają już dane osobowe, takie jak prawdziwe nazwiska, które mogą stanowić część słabego hasła.
Jak wygląda silne hasło?
- Dłuższe hasła — z reguły im krótsze hasło, tym bardziej jest podatne na ataki typu brute-force lub słownikowego. Najlepszą obecną radą jest ustawienie minimalnej długości hasła na 16 znaków i pozostawienie spacji. Niektóre generatory haseł pozwalają użytkownikom dostosować długość bezpiecznego, losowego hasła, które tworzą.
- Hasła mieszane — użyj losowej kombinacji znaków (wielkich i małych liter), cyfr i znaków specjalnych. To ochroni Twoje hasło przed atakami słownikowymi. Unikaj słów słownikowych i wzorców liter lub cyfr, zastępując litery cyframi („@” zamiast „a”, „0” zamiast „O”, w tym sekwencje klawiaturowe (qwerty).
- Hasła losowe — nie pozwól, aby Twoje hasła były z Tobą powiązane. Nie używaj żadnej części swojego imienia ani nazwiska zwierzęcia, dziecka lub innego krewnego. Nie używaj swojego DOB, adresu pocztowego ani żadnych innych informacji publicznych, które złośliwy haker mógłby łatwo z Tobą połączyć. Unikaj również używania informacji, które współpracownik lub znajomy mógłby odgadnąć, takich jak pseudonimy.
- Zmiana haseł – Regularnie resetuj hasła (zalecane co trzy miesiące). Powoduje to ponowne uruchomienie zegara przy wszelkich próbach brutalnej siły i pozwala wyprzedzić postęp w nieetycznej technologii hakerskiej.
- Różne hasła — miej inne hasło dla każdej witryny. W ten sposób, jeśli jedno zostanie naruszone, pozostałe są nadal bezpieczne. Używaj menedżera haseł codziennie, aby je przechowywać, aktualizować i używać.
- Zapisane hasła — nie używaj konfiguracji przeglądarki, laptopów ani folderów współdzielonych do zapisywania haseł na wypadek zhakowania lub kradzieży komputera. Po to jest menedżer haseł!
Role użytkowników WordPress i ich konsekwencje dla bezpieczeństwa
Konfiguracja ról ma ogromne znaczenie dla bezpieczeństwa witryny WordPress. Co do zasady, bezpieczeństwo WordPressa powinno wzrosnąć wprost proporcjonalnie do poziomu wrażliwych informacji, które są zawarte lub wymieniane na stronie.
Najpierw spójrzmy na role administratora:
- Super Administratorzy – przypisani właścicielom wielu witryn za pomocą WordPress Multisite Network, daje dokładnie te same uprawnienia, co rola administratora
- Administrator – automatycznie przypisywany do właściciela/twórcy strony podczas instalacji, daje pełną kontrolę nad stroną, w tym usuwanie, może: instalować, edytować i usuwać motywy i wtyczki; uruchamiać aktualizacje i aktualizacje; tworzyć, edytować i usuwać strony i posty na blogu; dodawać, edytować i usuwać użytkowników, w tym innych Administratorów; oraz dodawaj, edytuj i usuwaj multimedia
Wszystkie inne role użytkownika, wymienione w kolejności malejącego zakresu uprawnień to:
- Redaktor – może dodawać, edytować i usuwać nowe strony, posty na blogu, media; tworzyć kategorie i tagi; publikować treści napisane przez siebie i innych; i moderować komentarze
- Autor – może dodawać, edytować i publikować tylko własne treści; przesyłać media; i przypisz istniejące kategorie i tagi do postów na blogu
- Contributor – może dodawać i edytować tylko własne treści; i przypisać istniejące kategorie i tagi do własnych postów na blogu
- Subskrybent – może aktualizować tylko własny profil użytkownika; czytać treści innych; i dodawaj komentarze
Zgodnie z zasadą najmniejszych uprawnień, ustawiając role do delegowania zadań w WordPressie, unikaj udzielania dostępu innym osobom (Super) Administratorom, chyba że muszą mieć taki poziom kontroli nad witryną, jej funkcjami i użytkownikami. Ponieważ czytelnicy mogą zobaczyć „opublikowane przez” (nazwę użytkownika) w Twojej witrynie, administratorzy – jako dodatkowy poziom ostrożności – powinni skonfigurować dla siebie dodatkowego użytkownika edytora i logować się za pomocą konta (super)administratora tylko wtedy, gdy muszą wykonać te zadania wyższego poziomu. Oznacza to, że złośliwi hakerzy mają jeszcze mniej informacji, na których mogą polegać, jeśli rozważają atak brute-force.
Aby uzyskać więcej informacji, zobacz Jak korzystać z ról użytkownika WordPress w celu poprawy bezpieczeństwa WordPress.
Zainstaluj odpowiednie narzędzia i wtyczki do zabezpieczania haseł WordPress
Jednym ze sposobów wymuszenia silnych haseł WordPress na swoich użytkownikach jest użycie wtyczki WPassword do:
- Egzekwuj silne hasła w swoich witrynach WordPress w kilka sekund
- Podaj wskazówki, które pomogą użytkownikom wymyślić silne hasła (zamiast zgadywać)
- Skonfiguruj politykę haseł dotyczącą ważnych aspektów ochrony hasłem, takich jak złożoność hasła, historia i wiek
- Skonfiguruj zasady haseł na podstawie roli użytkownika, aby dostosować się do niestandardowych ról specjalistycznych lub wykluczyć określonych użytkowników z określonych zasad.
- Zresetuj wszystkie hasła natychmiast po wykryciu ataku
- Zaimplementuj uśpioną politykę użytkowników, aby usunąć zagrożenie ze strony nieaktywnych kont użytkowników, które zostały skonfigurowane przed wprowadzeniem zasad
Daj dobry przykład ochrony hasłem WordPress
Zalecamy korzystanie z bezpiecznych poświadczeń i zachęcanie do tego swoich użytkowników.
- Połącz silne hasło (zobacz Jak wygląda silne hasło?) z silną nazwą użytkownika.
- Jako administrator unikaj oczywistych i słabych domyślnych nazw użytkownika, takich jak admin, default, password lub guest
- Nie ułatwiaj złym aktorom, że mają tylko jedno poświadczenie do odkrycia
Pamiętaj, że jeśli polegasz na zabezpieczeniach haseł WordPress, musisz również wymusić silne hasła za pomocą wtyczki. WordPress nie ma wbudowanego ani domyślnego wymuszania silnego hasła.
Zatrudnij menedżera haseł
Menedżer haseł to usługa online lub klient oprogramowania, który bezpiecznie przechowuje i zarządza poświadczeniami użytkowników w wielu witrynach internetowych i usługach. Dostęp do tych informacji można uzyskać za pomocą jednego hasła głównego i opcji uwierzytelniania wieloskładnikowego. Popularne przykłady to 1Password i KeePass. Ale nawet jeśli istnieje wiele menedżerów haseł online, nie zastąpi to solidnych kopii zapasowych i niezawodności.
Korzyści z używania menedżera haseł
- Nie będą musieli pamiętać, jakie są ich hasła do każdej witryny — jednocześnie jeden z największych problemów w miejscu pracy, który „rozwiązuje” leniwa i szalona praktyka używania tych samych danych uwierzytelniających w wielu usługach online.
- Nie będą kuszeni przechowywanie danych logowania w formie pisemnej, która narusza przepisy dotyczące ochrony danych, lub w plikach online, które mogą zostać naruszone.
- Uwolni użytkowników od używania złożonych i różnych haseł. Wiele menedżerów haseł ma wbudowany generator haseł z wygodną i szybką sugestią w wyskakującym okienku przeglądarki, która również natychmiast rejestruje nowy rekord.
- Nie opuszczą swojego konta ani strony internetowej dla złośliwych hakerów i automatycznych botów.
- Menedżerowie haseł często monitorują adresy e-mail i ostrzegają użytkowników o ich pojawieniu się w ciemnej sieci. Mogą również zalecić zmianę ponownie używanych lub słabych haseł.
Włącz uwierzytelnianie dwuskładnikowe lub wieloskładnikowe”
Uwierzytelnianie dwu- lub wieloskładnikowe to dodatkowa warstwa poświadczeń, którą należy wprowadzić, zanim użytkownik uzyska dostęp do witryny lub aplikacji, oprócz tradycyjnej kombinacji nazwy użytkownika i hasła. Jest stosowany, gdy ktoś już używa silnych haseł, ponieważ podejście wieloskładnikowe jest najlepsze dla bezpieczeństwa WordPress. Silne kombinacje hasła i nazwy użytkownika mogą zostać skradzione. Kod jednorazowy jest generowany przez aplikację i odbierany e-mailem lub SMS-em wysłanym na osobiste urządzenie użytkownika, konto e-mail lub telefon komórkowy, co jest trudniejsze do obejścia przez złośliwego hakera.
Istnieje kilka alternatyw, które zajmują miejsce najlepszych wtyczek uwierzytelniania dwuskładnikowego dla WordPress. Sprawdź to. Ale gorąco polecamy nasz własny produkt – wtyczkę WP 2FA. Nie tylko poprawi uwierzytelnianie Twojej witryny WordPress, ale zaprojektowano ją z myślą o łatwości użytkowania i prostocie konfiguracji. Pozwala również na uczynienie 2FA obowiązkowym, z w pełni konfigurowalnymi zasadami 2FA dla różnych ról użytkowników. Połączenie wtyczek WPassword i WP 2FA sprawia, że Twoje witryny WordPress są bardzo bezpieczne.
Edukuj swoich użytkowników w zakresie ochrony hasłem WordPress
Użytkownicy Twojej witryny już wiedzą w niejasnym sensie, że istnieje potrzeba silnego zabezpieczenia haseł. Ale często nic z tym nie robią.
Więc o czym konkretnie musisz ich edukować?
Porozmawiaj o naruszeniach bezpieczeństwa danych wartych opublikowania
Słabe hasła to jedno z największych zagrożeń dla bezpieczeństwa witryn WordPress. Czemu? Ponieważ słabe dane uwierzytelniające – łatwe do obejścia za pomocą ataku brute-force lub słownikowego – są główną przyczyną naruszeń bezpieczeństwa danych, o których wszyscy czytamy w wiadomościach. Dodaj do tego utratę danych ułatwianą przez domyślne lub skradzione hasła lub hasła zabrane ze zgubionych lub skradzionych urządzeń, a problem się mnoży.
Co mogą zrobić złośliwi hakerzy i nieautoryzowani użytkownicy, gdy uzyskają dostęp do Twojej witryny?
- Na podstawowym poziomie mogą zmieniać konfiguracje lub wstawiać złośliwe oprogramowanie
- Mogą również przekierowywać ruch z Twojej witryny lub używać jej do rozpowszechniania pirackiego oprogramowania
- W najpoważniejszych atakach mogą kraść i niewłaściwie wykorzystywać poufne dane, tworzyć fałszywe opłaty bankowe lub zbierać informacje finansowe i inne w celu odsprzedaży w ciemnej sieci
- Poza tymi działaniami komercyjnymi, haktywiści mogą upolityczniać lub niszczyć Twoją witrynę za pomocą mowy nienawiści
Upewnij się, że użytkownicy z Twojego wewnętrznego personelu są świadomi głównych, ogólnoorganizacyjnych implikacji dotyczących informacji wewnętrznych firmy i danych klientów zewnętrznych, a także grzywien lub obowiązkowych skreśleń firmowych. I powtarzaj te same wiadomości klientom swojej witryny, aby upewnić się, że priorytetowo traktuje bezpieczeństwo swoich własnych danych osobowych, finansowych, zdrowotnych i innych poufnych danych.
Negatywny wpływ, jaki takie naruszenia danych mogą mieć na Twoją organizację i Twoją witrynę, są ogromne:
- Utrata reputacji i zaufania do Twojej organizacji i strony internetowej
- Znaczne grzywny nałożone przez organy regulacyjne, a także inne kary lub dysocjacje od partnerów i klientów
Egzekwuj swoją politykę silnych haseł
- Najpierw poinformuj użytkowników o wszystkich elementach artykułu Jak wygląda silne hasło? i korzyści z używania menedżera haseł? Na przykład upewnij się, że znają trwałe i poważnie niebezpieczne formuły haseł, takie jak thisismypassword, 123456789, [mykidsname] lub [mypetsname]. Zamiast tego zachęcaj do używania silnych formuł haseł (np . vqO&V13@H% fF lub @iGOuqk%W0xY ). Nie udostępniaj ani nie używaj tych konkretnych przykładów dla żadnej ze swoich usług lub użytkowników. To po prostu przykłady.
- Regularnie przypominaj pracownikom wewnętrznym o podpisanej przez nich polityce zatrudnienia i/lub ochronie danych, a także o osobistych obowiązkach prawnych, jakie mają wobec pracodawcy.
- Regularnie przypominaj personelowi wewnętrznemu, że polityka ochrony danych i oświadczenia składane przez firmę klientom i klientom opierają się na ich przestrzeganiu zasad firmy i że mają potencjalnie poważne i trwałe konsekwencje prawne, finansowe, dotyczące zatrudnienia i egzekwowania prawa.
- Zachęcaj użytkowników do tworzenia własnych bezpiecznych haseł za pomocą menedżerów haseł, które mają również narzędzia do generowania haseł. Większość programów do zarządzania hasłami ma również własne, co jest przydatne podczas tworzenia nowych kont w usługach internetowych i innych.
Czynności administratora związane z bezpieczeństwem haseł WordPress
- Sprawdź siłę hasła haseł użytkowników WordPress za pomocą skanera, takiego jak WPScan.
- Korzystaj z narzędzi, których używają złośliwi hakerzy, aby „odgadnąć” hasła użytkowników. Sam zaplanuj ataki siłowe i słownikowe!
- Zablokuj dla użytkowników, którzy mają słabe hasła i wyślij monit o ich zresetowanie.
- Przeprowadź warsztaty, jak korzystać z wybranego menedżera haseł.
Podkreśl zalety korzystania z menedżera haseł, które pozwalają zaoszczędzić stres i czas
Wielu użytkowników może widzieć potrzebę silnych haseł, ale nie chce ich używać z powodu nieznajomości i postrzeganych trudności lub kosztów w praktyce. W tym miejscu możesz wzmocnić łatwość i korzyści płynące z używania menedżera haseł, a także niski koszt, niezawodność i łatwość przechowywania kopii zapasowych poświadczeń.
To ogromna zaleta, że trzeba pamiętać tylko jedno hasło, a nie wiele haseł.
Z punktu widzenia użytkownika najważniejsze są:
- Muszą zapamiętać tylko jedno hasło – błogość!
- Menedżer haseł będzie działał jako nowy generator haseł, narzędzie do zarządzania hasłami i monit o wprowadzenie dla nich bezpiecznych danych uwierzytelniających na miejscu
Podkreśl opłacalną inwestycję w silne zabezpieczenia haseł WordPress
Musimy zmierzyć się z faktami. Niektórzy potencjalni użytkownicy będą zniechęceni zarejestrowaniem się w Twojej witrynie, jeśli będą zmuszeni używać silnych haseł i często je zmieniać. Wstępne skonfigurowanie tych procedur zajmuje trochę czasu i wysiłku. Niektórzy uznają to za kłopot, którego nie chcą, podczas gdy inni będą narzekać, że psuje to ich wrażenia z korzystania z Twojej witryny.
Ustanowienie i egzekwowanie silnej polityki bezpieczeństwa haseł WordPress, prawdopodobnie przy użyciu wtyczki, która różnicuje zasady haseł i poziomy bezpieczeństwa w oparciu o role użytkowników, zmniejszy do minimum zakłócenia użytkowników.
Ustanowić inne odpowiednie zabezpieczenia
Jako właściciel witryny lub administrator WordPress, oto kilka końcowych sugestii dotyczących większych problemów, które musisz wziąć pod uwagę w celu zabezpieczenia hasła WordPress:
- Zapoznaj się z ogólnymi protokołami wzmacniania zabezpieczeń i ochrony WordPress dla WordPress. Istnieją konkretne powody, dla których witryny WordPress są hackowane. Wiedza o tym, czym one są i jak sobie z nimi radzić, jest dla Ciebie korzystna jako administrator lub właściciel. Tak, słabymi hasłami są poważnym problemem, podobnie jak brak 2FA i dzienników aktywności. Ale czy wiesz, że korzystanie z przestarzałego rdzenia WordPressa, wtyczek i innego oprogramowania to również poważny problem?
- Skorzystaj z wtyczki do dziennika aktywności WordPress, która poinformuje Cię, czy nieautoryzowani użytkownicy uzyskali dostęp do Twojego konta, a jeśli tak, jakie szkody wyrządzili. Nasz dziennik aktywności WP pomaga zidentyfikować podejrzane zachowanie na najwcześniejszym etapie i zapobiec wszelkim złośliwym atakom hakerskim na Twoją witrynę.
- Skonfiguruj uśpioną lub nieaktywną politykę użytkowników dla swojej witryny WordPress. Zaniedbane konta użytkowników to łatwy punkt wejścia dla złośliwych hakerów.
- Twoja witryna może zostać zhakowana, nawet jeśli używasz silnych haseł i egzekwujesz silne zasady haseł na swoich użytkownikach. Warto od razu wiedzieć, czy Twoja witryna została naruszona. Jest to bezpłatna usługa powiadamiania o naruszeniu danych, którą proponujemy sprawdzić.
Czy masz jakieś pytania dotyczące ochrony hasłem WordPress lub któregokolwiek z produktów, o których wspomnieliśmy w tym poście na blogu? Daj nam znać poniżej! I pamiętaj słowa Chrisa Pirillo:
„Hasła są jak bielizna: nie pozwalasz ludziom ich zobaczyć, powinieneś je bardzo często zmieniać i nie powinieneś dzielić się nimi z nieznajomymi”.
Uzyskaj 7-dniową wersję próbną WPassword, aby doświadczyć go w akcji i pomóc użytkownikom Twojej witryny w korzystaniu z silnych haseł WordPress