强大的 WooCommerce 密码——在不阻止客户的情况下执行政策
已发表: 2019-12-13确保您的电子商务商店安全是必须的。 它不仅是您业务的重要收入来源,而且还包含敏感的客户信息,例如账单明细和信用卡号。 强密码可以防止许多网络攻击,但您需要一种在不吓阻客户的情况下强制执行它们的方法。
通过创建周到的密码策略并使用直观的软件,您可以帮助您的员工和客户为他们的 WooCommerce 商店帐户制作安全密码。 这也适用于 WordPress 上的任何其他电子商务商店。 同时,您可以避免因繁琐的要求而惹恼他们,这些要求通常会导致不必要的客户摩擦。
在这篇文章中,我们将深入探讨密码安全性并讨论为什么它对您的电子商务商店至关重要。 然后,我们将向您展示如何为您的 WooCommerce 或任何其他 WordPress 电子商务商店配置强密码,而不会增加购物者的摩擦。
密码安全简介
密码旨在保护用户帐户免受黑客攻击。 但是,许多人使用弱密码,使其无效。 密码越简单,就越容易猜到。 黑客拥有大量工具和方法,可以用来自动猜测简单的密码。 他们还可能捕获流量数据以获取用户的凭据,因此在您的 WordPress 网站上使用 HTTPS 很重要。
一旦攻击者获得对您客户帐户的访问权限,他们就可以进行客户可以进行的任何交易。 这包括购买、更改现有订单的详细信息以及访问他们的个人数据。 他们还可以窃取和泄露业务和客户数据。 这会导致客户失去信任,从而导致收入和业务损失。
此外,商店经理和管理员帐户也很容易受到攻击。 成功侵入此类帐户的黑客可以控制您的商店和产品,并造成严重破坏。
因此,密码安全对于避免任何这些和其他类似情况非常重要。 只需遵循一些最佳实践,客户和员工就可以使用强密码。 通过这样做,也减少了成功攻击的机会。
在 WooCommerce 商店执行强密码的挑战
严格的密码政策
让您的 WooCommerce 客户为其帐户使用安全密码会带来一些困难。 首先,要求严格的密码标准会造成摩擦,阻碍客户完成注册和/或结帐流程。
此外,您的客户也可能需要记住很多密码。 如果您要求他们每月提出一个包含小写和大写字母、数字和符号的 20 个字符的新组合,他们可能会认为您的产品不值得付出努力并关闭他们的帐户。
无效的建议(反直觉的解决方案)
第二个问题是无效的建议。 作为一个例子,让我们看一下 WordPress 的强度计,它也在 WooCommerce 中使用:
这不会让用户知道他们的密码需要满足什么要求才能被认为是强密码。 这可能会令人沮丧,甚至可能会阻止不想费心猜测您的密码策略的客户。
WooCommerce 商店的 4 种智能密码策略
在强制执行强密码时,请明确说明您的政策并避免使其过于苛刻。 不要将书中的每一条规则都扔给购物者,而是要有选择性。 您需要在保持账户安全而又不增加摩擦之间找到平衡。
很明显,为 WooCommerce 客户创建密码策略存在一些挑战。 考虑到这一点,我们提供了一些设置指南。 以下是您对购物者和商店经理的要求中可能包含的一些想法。
1.设置最小密码长度
较长的密码更难猜,但也更难记住。 对于客户而言,通常可以管理八到十个字符,同时保持良好的安全性。 他们将习惯于为 Facebook 和 Amazon 等网站提供这种长度的组合。
您可能希望为商店经理和员工提供更长的密码,以确保安心。 他们的帐户拥有更多敏感信息并拥有更多特权。 考虑将最小值设置为 12 到 20 个字符。
为了帮助您的员工和客户,您还可以推荐他们可以用来安全存储其凭据的密码管理器。
2.需要多种字符类型
大多数客户习惯于在密码中使用大写和小写字母以及数字。 由于这是跨流行平台的标准做法,您可以将这些规定包含在您的政策中,而不会增加用户摩擦。
坚持使用特殊字符(如 !、@、& 或 *)会使密码更难猜。 但是,这项政策对用户来说有点麻烦。 如果您想安全起见,可以将其保留为商店经理密码。
3.实施过期政策
让客户和商店经理定期重置密码使攻击者几乎不可能猜出密码。 但是,有些人可能会认为此任务繁琐,因此您可能需要考虑为客户提供更长的有效期。
过期政策在社交媒体或电子商务网站上并不常见。 您更经常在属于收集高度个人用户信息的组织(例如 Google 和银行)的网站上看到它们。
由于购物者可能不太习惯此要求,因此您可能会完全放弃它。 但是,您可能每年需要一次或两次新密码,而不会引起太多抗议。 这也是与我们的客户取得联系的一个很好的借口。
但是,商店经理帐户包含更敏感的信息。 因此,强制执行四到六周的有效期并非不合理。 对于商店经理,您还应该考虑启用休眠 WordPress 用户策略,因此非活动用户帐户不会危及您的电子商务商店和商业网站的安全。
4. 禁止密码重用
此策略可防止用户在过期后回收他们以前的密码。 同样,有些人可能会觉得这个要求很烦人,所以给顾客比商店经理多一点宽容。
防止客户重复使用他们最近的两个密码是合理的。 对于商店经理,您可以将该限制增加到他们使用的最后五或六个组合。
如何为您的 WooCommerce 客户实施密码策略
在您开始在 WooCommerce 商店上执行密码策略之前,您需要一种方法来执行此操作。 这就是 WPassword 的用武之地。
该插件使用 WordPress 自己的安全机制来重置和存储密码。 它还清楚地显示密码策略。 客户不必试图弄清楚您的标准是什么。 他们有明确的指导方针,任何非技术人员都可以理解。
此外,您可以根据用户角色创建策略,使客户能够使用比商店经理更简单的密码。 有关如何执行此操作的更多信息,请参阅为每个角色配置不同的密码策略:
一旦您配置了强密码策略,用户在创建新帐户或更改密码时都会被提示遵循这些策略。 我们插件的优势之一是它向用户展示了需求。 通过消除等式中的猜测,您可以减少密码和客户帐户安全的麻烦。
您使用自定义登录页面吗?
WordPress 上的大多数电子商务解决方案,包括 WooCommerce 都使用自定义用户门户登录页面。 如果是这种情况,您仍然可以强制执行强密码策略。 有关如何轻松实现此目的的更多信息,请参阅在自定义登录页面上实施强密码策略。
确保您的电子商务客户的帐户安全
在您的 WooCommerce 或其他电子商务商店上实施密码安全可能很棘手。 您希望确保客户数据的安全。 但是,您不想用复杂的规则来挫败他们。 回顾一下,以下是您的在线商店需要考虑的四项政策:
- 设置最小密码长度,但对于客户来说,密码长度要短于商店经理(大约八个字符)。
- 需要多种字符类型,并为商店管理员密码保留特殊字符。
- 实施过期政策,但不要以每年两次以上的密码重置通知纠缠客户。
- 禁止在特定时间范围内重复使用密码,延长商店经理的时间,同时缩短客户的时间。
您可以使用 WPassword 完成上述所有操作。 最重要的是,它还在设置帐户或重置密码时为用户提供有效的建议。
额外提示:实施两因素身份验证
除了强密码策略之外,您还应该至少为您的团队实施双重身份验证 (2FA),例如其他管理员、编辑和商店经理。 使用适用于 WordPress 的正确双因素身份验证插件,可以在几秒钟内完成配置和启用 2FA。