为什么强密码策略对您的 WordPress 网站如此重要
已发表: 2020-09-10如果您管理 WordPress 网站已有一段时间,您可能想知道为什么强密码策略如此重要。 当然,用户知道他们需要使用强密码吗? 不幸的是,许多用户故意使用弱密码,使您的 WordPress 网站处于危险之中。
这种情况继续发生有不同的原因。 有些人不想记住复杂的密码。 而其他人则喜欢在多个站点上重复使用相同的密码。 无论哪种方式,执行强密码策略都可以保护您免受用户错误密码选择的影响,例如password123 。
在这篇文章中,我们将解释为什么密码安全性如此重要,以及如何保证所有用户只需点击几下即可选择强密码。 但首先,让我们检查一下如何在密码管理器的帮助下确保所有用户都选择强密码。
为什么你应该使用密码管理器
不到 75% 的网站用户难以记住他们的密码。 这会引发风险行为,例如跨多个站点重复使用密码或将敏感密码存储在可能被泄露的在线文件中。 正是由于这个原因,许多 WordPress 管理员未能实施强密码策略。 他们担心如果被迫记住复杂的密码,他们的用户会被推迟。
但是,用户是否可以记住他们的密码不应该被考虑在内。 通过使用密码管理器,您可以使用非常强大、难以猜测且不同的密码,而无需记住它们。
什么是密码管理器?
密码管理器是一种软件或在线服务,可以安全地存储不同在线帐户的凭据。 密码管理器中的所有信息均受一个主密码保护。 许多还促进了双因素身份验证,使其更加安全。
通过推广使用密码管理器,您的 WordPress 用户只需记住一个主密码。 因此,他们更容易遵守您严格的密码策略。 我们推荐 1Password 或 KeePass,因为我们经常使用它们。
什么是强密码策略(和密码安全)?
实施强密码策略需要多个步骤。 许多 WordPress 管理员认为他们可以完全依赖 WordPress 自己的密码安全仪表。 这是行不通的,因为它只建议用户使用更强的密码,但并不强制他们这样做,如如何在 WordPress 上强制使用强密码中所述。 仅仅一个简单的最小密码长度策略并不足以防止安全漏洞。
虽然密码长度是一个重要因素; 它需要附有以下附加密码策略:
- 大写和小写字母
- 数字
- 特殊字符
- 定期更换
- 阻止重复使用旧密码
密码策略的方法需要多管齐下。 否则,密码将不足以消除破坏您的 WordPress 网站的可能性。
为什么强密码策略如此重要?
实施强密码策略非常重要,因为它可以防止一系列攻击。 自动猜测密码的机器人已经变得复杂起来。 如果黑客设法找到与 WordPress 帐户关联的电子邮件,他们可以使用该软件强行进入该帐户。
字典攻击是用于暴力破解用户帐户的最常用技术之一。 它通过尝试数千甚至数百万种可能的可能性来工作,例如字典中的单词或从过去的安全漏洞中获得的以前使用的密码。 这就是为什么字母数字密码至关重要的原因。 一串字典单词可以在几毫秒内被破解。 即使密码长度超过十个字符也不够。
强密码策略还可以保护网站免受手动黑客攻击。 这是一种网络犯罪分子获取个人信息(例如用户的出生日期或地址)的场景,这些信息经常构成粗心用户设置的部分弱密码。
强密码的特点是什么?
无论您是使用自动密码生成器还是创建自己的密码生成器,准确了解您需要关注什么以使您的 WordPress 密码尽可能安全都非常有用。
更长的密码更强大
您应该关注的第一项是长度。 更长的密码几乎总是更强大。 现代技术可以在 0.29 毫秒内猜出仅包含字母的七个字符的密码。 十个字符的密码需要四个月。 将其增加到 12 个字符,突然之间,您的密码将需要两个世纪才能破解。 对于一些额外的角色来说,回报还不错。
所有密码都应该是字母数字
接下来,确保同时包含字母和数字字符以增加另一层复杂性。 “ 123456789”的密码每秒可被破解数百次。 但是通过在前面添加字母A来制作“ A23456789” ,您可以享受数十年的暴力技术保护。
始终包含特殊字符
接下来,确保包含特殊字符以及大小写字母,以进一步提高复杂性。 “密码”可以在几毫秒内被破解。 但是“ P@ssw0rD”需要 14 年。
每隔几个月,您应该更改一次密码
破解密码所涉及的技术以越来越快的速度发展。 因此,您保留密码的时间越长,它就越容易受到攻击。 因此,定期更换它势在必行。 当从其他站点的安全漏洞中收集旧密码信息时,它还可以保护您的帐户免受恶意接管。
使用弱密码有什么危险?
根据您运营的 WordPress 网站的类型,使用弱密码可能会有很大的风险。 例如,如果您经营一家电子商务商店,如果用户的密码不安全,他们可能会冒着支付信息的风险。
不仅如此,黑客还可以访问购物者的帐户并开始将代码放入您的网站以收集各种卡详细信息的信息。 然后网络犯罪分子在暗网上出售这些信息。 如果发现您主持了这种性质的数据泄露,您的客户将对您的站点的安全性失去信心。 更糟糕的是,您可能会发现自己被国家监管机构处以巨额罚款。
那些有其他意图的人(例如黑客主义者)可能会选择用政治口号或种族主义辱骂来破坏您的网站。 再次动摇访问者的信任并玷污公司的声誉。
弱密码是数据泄露的主要原因
不要忘记,尖端的黑客软件可以在几秒钟内猜出 100 亿个密码组合。 弱密码通常是造成上述情况的原因。 Verizon 2016 年的一项研究发现,63% 的已确认数据泄露涉及使用弱密码、默认密码或被盗密码。 Bitglass 进行的研究发现,自 2006 年以来,25% 的金融服务行业违规行为可归因于设备丢失或被盗(以及密码被盗)。
这两种情况都完美地说明了与弱密码和不强制定期更改密码的密码策略相关的危险。 这就是为什么管理强密码策略如此重要的原因。
但是您可能想知道如何才能为您的 WordPress 网站实现这一目标。 幸运的是,有一个易于使用的插件可以在几分钟内保护您的网站免受弱密码的影响。
如何使用 WPassword 设置您自己的强密码策略
WPassword 插件允许您执行强密码策略,包括:
- 最小密码长度
- 强制使用大写和小写字母
- 使用数字的要求
- 强制使用特殊字符
- 还有更多(阅读完整的插件功能列表以获取更多信息)
要开始使用,只需下载并安装 WPassword。 然后转到 WordPress 仪表板中设置菜单中的“密码策略”节点。
如何使用 WPassword
在这里,您可以配置您网站的密码策略并强制您的用户使用强 WordPress 密码。 您可以规定上述密码管理规则以及实施密码过期策略。 该政策将确保用户经常更改密码并避免重复使用旧密码。
WPassword 还允许 WordPress 管理员:
- 从密码策略中免除特定用户或角色
- 指定用户会话在密码到期时终止的时间
- 只需单击鼠标即可重置所有密码
如果发生 WordPress 黑客攻击,最后一项功能可以帮助您通过淘汰所有用户并要求他们重置密码来重新控制您的用户帐户。
最后,在此插件的设置中,您还可以选择使用非活动 WordPress 用户策略禁用非活动帐户。 非活动帐户特别容易受到攻击,因为它们可能是在几年前设置的,当时您还没有实施强密码策略。 正是出于这个原因,黑客瞄准了他们。 因此,请确保锁定非活动用户,以阻止那些恶意入侵者劫持这些帐户。
开始设置您的强密码策略
希望您现在应该充分理解为什么强密码策略对您的 WordPress 网站的安全性如此重要。 自动黑客软件可以轻松破解弱密码,用户帐户泄露的后果可能是灾难性的。
因此,使用WPassword插件是有意义的,这样您就可以:
- 对您的用户实施强密码
- 将到期日期附加到密码
- 锁定休眠用户
- 免除特定用户角色
- 一键重置所有密码
下载 WPassword以开始使用。
额外提示:添加 2FA 以获得更强大的 WordPress 身份验证
使用适用于 WordPress 的 WP 2FA 插件安装双重身份验证,使您的网站几乎无法穿透。
通过实施双重身份验证,您可以要求用户使用另一个密码、另一个设备或一条生物特征信息来识别自己。 因此,即使黑客拥有正确的用户名和密码组合,这个额外的安全层也可以保护用户帐户。