強大的 WooCommerce 密碼——在不阻止客戶的情況下執行政策

已發表: 2019-12-13

確保您的電子商務商店安全是必須的。 它不僅是您業務的重要收入來源,而且還包含敏感的客戶信息,例如賬單明細和信用卡號。 強密碼可以防止許多網絡攻擊,但您需要一種在不嚇阻客戶的情況下強制執行它們的方法。

通過創建周到的密碼策略並使用直觀的軟件,您可以幫助您的員工和客戶為他們的 WooCommerce 商店帳戶製作安全密碼。 這也適用於 WordPress 上的任何其他電子商務商店。 同時,您可以避免因繁瑣的要求而惹惱他們,這些要求通常會導致不必要的客戶摩擦。

在這篇文章中,我們將深入探討密碼安全性並討論為什麼它對您的電子商務商店至關重要。 然後,我們將向您展示如何為您的 WooCommerce 或任何其他 WordPress 電子商務商店配置強密碼,而不會增加購物者的摩擦。

密碼安全簡介

密碼旨在保護用戶帳戶免受黑客攻擊。 但是,許多人使用弱密碼,使其無效。 密碼越簡單,就越容易猜到。 黑客擁有大量工具和方法,可以用來自動猜測簡單的密碼。 他們還可能捕獲流量數據以獲取用戶的憑據,因此在您的 WordPress 網站上使用 HTTPS 很重要。

一旦攻擊者獲得對您客戶帳戶的訪問權限,他們就可以進行客戶可以進行的任何交易。 這包括購買、更改現有訂單的詳細信息以及訪問他們的個人數據。 他們還可以竊取和洩露業務和客戶數據。 這會導致客戶失去信任,從而導致收入和業務損失。

此外,商店經理和管理員帳戶也很容易受到攻擊。 成功侵入此類帳戶的黑客可以控制您的商店和產品,並造成嚴重破壞。

因此,密碼安全對於避免任何這些和其他類似情況非常重要。 只需遵循一些最佳實踐,客戶和員工就可以使用強密碼。 通過這樣做,也減少了成功攻擊的機會。

在 WooCommerce 商店執行強密碼的挑戰

嚴格的密碼政策

讓您的 WooCommerce 客戶為其帳戶使用安全密碼會帶來一些困難。 首先,要求嚴格的密碼標準會造成摩擦,阻礙客戶完成註冊和/或結帳流程。

此外,您的客戶也可能需要記住很多密碼。 如果您要求他們每月提出一個包含小寫和大寫字母、數字和符號的 20 個字符的新組合,他們可能會認為您的產品不值得付出努力並關閉他們的帳戶。

無效的建議(反直覺的解決方案)

第二個問題是無效的建議。 作為一個例子,讓我們看一下 WordPress 的強度計,它也在 WooCommerce 中使用:

反直觀的 WordPress 密碼強度計

這不會讓用戶知道他們的密碼需要滿足什麼要求才能被認為是密碼。 這可能會令人沮喪,甚至可能會阻止不想費心猜測您的密碼策略的客戶。

WooCommerce 商店的 4 種智能密碼策略

在強制執行強密碼時,請明確說明您的政策並避免使其過於苛刻。 不要將書中的每一條規則都扔給購物者,而是要有選擇性。 您需要在保持賬戶安全而又不增加摩擦之間找到平衡。

很明顯,為 WooCommerce 客戶創建密碼策略存在一些挑戰。 考慮到這一點,我們提供了一些設置指南。 以下是您對購物者和商店經理的要求中可能包含的一些想法。

1.設置最小密碼長度

較長的密碼更難猜,但也更難記住。 對於客戶而言,通常可以管理八到十個字符,同時保持良好的安全性。 他們將習慣於為 Facebook 和 Amazon 等網站提供這種長度的組合。

您可能希望為商店經理和員工提供更長的密碼,以確保安心。 他們的帳戶擁有更多敏感信息並擁有更多特權。 考慮將最小值設置為 12 到 20 個字符。

為了幫助您的員工和客戶,您還可以推薦他們可以用來安全存儲其憑據的密碼管理器。

2.需要多種字符類型

大多數客戶習慣於在密碼中使用大寫和小寫字母以及數字。 由於這是跨流行平台的標準做法,您可以將這些規定包含在您的政策中,而不會增加用戶摩擦。

堅持使用特殊字符(如 !、@、& 或 *)會使密碼更難猜。 但是,這項政策對用戶來說有點麻煩。 如果您想安全起見,可以將其保留為商店經理密碼。

3.實施過期政策

讓客戶和商店經理定期重置密碼使攻擊者幾乎不可能猜出密碼。 但是,有些人可能會認為此任務繁瑣,因此您可能需要考慮為客戶提供更長的有效期。

過期政策在社交媒體或電子商務網站上並不常見。 您更經常在屬於收集高度個人用戶信息的組織(例如 Google 和銀行)的網站上看到它們。

由於購物者可能不太習慣此要求,因此您可能會完全放棄它。 但是,您可能每年需要一次或兩次新密碼,而不會引起太多抗議。 這也是與我們的客戶取得聯繫的一個很好的藉口。

但是,商店經理帳戶包含更敏感的信息。 因此,強制執行四到六週的有效期並非不合理。 對於商店經理,您還應該考慮啟用休眠 WordPress 用戶策略,因此非活動用戶帳戶不會危及您的電子商務商店和商業網站的安全。

4. 禁止密碼重用

此策略可防止用戶在過期後回收他們以前的密碼。 同樣,有些人可能會覺得這個要求很煩人,所以給顧客比商店經理多一點寬容。

防止客戶重複使用他們最近的兩個密碼是合理的。 對於商店經理,您可以將該限制增加到他們使用的最後五或六個組合。

如何為您的 WooCommerce 客戶實施密碼策略

在您開始在 WooCommerce 商店上執行密碼策略之前,您需要一種方法來執行此操作。 這就是 WPassword 的用武之地。

密碼

該插件使用 WordPress 自己的安全機制來重置和存儲密碼。 它還清楚地顯示密碼策略。 客戶不必試圖弄清楚您的標準是什麼。 他們有明確的指導方針,任何非技術人員都可以理解。

清楚顯示需要滿足的密碼策略

此外,您可以根據用戶角色創建策略,使客戶能夠使用比商店經理更簡單的密碼。 有關如何執行此操作的更多信息,請參閱為每個角色配置不同的密碼策略:

為每個用戶角色配置不同的密碼策略

一旦您配置了強密碼策略,用戶在創建新帳戶或更改密碼時都會被提示遵循這些策略。 我們插件的優勢之一是它向用戶展示了需求。 通過消除等式中的猜測,您可以減少密碼和客戶帳戶安全的麻煩。

您使用自定義登錄頁面嗎?

WordPress 上的大多數電子商務解決方案,包括 WooCommerce 都使用自定義用戶門戶登錄頁面。 如果是這種情況,您仍然可以強制執行強密碼策略。 有關如何輕鬆實現此目的的更多信息,請參閱在自定義登錄頁面上實施強密碼策略。

確保您的電子商務客戶的帳戶安全

在您的 WooCommerce 或其他電子商務商店上實施密碼安全可能很棘手。 您希望確保客戶數據的安全。 但是,您不想用複雜的規則來挫敗他們。 回顧一下,以下是您的在線商店需要考慮的四項政策:

  1. 設置最小密碼長度,但對於客戶來說,密碼長度要短於商店經理(大約八個字符)。
  2. 需要多種字符類型,並為商店管理員密碼保留特殊字符。
  3. 實施過期政策,但不要以每年兩次以上的密碼重置通知糾纏客戶。
  4. 禁止在特定時間範圍內重複使用密碼,延長商店經理的時間,同時縮短客戶的時間。

您可以使用 WPassword 完成上述所有操作。 最重要的是,它還在設置帳戶或重置密碼時為用戶提供有效的建議。

額外提示:實施兩因素身份驗證

除了強密碼策略之外,您還應該至少為您的團隊實施雙重身份驗證 (2FA),例如其他管理員、編輯和商店經理。 使用適用於 WordPress 的正確雙因素身份驗證插件,可以在幾秒鐘內完成配置和啟用 2FA。