為什麼強密碼策略對您的 WordPress 網站如此重要
已發表: 2020-09-10如果您管理 WordPress 網站已有一段時間,您可能想知道為什麼強密碼策略如此重要。 當然,用戶知道他們需要使用強密碼嗎? 不幸的是,許多用戶故意使用弱密碼,使您的 WordPress 網站處於危險之中。
這種情況繼續發生有不同的原因。 有些人不想記住複雜的密碼。 而其他人則喜歡在多個站點上重複使用相同的密碼。 無論哪種方式,執行強密碼策略都可以保護您免受用戶錯誤密碼選擇的影響,例如password123 。
在這篇文章中,我們將解釋為什麼密碼安全性如此重要,以及如何保證所有用戶只需點擊幾下即可選擇強密碼。 但首先,讓我們檢查一下如何在密碼管理器的幫助下確保所有用戶都選擇強密碼。
為什麼你應該使用密碼管理器
不到 75% 的網站用戶難以記住他們的密碼。 這會引發風險行為,例如跨多個站點重複使用密碼或將敏感密碼存儲在可能被洩露的在線文件中。 正是由於這個原因,許多 WordPress 管理員未能實施強密碼策略。 他們擔心如果被迫記住複雜的密碼,他們的用戶會被推遲。
但是,用戶是否可以記住他們的密碼不應該被考慮在內。 通過使用密碼管理器,您可以使用非常強大、難以猜測且不同的密碼,而無需記住它們。
什麼是密碼管理器?
密碼管理器是一種軟件或在線服務,可以安全地存儲不同在線帳戶的憑據。 密碼管理器中的所有信息均受一個主密碼保護。 許多還促進了雙因素身份驗證,使其更加安全。
通過推廣使用密碼管理器,您的 WordPress 用戶只需記住一個主密碼。 因此,他們更容易遵守您嚴格的密碼策略。 我們推薦 1Password 或 KeePass,因為我們經常使用它們。
什麼是強密碼策略(和密碼安全)?
實施強密碼策略需要多個步驟。 許多 WordPress 管理員認為他們可以完全依賴 WordPress 自己的密碼安全儀表。 這是行不通的,因為它只建議用戶使用更強的密碼,但並不強制他們這樣做,如如何在 WordPress 上強制使用強密碼中所述。 僅僅一個簡單的最小密碼長度策略並不足以防止安全漏洞。
雖然密碼長度是一個重要因素; 它需要附有以下附加密碼策略:
- 大寫和小寫字母
- 數字
- 特殊字符
- 定期更換
- 阻止重複使用舊密碼
密碼策略的方法需要多管齊下。 否則,密碼將不足以消除破壞您的 WordPress 網站的可能性。
為什麼強密碼策略如此重要?
實施強密碼策略非常重要,因為它可以防止一系列攻擊。 自動猜測密碼的機器人已經變得複雜起來。 如果黑客設法找到與 WordPress 帳戶關聯的電子郵件,他們可以使用該軟件強行進入該帳戶。
字典攻擊是用於暴力破解用戶帳戶的最常用技術之一。 它通過嘗試數千甚至數百萬種可能的可能性來工作,例如字典中的單詞或從過去的安全漏洞中獲得的以前使用的密碼。 這就是為什麼字母數字密碼至關重要的原因。 一串字典單詞可以在幾毫秒內被破解。 即使密碼長度超過十個字符也不夠。
強密碼策略還可以保護網站免受手動黑客攻擊。 這是一種網絡犯罪分子獲取個人信息(例如用戶的出生日期或地址)的場景,這些信息經常構成粗心用戶設置的部分弱密碼。
強密碼的特點是什麼?
無論您是使用自動密碼生成器還是創建自己的密碼生成器,準確了解您需要關注什麼以使您的 WordPress 密碼盡可能安全都非常有用。
更長的密碼更強大
您應該關注的第一項是長度。 更長的密碼幾乎總是更強大。 現代技術可以在 0.29 毫秒內猜出僅包含字母的七個字符的密碼。 十個字符的密碼需要四個月。 將其增加到 12 個字符,突然之間,您的密碼將需要兩個世紀才能破解。 對於一些額外的角色來說,回報還不錯。
所有密碼都應該是字母數字
接下來,確保同時包含字母和數字字符以增加另一層複雜性。 “ 123456789”的密碼每秒可被破解數百次。 但是通過在前面添加字母A來製作“ A23456789” ,您可以享受數十年的暴力技術保護。
始終包含特殊字符
接下來,確保包含特殊字符以及大小寫字母,以進一步提高複雜性。 “密碼”可以在幾毫秒內被破解。 但是“ P@ssw0rD”需要 14 年。
每隔幾個月,您應該更改一次密碼
破解密碼所涉及的技術以越來越快的速度發展。 因此,您保留密碼的時間越長,它就越容易受到攻擊。 因此,定期更換它勢在必行。 當從其他站點的安全漏洞中收集舊密碼信息時,它還可以保護您的帳戶免受惡意接管。
使用弱密碼有什麼危險?
根據您運營的 WordPress 網站的類型,使用弱密碼可能會有很大的風險。 例如,如果您經營一家電子商務商店,如果用戶的密碼不安全,他們可能會冒著支付信息的風險。
不僅如此,黑客還可以訪問購物者的帳戶並開始將代碼放入您的網站以收集各種卡詳細信息的信息。 然後網絡犯罪分子在暗網上出售這些信息。 如果發現您主持了這種性質的數據洩露,您的客戶將對您的站點的安全性失去信心。 更糟糕的是,您可能會發現自己被國家監管機構處以巨額罰款。
那些有其他意圖的人(例如黑客主義者)可能會選擇用政治口號或種族主義辱罵來破壞您的網站。 再次動搖訪問者的信任並玷污公司的聲譽。
弱密碼是數據洩露的主要原因
不要忘記,尖端的黑客軟件可以在幾秒鐘內猜出 100 億個密碼組合。 弱密碼通常是造成上述情況的原因。 Verizon 2016 年的一項研究發現,63% 的已確認數據洩露涉及使用弱密碼、默認密碼或被盜密碼。 Bitglass 進行的研究發現,自 2006 年以來,25% 的金融服務行業違規行為可歸因於設備丟失或被盜(以及密碼被盜)。
這兩種情況都完美地說明了與弱密碼和不強制定期更改密碼的密碼策略相關的危險。 這就是為什麼管理強密碼策略如此重要的原因。
但是您可能想知道如何才能為您的 WordPress 網站實現這一目標。 幸運的是,有一個易於使用的插件可以在幾分鐘內保護您的網站免受弱密碼的影響。
如何使用 WPassword 設置您自己的強密碼策略
WPassword 插件允許您執行強密碼策略,包括:
- 最小密碼長度
- 強制使用大寫和小寫字母
- 使用數字的要求
- 強制使用特殊字符
- 還有更多(閱讀完整的插件功能列表以獲取更多信息)
要開始使用,只需下載並安裝 WPassword。 然後轉到 WordPress 儀表板中設置菜單中的“密碼策略”節點。
如何使用 WPassword
在這裡,您可以配置您網站的密碼策略並強制您的用戶使用強 WordPress 密碼。 您可以規定上述密碼管理規則以及實施密碼過期策略。 該政策將確保用戶經常更改密碼並避免重複使用舊密碼。
WPassword 還允許 WordPress 管理員:
- 從密碼策略中免除特定用戶或角色
- 指定用戶會話在密碼到期時終止的時間
- 只需單擊鼠標即可重置所有密碼
如果發生 WordPress 黑客攻擊,最後一項功能可以幫助您通過淘汰所有用戶並要求他們重置密碼來重新控制您的用戶帳戶。
最後,在此插件的設置中,您還可以選擇使用非活動 WordPress 用戶策略禁用非活動帳戶。 非活動帳戶特別容易受到攻擊,因為它們可能是在幾年前設置的,當時您還沒有實施強密碼策略。 正是出於這個原因,黑客瞄準了他們。 因此,請確保鎖定非活動用戶,以阻止那些惡意入侵者劫持這些帳戶。
開始設置您的強密碼策略
希望您現在應該充分理解為什麼強密碼策略對您的 WordPress 網站的安全性如此重要。 自動黑客軟件可以輕鬆破解弱密碼,用戶帳戶洩露的後果可能是災難性的。
因此,使用WPassword插件是有意義的,這樣您就可以:
- 對您的用戶實施強密碼
- 將到期日期附加到密碼
- 鎖定休眠用戶
- 免除特定用戶角色
- 一鍵重置所有密碼
下載 WPassword以開始使用。
額外提示:添加 2FA 以獲得更強大的 WordPress 身份驗證
使用適用於 WordPress 的 WP 2FA 插件安裝雙重身份驗證,使您的網站幾乎無法穿透。
通過實施雙重身份驗證,您可以要求用戶使用另一個密碼、另一個設備或一條生物特徵信息來識別自己。 因此,即使黑客擁有正確的用戶名和密碼組合,這個額外的安全層也可以保護用戶帳戶。