WordPress 密碼保護 – 完整指南
已發表: 2022-08-02這是針對企業網站管理員和所有者的 WordPress 密碼保護“終極”或綜合指南。 它是為那些管理或是 WordPress 網站管理員的人編寫的。
根據 WordPress 和安全軟件供應商的說法,除了角色之外,下一個最易受攻擊且最容易強化的 WordPress 網站安全性是您對密碼的使用。 有了登錄憑據,有人可能會訪問您的網站以及 WordPress 儀表板中可用的所有配置和數據。 登錄用戶可能會冒充您,添加、修改或刪除項目,破壞您的網站並毀掉您的業務。
這篇博文提供了一系列最佳實踐指南,以幫助您在整個組織中建立安全的 WordPress 密碼保護,並讓您的用戶了解他們的使用方法。
目錄
- 建立強大的密碼安全策略
- 強密碼是什麼樣的?
- WordPress 用戶角色及其安全隱患
- 安裝正確的 WordPress 密碼安全工具和插件
- 為 WordPress 密碼保護樹立一個好榜樣
- 聘請密碼管理器
- 使用密碼管理器的好處
- 啟用兩因素或多因素身份驗證
- 教育您的用戶了解 WordPress 密碼保護
- 談論有新聞價值的數據洩露
- 執行您的強密碼策略
- WordPress 密碼安全的管理員活動
- 強調使用密碼管理器的壓力消除和節省時間的好處
- 強調對強大的 WordPress 密碼安全性的值得投資
- 建立其他相關保障措施
建立強大的密碼安全策略
作為 WordPress 網站管理員,您有機會也有責任對您的用戶實施強密碼策略。 這樣做,您將保護您的組織、其網站、數據、員工和其他用戶免受一系列攻擊。
- 對於公司及其內部員工,營銷人員將需要訪問 WordPress 網站來創建和編輯網站頁面和博客文章,而其他人只需要訪問權限來審核和回複評論。 另一方面,客戶帳戶管理或客戶服務員工將需要不同級別的客戶帳戶訪問權限,以響應支持請求。 在這種情況下,大多數內部員工用戶將不需要訪問客戶帳戶,但有些人會這樣做。 從事 IT 支持工作的人員可能需要訪問客戶帳戶的某些方面,但不是全部。
- 讓我們考慮另一個觀點,即電子商務 WordPress 網站上的外部用戶的觀點。 他們可能需要登錄來管理他們的帳戶、進行購買、跟踪交付或退貨的狀態,或聯繫客戶支持。 例如,這些相同的用戶不應被授予創建或刪除網頁的權限,或者能夠查看其他客戶的帳戶和財務詳細信息。 在某些情況下,電子商務網站根本不需要作為客戶的用戶創建帳戶並登錄,因為它有時可能成為獲得銷售的障礙。
為什麼所有這些考慮都是必要的? 用戶難道不知道如何創建和使用安全密碼嗎?
一般的計算機用戶一般都沒有受過關於 WordPress 密碼保護或 WordPress 密碼安全性的良好教育。 他們很可能會對自己的在線數據採取鬆懈的態度,並發現管理登錄憑據的壓力很大(所有這些我們將在後面討論),他們將它們寫在便籤上並貼在他們的顯示器上!
此外:
- 密碼猜測機器人變得越來越複雜
- 惡意黑客仍在使用暴力破解和字典攻擊
如果惡意黑客已經擁有可能構成弱密碼一部分的真實姓名等個人信息,惡意黑客的惡意活動就會變得更加容易。
強密碼是什麼樣的?
- 更長的密碼——一般來說,密碼越短,就越容易受到暴力破解或字典攻擊。 當前最好的建議是為您的密碼設置至少 16 個字符並允許空格。 一些密碼生成器允許用戶自定義他們創建的安全、隨機密碼的長度。
- 混合密碼– 使用字符(大寫和小寫)、數字和特殊字符的隨機組合。 這將保護您的密碼免受字典攻擊。 避免字典單詞和字母或數字模式,用數字替換字母('@' 代替 'a','0' 代替 'O',包括鍵盤序列(qwerty)。
- 隨機密碼——讓您的密碼與您無關。 請勿使用您姓名的任何部分,或寵物、孩子或其他親屬姓名的任何部分。 不要使用您的出生日期、郵政地址或任何其他惡意黑客可以輕鬆連接到您的公共信息。 此外,避免使用同事或熟人可能猜到的信息,例如暱稱。
- 更改密碼- 定期重置您的密碼(建議每三個月一次)。這會重新啟動任何暴力嘗試的時鐘,並讓您領先於不道德的黑客技術的進步。
- 不同的密碼——為每個網站設置不同的密碼。 這樣,如果一個被破壞,其他的仍然是安全的。 每天使用密碼管理器來存儲、更新和使用它們。
- 保存的密碼——不要使用瀏覽器配置、筆記本電腦或共享文件夾來保存密碼,以防您的計算機被黑客入侵或被盜。 這就是密碼管理器的用途!
WordPress 用戶角色及其安全隱患
角色的配置對 WordPress 網站的安全性有很大的影響。 作為一般規則,WordPress 的安全性應與網站上包含或交換的敏感信息的級別成正比。
首先,讓我們看一下管理員角色:
- 超級管理員– 分配給使用 WordPress 多站點網絡的多站點所有者,它為您提供與管理員角色完全相同的權限
- 管理員- 在安裝時自動分配給網站所有者/創建者,它使您可以完全控製網站,包括刪除,他們可以:安裝、編輯和刪除主題和插件; 運行升級和更新; 創建、編輯和刪除頁面和博客文章; 添加、編輯和刪除用戶,包括其他管理員; 以及添加、編輯和刪除媒體
所有其他用戶角色,按權限範圍遞減的順序列出:
- 編輯器——可以添加、編輯和刪除新頁面、博客文章、媒體; 創建類別和標籤; 發布自己和他人撰寫的內容; 和溫和的評論
- 作者——只能添加、編輯和發布自己的內容; 上傳媒體; 並將現有類別和標籤分配給博客文章
- 貢獻者——只能添加和編輯他們自己的內容; 並將現有的類別和標籤分配給他們自己的博客文章
- 訂閱者——只能更新自己的用戶資料; 閱讀他人的內容; 並添加評論
遵循最小權限原則,當您在 WordPress 中設置角色以委派任務時,請避免授予其他任何人(超級)管理員訪問權限,除非他們需要對網站、其功能和用戶具有這種級別的控制權。 由於讀者可以在您的網站上看到“發布者”(用戶名),作為額外的預防措施,管理員應該為自己設置一個額外的編輯器用戶,並且只在需要執行時使用(超級)管理員帳戶登錄這些更高級別的任務。 這意味著如果惡意黑客正在考慮進行暴力攻擊,他們可以依賴的信息就更少了。
有關詳細信息,請參閱如何使用 WordPress 用戶角色來提高 WordPress 安全性。
安裝正確的 WordPress 密碼安全工具和插件
您可以對用戶強制使用強 WordPress 密碼的一種方法是使用 WPassword 插件來:
- 在幾秒鐘內在您的 WordPress 網站上實施強密碼
- 提供提示以幫助用戶想出強密碼(而不必猜測)
- 在密碼保護的重要方面配置密碼策略,例如密碼複雜性、歷史和年齡
- 根據用戶角色配置密碼策略,以適應定制的專家角色,或將特定用戶排除在特定策略之外。
- 如果檢測到攻擊,請立即重置所有密碼
- 實施休眠用戶策略,以消除在策略實施之前設置的非活動用戶帳戶發布的威脅
為 WordPress 密碼保護樹立一個好榜樣
我們建議您使用安全憑據,並且您還鼓勵您的用戶這樣做。
- 將您的強密碼(請參閱強密碼是什麼樣的?)與強用戶名相結合。
- 作為管理員,請避免使用明顯且弱的默認用戶名,例如 admin、default、password 或 guest
- 不要讓壞演員變得如此容易,以至於他們只剩下一個憑證可以發現
請記住,如果您依賴 WordPress 密碼安全措施,您還必須使用插件強制使用強密碼。 WordPress 沒有內置或默認的強密碼強制執行。
聘請密碼管理器
密碼管理器是一種在線服務或軟件客戶端,可跨多個網站和服務安全地存儲和管理用戶憑據。 使用單個主密碼和多因素身份驗證選項訪問此信息。 流行的例子包括 1Password 和 KeePass。 但是,即使有許多在線密碼管理器,這也無法替代可靠的備份和可靠性。
使用密碼管理器的好處
- 他們不必記住每個網站的密碼是什麼——同時也是工作場所最大的痛點之一,這是通過在許多在線服務中使用相同憑據的懶惰和瘋狂的做法“解決”的。
- 他們不會試圖以違反數據保護法規的書面形式或可能被洩露的在線文件存儲登錄憑據。
- 它將解放用戶使用複雜和不同的密碼。 許多密碼管理器都有一個內置的密碼生成器,帶有方便快捷的瀏覽器彈出建議,還可以立即記錄新記錄。
- 他們不會讓他們的帳戶或網站對惡意黑客和自動機器人開放。
- 密碼管理員經常監控電子郵件地址,並在用戶出現在暗網上後提醒他們。 而且,他們還可能建議更改重複使用的或其他弱密碼。
啟用兩因素或多因素身份驗證”
除了傳統的用戶名和密碼組合之外,雙因素或多因素身份驗證是在授予用戶訪問網站或應用程序之前必須輸入的額外憑據層。 當有人已經在使用強密碼時使用它,因為多因素方法最適合 WordPress 安全性。 強密碼和用戶名組合可能會被盜。 一次性代碼由應用程序生成,並通過發送到用戶個人設備、電子郵件帳戶或手機的電子郵件或 SMS 接收,惡意黑客更難以規避。
有幾種替代方案聲稱是 WordPress 最好的兩因素身份驗證插件。 檢查這些。 但我們強烈推薦我們自己的產品——WP 2FA 插件。 它不僅會改善您的 WordPress 網站的身份驗證,而且在設計時考慮到了易用性和設置的簡單性。 它還允許您強制執行 2FA,並為不同的用戶角色提供完全可配置的 2FA 策略。 WPassword 和 WP 2FA 插件的組合使您的 WordPress 網站超級安全。
教育您的用戶了解 WordPress 密碼保護
您的網站用戶已經模糊地知道需要強大的密碼安全性。 但他們經常對此無能為力。
那麼,具體來說,您需要對他們進行哪些教育?
談論有新聞價值的數據洩露
弱密碼是 WordPress 網站安全的最大威脅之一。 為什麼? 因為弱憑證——很容易被暴力破解或字典攻擊繞過——是我們在新聞中讀到的數據洩露的主要原因。 再加上默認密碼或被盜密碼或從丟失或被盜設備中獲取的密碼導致的數據丟失,問題就會成倍增加。
惡意黑客和未經授權的用戶在訪問您的網站時會做什麼?
- 在基本層面上,他們可以更改您的配置或插入惡意軟件
- 他們還可以將流量重定向到您的網站或使用它來分發盜版軟件
- 在最嚴重的攻擊中,他們可以竊取和濫用敏感數據,製造虛假銀行費用,或收集財務和其他信息以在暗網上轉售
- 除了這些商業活動之外,黑客活動分子還可以用仇恨言論將您的網站政治化或破壞
確保您的內部員工用戶了解對內部公司信息和外部客戶數據的重大組織範圍內的影響,以及罰款或強制公司罷工。 並且,向您的網站客戶重複相同的信息,以確保他們優先考慮自己的個人、財務、健康和其他敏感數據的安全。
此類數據洩露可能對您的組織和網站產生巨大的負面影響:
- 對您的組織和網站失去聲譽和信心
- 來自監管機構的巨額罰款,以及來自合作夥伴和客戶的其他處罰或解約
執行您的強密碼策略
- 首先,讓您的用戶了解強密碼是什麼樣的? 以及使用密碼管理器的好處? 例如,確保他們知道持久且嚴重不安全的密碼公式,例如thisismypassword、123456789、 [mykidsname] 或 [mypetsname]。 並且,鼓勵使用強密碼公式(例如vqO&V13@H% fF 或@iGOuqk%W0xY )。 不要為您的任何服務或用戶共享或使用這些特定示例。 它們只是示例。
- 定期提醒內部員工他們簽署的僱傭和/或數據保護政策,以及他們對雇主的個人法律責任。
- 定期提醒內部員工,公司向客戶和客戶作出的數據保護政策和聲明依賴於他們遵循公司政策,並且它們具有潛在的嚴重和永久的法律、財務、就業和執法影響。
- 鼓勵用戶使用同樣具有密碼生成器工具的密碼管理器創建自己的安全密碼。 大多數密碼管理器軟件也會有自己的,這在您為在線和其他服務創建新帳戶時很有幫助。
WordPress 密碼安全的管理員活動
- 使用掃描儀(例如 WPScan)檢查 WordPress 用戶密碼的密碼強度。
- 使用惡意黑客使用的工具來嘗試“猜測”您用戶的密碼。 自己安排蠻力和字典攻擊!
- 鎖定密碼較弱的用戶並發送提示以重置密碼。
- 舉辦有關如何使用所選密碼管理器的研討會。
強調使用密碼管理器的壓力消除和節省時間的好處
您的許多用戶可能會看到需要強密碼,但由於不熟悉以及在實踐中感知到的困難或成本而不願意使用它們。 在那裡,您可以加強使用密碼管理器的便利性和優勢,以及低成本、可靠性和易於保存憑據備份的優勢。
只需記住一個密碼而不是多個密碼,這是一個巨大的優勢。
從用戶的角度來看,亮點是:
- 他們只需要記住一個密碼——幸福!
- 密碼管理器將充當新的密碼生成器、密碼管理工具和現場為他們輸入安全憑據的提示
強調對強大的 WordPress 密碼安全性的值得投資
我們需要面對事實。 如果一些潛在用戶被迫使用強密碼並經常更改密碼,他們將被推遲註冊您的網站。 最初設置這些程序需要一些時間和精力。 有些人會認為這是他們不想要的麻煩,而另一些人會抱怨這會破壞他們對您網站的用戶體驗。
建立和執行強大的 WordPress 密碼安全策略,可能使用根據用戶角色區分密碼策略和安全級別的插件,將用戶干擾降至最低。
建立其他相關保障措施
作為網站所有者或 WordPress 管理員,以下是一些關於 WordPress 密碼安全性需要考慮的更大問題的結論性建議:
- 熟悉 WordPress 的通用 WordPress 安全強化和保護協議。 WordPress網站被黑客入侵有特定的原因。 作為管理員或所有者,了解這些是什麼以及如何處理它們對您有利。 是的,弱密碼是一個主要問題,缺少 2FA 和活動日誌也是如此。 但是您知道使用過時的 WordPress 核心、插件和其他軟件也是一個嚴重的問題嗎?
- 使用 WordPress 活動日誌插件,讓您知道未經授權的用戶是否訪問了您的帳戶,如果是,他們造成了什麼損害。 我們的 WP 活動日誌可幫助您儘早識別可疑行為並防止對您的網站進行任何惡意黑客攻擊。
- 為您的 WordPress 網站設置休眠或非活動用戶策略。 被忽視的用戶帳戶是惡意黑客的一個輕鬆入口。
- 即使您使用強密碼並對用戶實施強密碼策略,您的網站也可能被黑客入侵。 如果您的網站遭到入侵,最好立即知道。 這是一項免費的數據洩露通知服務,我們建議您查看。
您對 WordPress 密碼保護或我們在這篇博文中提到的任何產品有任何疑問嗎? 請在下面告訴我們! 記住 Chris Pirillo 的話:
“密碼就像內衣:不要讓別人看到,要經常更換,不要與陌生人分享。”
獲得 WPassword 的 7 天試用版以體驗它並幫助您的網站用戶使用強大的 WordPress 密碼