Benutzern schwache Passwörter zu erlauben, ist, als würde man seine Haustür weit offen stehen lassen. Es ist eine Einladung für Diebe und Hacker, einzubrechen.
Benutzer wählen oft überall dasselbe kurze und unsichere Passwort. Wenn Sie auf Ihrer WordPress-Site keine starken Passwörter erzwingen, setzen Sie Ihre Inhalte und sensiblen Benutzerdaten einem Risiko aus.
Anstatt die Passwortstärke dem Zufall zu überlassen, zeigt Ihnen dieser Artikel, wie Sie Ihre Benutzer dazu zwingen, starke Passwörter auf Ihrer WordPress-Website zu erstellen und so Ihre Online-Sicherheit zu verbessern.
Warum starke Passwörter für Ihre WordPress-Benutzer erzwingen?
Starke Passwörter erschweren es Hackern, mit Brute-Force-Angriffen auf Ihre Website zuzugreifen. Wenn Sie Zeit damit verbracht haben, die Sicherheit Ihrer WordPress-Website-Sicherheit zu optimieren, dann möchten Sie auch Ihre Anmeldeseiten durch die Verwendung eines starken Passworts schützen.
Wenn Sie jedoch einen Online-Shop, eine Mitgliederseite oder einen Blog mit mehreren Autoren haben, besteht das Risiko, dass Ihre Kunden oder andere Website-Benutzer Ihre Website durch die Verwendung schwacher, leicht zu erratender Passwörter für Brute-Force-Angriffe anfällig machen.
Benutzer mit schwachen Passwörtern können ein Sicherheitsrisiko darstellen, insbesondere solche mit Benutzerrollen auf hoher Ebene wie Administratoren und Redakteure.
WordPress verfügt über integrierte Einstellungen, die den Benutzern anzeigen, wie stark das Passwort beim Erstellen eines Kontos ist, erzwingt aber nicht dessen Stärke.
Glücklicherweise können Sie ein WordPress-Plugin verwenden, um Ihre Benutzer zu zwingen, ein starkes Passwort zu erstellen, wenn sie ein Konto auf Ihrer WordPress-Website erstellen.
Mit diesem gesagt, schauen wir uns an, wie Sie Ihren WordPress-Benutzern ein starkes Passwort aufzwingen können. Verwenden Sie einfach die Schnelllinks unten, um zu der gewünschten Methode zu springen:
- Starke Passwörter mit Solid Security erzwingen
- Erzwingen starker Passwörter mit Password Policy Manager
- Unsere besten Anleitungen zum Schutz von WordPress-Passwörtern
Methode 1. Starke Passwörter mit Solid Security erzwingen
Der einfachste Weg, starke Passwörter zu erzwingen, ist mit einem WordPress-Sicherheits-Plugin. Wir empfehlen Solid Security (früher iThemes Security), da es Ihnen ermöglicht, starke Passwörter mit wenigen Klicks zu erzwingen.
Es gibt eine Premium-Version, die Security Hardening, Dateiintegritätsprüfungen, 404-Erkennungen und mehr bietet, aber wir werden für dieses Tutorial die kostenlose Version verwenden, da sie über Funktionen zum Passwortschutz verfügt. Weitere Details finden Sie in unserem vollständigen Solid Security-Testbericht.
Das Erste, was Sie tun müssen, ist das Plugin zu installieren und zu aktivieren. Weitere Details finden Sie in unserem Leitfaden unter wie man ein WordPress-Plugin installiert.
Gehen Sie nach der Aktivierung zu Sicherheit » Einrichtung, um Ihre Sicherheitseinstellungen auszuwählen. Es gibt einen Einrichtungsassistenten, der Sie durch die Konfiguration des Sicherheitspakets für Ihre Bedürfnisse führt.
Klicken Sie zuerst auf die Option für die Art der Website, die Sie haben. Wir wählen die Option „Blog“.
Jetzt sehen Sie einen Schalter, um 'Security Check Pro' zu aktivieren. Dies konfiguriert automatisch Ihre Sicherheitseinstellungen, um HTTP-Anfragen auf HTTPS umzuleiten und Sie vor IP-Spoofing zu schützen.
Sie sollten diese Einstellung auf die Position „Ein“ schalten.
Danach müssen Sie auswählen, ob es sich um eine persönliche oder eine Kunden-Website handelt.
Wir wählen für dieses Tutorial „Self“.
Als Nächstes gibt es einen Schalter, um eine starke Passwortrichtlinie für Ihre Benutzer zu aktivieren.
Sie müssen auf den Schalter klicken, um ein starkes Passwort für Ihre Benutzer zu erzwingen, und dann auf „Weiter“ klicken.
Nun haben Sie erfolgreich erzwungen, dass Benutzer ein starkes Passwort haben. Es gibt eine Vielzahl anderer Einstellungen, die Sie aktivieren können, um Ihre Anmeldung noch sicherer zu machen.
Wenn Sie möchten, können Sie eine Liste von IP-Adressen zu einer Whitelist hinzufügen, um zu verhindern, dass diese von Ihrer Website ausgesperrt werden. Sie müssen die IP-Adresse jedes Benutzers auflisten. Sie können Ihre eigene IP-Adresse schnell hinzufügen, indem Sie auf die Schaltfläche „Meine IP-Adresse autorisieren“ klicken.
Sie sollten die Einstellung für die IP-Erkennung auf „Security Check Scan (Empfohlen)“ belassen und dann auf die Schaltfläche „Weiter“ klicken.
Wenn Sie zwei-Faktor-Authentifizierung aktivieren möchten, klicken Sie auf den Schalter in die Position Ein und dann auf die Schaltfläche „Weiter“.
Danach werden Sie gefragt, ob Sie einige weitere Sicherheitseinstellungen für verschiedene Benutzergruppen aktivieren möchten. Sie können einfach auf „Standard-Benutzergruppen“ klicken.
Dies führt Sie zu einem Bildschirm, auf dem Sie starke Passwörter erzwingen und andere Einstellungen nach Benutzerrolle ändern können.
Der erste Bildschirm sind Ihre Sicherheitseinstellungen für Administratorbenutzer.
Sie können starke Passwörter aktivieren und sich weigern, Benutzer mit einem kompromittierten Passwort zu registrieren, das zuvor auf anderen Websites verwendet wurde.
Um die Sicherheitseinstellungen für andere Benutzer zu ändern, klicken Sie einfach auf eine andere Rolle oben auf dem Bildschirm. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche „Weiter“ oben oder unten auf dem Bildschirm.
Dies führt Sie durch den Rest des Einrichtungsassistenten, um zusätzliche Sicherheitseinstellungen für Ihre Website zu aktivieren.
Wenn Sie Ihre Passwort-Einstellungen in Zukunft ändern möchten, gehen Sie zu Sicherheit » Einstellungen, klicken Sie auf 'Benutzergruppen' und wählen Sie die Gruppe aus, die Sie ändern möchten.
Stellen Sie nach Abschluss sicher, dass Sie unten auf dem Bildschirm auf die Schaltfläche 'Speichern' klicken, um Ihre Einstellungen zu speichern.
Methode 2: Erzwingen starker Passwörter mit dem Passwortrichtlinien-Manager
Eine weitere Möglichkeit, starke Passwörter auf Ihrem WordPress-Blog zu erzwingen, ist die Verwendung des Password Policy Manager-Plugins. Es ermöglicht Ihnen, einfach Regeln für starke Passwörter zu erstellen, denen Ihre Benutzer folgen müssen, bietet aber keine anderen Sicherheitsfunktionen zum Schutz Ihrer Website, wie es iThemes Security tut.
Das Erste, was Sie tun müssen, ist das Plugin zu installieren und zu aktivieren. Weitere Details finden Sie in unserem Anfängerleitfaden zum Thema Installieren eines WordPress-Plugins.
Nach der Aktivierung haben Sie eine neue Menüoption namens „miniOrange Password Policy“ in Ihrem WordPress-Admin-Panel. Sie müssen darauf klicken, um Ihre Passwortregeln festzulegen.
Klicken Sie dann auf den Schalter „Passwortrichtlinieneinstellungen“, um Ihre Einstellungen für starke Passwörter zu aktivieren.
Danach können Sie Ihre Einstellungen für starke Passwörter festlegen. Aktivieren Sie einfach die Kontrollkästchen für die von Ihnen gewünschten Passwortanforderungen.
Legen Sie als Nächstes die erforderliche Passwortlänge fest.
Danach können Sie wählen, ob Passwörter nach einem festgelegten Zeitraum ablaufen sollen.
Wenn Sie dies aktivieren möchten, klicken Sie auf den Schalter „Ablaufzeit aktivieren“ und geben Sie dann die Ablaufzeit in Wochen ein.
Stellen Sie nach Abschluss sicher, dass Sie auf die Schaltfläche „Einstellungen speichern“ klicken.
Sie können auch jederzeit die Passwörter aller Ihrer Benutzer zurücksetzen. Klicken Sie einfach auf die Schaltfläche „Passwort zurücksetzen“, und alle Ihre Benutzer werden aufgefordert, neue starke Passwörter zu erstellen.
Unsere besten Anleitungen zum Schutz von WordPress-Passwörtern
Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie starke Passwörter für Benutzer in WordPress erzwingen können. Möglicherweise möchten Sie auch einige andere Anleitungen zum Schutz von WordPress-Passwörtern sehen:
- So ändern Sie Ihr Passwort in WordPress (Anfängerleitfaden)
- So verwalten Sie Passwörter einfach und sicher (Anfängerleitfaden)
- Wie und warum Sie Anmeldeversuche in WordPress begrenzen sollten
- So fügen Sie einen einfachen Benutzerpasswortgenerator in WordPress hinzu
- So erlauben Sie Benutzern, Passwörter auf dem WordPress-Anmeldebildschirm auszublenden/anzuzeigen
- So setzen Sie Passwörter für alle Benutzer in WordPress zurück
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Dayo Olobayo
Vielen Dank für diese klare und informative Anleitung zur Erzwingung starker Passwörter. Eine Frage, die ich jedoch habe, ist, ob sich diese Plugins leicht in andere Sicherheitspins integrieren lassen. Zum Beispiel Plugins für Malware-Scans oder die Überwachung von Anmeldeversuchen.
WPBeginner Support
Sie müssen dies mit dem spezifischen Sicherheitsprotokoll, das Sie verwenden, überprüfen, da verschiedene Protokolle unterschiedliche Konflikte aufweisen oder gut zusammenarbeiten können.
Admin
Dayo Olobayo
Vielen Dank für die Klärung. Ich werde die Kompatibilität mit meinen spezifischen Plugins prüfen.
Mrteesurez
Gute Arbeit hier.
aber meine Frage ist, warum besteht ein Risiko, wenn meine Website-Benutzer schwache Passwörter verwenden, obwohl sie eigentlich nicht die Administratoren sind??
Außerdem danke für das Plugin Password Policy Manager, ich liebe, wie es funktioniert.
Meine Websites werden professioneller, indem ich Ihre Anleitungen umsetze. Ich schätze das.
WPBeginner Support
Die Wahrscheinlichkeit ist sehr gering, aber wenn es ein Plugin oder Theme mit einer Schwachstelle gibt, die nur einen Benutzer auf der Website benötigt, könnten Hacker Ihre Benutzer anstelle Ihrer Administratoren ins Visier nehmen.
Admin
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
dieses Plugin wurde seit über einem Jahr nicht aktualisiert.
WPBeginner Support
Vielen Dank für die Benachrichtigung. Bei näherer Betrachtung sollte das Plugin immer noch funktionieren, aber um den Mangel an Updates zu verstehen, sollten Sie sich unseren Artikel hier ansehen: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Gibt es in diesem Plugin eine Funktion, um das Passwortlevel zu ändern? Ich suche seit einem Monat nach dieser Funktion.
WPBeginner-Mitarbeiter
Dieses Plugin sendet keine Passwort-E-Mails. Es wirbt auch nicht damit, E-Mails zu verschlüsseln. Das ist nicht der Zweck dieses Plugins.
CST
Es scheint nicht so zu sein, dass das Plugin „Force Strong Passwords“ so sicher ist, wie es angepriesen wird, wenn es das E-Mailen des Passworts in unverschlüsselter Form nicht blockiert.
dwf
Ganz zu schweigen davon, dass das Plugin „Force Strong Passwords“ nichts tut, um das E-Mailen starker Passwörter während der Benutzereinrichtung zu verhindern...
Chris
Irgendwelche Ideen, wie man diesen gleichen Ansatz für alle Benutzer implementieren kann; auch für „Abonnenten“?
Redaktion
Ja, Sie müssten den
slt_fsp_weak_rolesFilter verwenden. Ich habe den folgenden Code nicht ausprobiert, aber etwas Ähnliches sollte funktionieren:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Danke! Ich bin überrascht, dass WordPress angesichts der vielen Brute-Force-Angriffe in letzter Zeit keine einfache Option mit einem Kontrollkästchen implementiert hat, um die Anforderungen an sichere Passwörter zu erhöhen. Ich werde das ausprobieren.
Sara
Tolles Konzept. Wenn man sich die „Support“-Seite auf der Plugin-Seite von WordPress ansieht, haben die Entwickler nicht auf Support-Nachrichten geantwortet und scheinen keine Reputation in der Sicherheitswelt zu haben.
Ich möchte betonen, dass ich die Idee liebe. Aber ich bin nicht begeistert von dem, was ich von der „Firma“ oder den Entwicklern hinter der Software sehe, und bei etwas wie Sicherheit macht mich das nervös. Ich passe vorerst.
Redaktion
Oft entwickeln Entwickler ihre Plugins in ihrer Freizeit. Nachdem wir selbst mehrere entwickelt haben, wissen wir, wie schwer es ist, sie zu unterstützen, besonders wenn man nichts zurückbekommt. Der Autor dieses Plugins hat seine GitHub-Seite für das Plugin aktualisiert. Das scheint Version 1.1 zu sein, die viele Upgrades und Fehlerbehebungen enthält.
Admin
Damien
Wenn sie den WordPress-Stärketest (einfach) nach PHP konvertiert haben, dann brauchen sie keinen Ruf in der Sicherheitswelt. Es ist nicht wirklich "neuer" Code, nur portierter Code.