Möchten Sie Benutzer dazu zwingen, ihre Passwörter in WordPress zu ändern?
Verbessern Sie die Sicherheit Ihrer WordPress-Website, indem Sie regelmäßige Passwortänderungen erzwingen. Dieser einfache Schritt macht es Hackern deutlich schwerer, Ihre Website zu kompromittieren, und schützt Ihre Daten und die Ihrer Nutzer.
In diesem Artikel zeigen wir Ihnen, wie Sie Benutzer dazu zwingen können, ihre Passwörter in WordPress zu ändern, indem Sie ihre Passwörter nach einer bestimmten Zeitspanne ablaufen lassen.
Wann und warum WordPress-Benutzer zum Ändern von Passwörtern zwingen?
80 % der Datenschutzverletzungen betreffen schwache oder gestohlene Passwörter. Regelmäßige Änderungen unterbrechen die Versuche der Hacker.
Hacker werden versuchen, über einen bestimmten Zeitraum hinweg regelmäßig auf Ihr Konto zuzugreifen. In diesem Fall verhindern Sie Brute-Force-Angriffe, die von Personen mit böswilligen Absichten durchgeführt werden.
Die meisten neuen Benutzer neigen dazu, schwache Passwörter oder das gleiche Passwort wie für ihre anderen Konten zu verwenden, da sie leicht zu merken sind. Wenn sich ein Hacker Zugang zu Ihrer WordPress-Website verschafft, kann er die Sicherheit aller anderen Benutzer gefährden.
Aber es ist nicht möglich, Passwortänderungen für Admin-Benutzer zu erzwingen. Sie sollten auch Änderungen für Mitglieder und wiederkehrende Kunden erzwingen. Wenn sich Kunden beispielsweise in Ihrem WooCommerce-Shop oder auf Ihrer Mitgliederseite registrieren, erhalten sie das Passwort per E-Mail. Wenn Sie also regelmäßige Passwortänderungen erzwingen, können Sie Phishing-Versuche per E-Mail eindämmen.
Wenn Sie eine WordPress-Website mit mehreren Benutzern betreiben, sollten Sie die Benutzer auffordern, ihre Passwörter nach einer bestimmten Zeit zu aktualisieren.
Wenn Sie jedoch kürzlich verdächtige Aktivitäten auf Ihrer WordPress-Website festgestellt haben, sollten Sie sofort alle bestehenden Benutzerpasswörter löschen und alle Benutzer auffordern, ihre Passwörter zu aktualisieren.
Sehen wir uns nun an, wie Sie in WordPress Passwörter ablaufen lassen und Benutzer zum Ändern ihrer Passwörter zwingen können.
Benutzer zum Ändern von Passwörtern in WordPress zwingen
Die beste Möglichkeit, Benutzer zum Ändern von Passwörtern in WordPress zu zwingen, ist die Verwendung des Password Policy Manager-Plugins. Damit können Sie ganz einfach starke und sichere Passwortrichtlinien erstellen und durchsetzen.
Um loszulegen, müssen Sie das Password Policy Manager-Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Anleitung zur Installation eines WordPress-Plugins.
Von hier aus müssen Sie auf die Seite Kennwortrichtlinien-Manager “ Kennwortrichtlinien-Manager wechseln. Auf der Registerkarte Richtlinieneinstellungen “ Für alle Benutzer finden Sie verschiedene Einstellungen für die Kennwortrichtlinie, die Sie vornehmen können.
Stellen Sie zunächst sicher, dass Sie die große Schaltfläche mit der Aufschrift „Alle Einstellungen aktivieren“ aktivieren. Darunter können Sie alle Regeln für die Kennwortrichtlinie abhaken, die Sie jedes Mal durchsetzen möchten, wenn ein neuer Benutzer ein neues Kennwort erstellen muss.
Die Optionen umfassen:
- Muss Klein- und Großbuchstaben enthalten
- Muss numerische Ziffern enthalten
- Muss Sonderzeichen enthalten
- Länge des Passworts zwischen 8 und 25
Wir empfehlen Ihnen, diese Kästchen nicht zu aktivieren, da dies die beste Vorgehensweise für ein sicheres Passwort ist. Lesen Sie auch unsere Anleitung zum Hinzufügen eines einfachen Benutzer-Passwort-Generators in WordPress.
Darunter müssen Sie das Kontrollkästchen „Kennwort bei erster Anmeldung zurücksetzen“ aktivieren. Dadurch wird verhindert, dass neue Benutzer dasselbe Passwort wie für ihre anderen Online-Konten verwenden, und es wird sichergestellt, dass sie von Anfang an ein sicheres Passwort einrichten.
Dann müssen Sie die Option „Kennwortablauf aktivieren“ aktivieren, damit Sie eine bestimmte Ablaufzeit festlegen können, die alle Benutzer der Website dazu zwingt, ihr Kennwort zu ändern. Daneben können Sie die Anzahl der Wochen festlegen, nach denen die Änderung erzwungen werden soll.
Danach können Sie auch auf die Schaltfläche „Einstellungen speichern“ klicken.
Unterhalb der Speichereinstellungen finden Sie eine Option, mit der Sie Ihr Passwort mit einem Klick zurücksetzen können. Wenn Sie oder Ihre Nutzer Ihr Passwort schon länger nicht mehr zurückgesetzt haben, sollten Sie auf die Schaltfläche „Passwort zurücksetzen“ klicken.
Dadurch werden automatisch alle angemeldeten Sitzungen von Benutzern beendet und sie gezwungen, ihre Kennwörter zurückzusetzen.
Alle Nutzer erhalten eine E-Mail mit einem Link zum Zurücksetzen ihres Passworts.
Klicken Sie einfach auf den Link in der E-Mail.
Sie werden zu Ihrem WordPress-Anmeldebildschirm weitergeleitet, wo Sie Ihr aktuelles und neues Passwort eingeben.
Wir empfehlen, einen sicheren Passwort-Generator zu verwenden, anstatt zu versuchen, sich etwas zu merken. Anschließend kann ein Passwortmanager wie 1Password oder LastPass zum Speichern verwendet werden.
Klicken Sie hier auf „Passwort ändern“.
Anschließend werden Sie zu Ihrer WordPress-Anmeldeseite zurückgeleitet, wo Sie Ihre neuen Anmeldedaten eingeben können.
Sie können auch die Seite Password Policy Manager “ Berichte aufrufen. Hier finden Sie alle Anmeldeversuche, die von Benutzern unternommen wurden. Es ist sinnvoll, regelmäßig zu überprüfen, ob verdächtige Versuche auf Ihrer WordPress-Website unternommen wurden. Wenn dies der Fall ist, können Sie das eben erwähnte Zurücksetzen mit einem Mausklick ganz einfach durchführen.
Um die Daten zu sehen, müssen Sie die Registerkarte „Berichtseingabe aktivieren“ einschalten.
Und das war’s! Sie haben Ihre WordPress-Website nun erfolgreich so eingerichtet, dass alle Benutzer gezwungen sind, ihre Passwörter nach Ablauf des Verfallsdatums zu ändern.
Tipps zur Fehlerbehebung
Was ist, wenn meine Benutzer ihre E-Mails nie erhalten?
Falls Ihre Benutzer keine E-Mail-Benachrichtigungen zum Zurücksetzen ihrer Passwörter erhalten, kann dies an verschiedenen Dingen liegen. Bitte werfen Sie einen Blick auf unsere Anleitung zur Behebung des Problems, dass WordPress keine E-Mails sendet.
Was ist, wenn ich nicht in den WordPress-Administrationsbereich gelangen kann, um mein Passwort zurückzusetzen?
Wenn Sie aus irgendeinem Grund nicht in den WordPress-Administrationsbereich gelangen können, dann werfen Sie einen Blick auf unsere Anleitung, was zu tun ist, wenn Sie aus dem WordPress-Administrationsbereich ausgesperrt sind.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, zu lernen, wie man Benutzer dazu zwingt, ihre Passwörter in WordPress zu ändern. Vielleicht möchten Sie auch unseren ultimativen WordPress-Sicherheitsleitfaden lesen, um die Sicherheit Ihrer Website zu verbessern, oder unsere Liste der häufigsten WordPress-Fehler und wie man sie behebt.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Marko says
Article need update.
WPBeginner Support says
Thank you for letting us know, we will look into updating the article when we are able
Admin
Shallum Vohr says
How to force user to update password on first login only?
Millie Aveyard says
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support says
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Admin
Remi says
Very nice idea! It’s a great to give more security to the administration!
Daniel says
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‚admin‘ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the „Limit Login attempts“ plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet says
This is a very good post ……