¿Quiere obligar a los usuarios a cambiar las contraseñas en WordPress?
Mejore la seguridad de su sitio web WordPress forzando cambios regulares de contraseña. Este sencillo paso hace que sea mucho más difícil para los hackers comprometer su sitio, protegiendo sus datos y los de sus usuarios.
En este artículo, le mostraremos cómo forzar a los usuarios a cambiar sus contraseñas en WordPress mediante la caducidad de sus contraseñas después de un período de tiempo determinado.
¿Cuándo y por qué obligar a los usuarios de WordPress a cambiar sus contraseñas?
El80% de las violaciones de datos están relacionadas con contraseñas débiles o robadas. Los cambios periódicos desbaratan los intentos de los hackers.
Los hackers intentarán acceder repetidamente a tu cuenta de forma regular durante un periodo de tiempo. En este caso, evitarás los ataques de fuerza bruta realizados por personas malintencionadas.
La mayoría de los nuevos usuarios son propensos a utilizar contraseñas débiles o la misma contraseña que sus otras cuentas, ya que son fáciles de recordar. Si un hacker entra en tu sitio WordPress, puede comprometer la seguridad de todos los demás usuarios.
Pero forzar el cambio de contraseña no es posible para los usuarios administradores. También debes forzar los cambios en usuarios de membresía y clientes que regresan. Por ejemplo, cuando los clientes se registran en tu tienda WooCommerce o sitio de membresía, reciben la contraseña por correo electrónico. Por lo tanto, forzar cambios regulares de contraseña ayudará a mitigar los intentos de phishing realizados a través del correo electrónico.
Además, si tiene un sitio WordPress multiusuario, debería pedir a los usuarios que actualicen sus contraseñas después de un periodo de tiempo determinado.
Por otro lado, si recientemente ha detectado actividad sospechosa en su sitio de WordPress, debería caducar inmediatamente todas las contraseñas de usuario existentes y pedir a todo el mundo que actualice sus contraseñas.
Dicho esto, vamos a ver cómo puede hacer caducar las contraseñas y obligar a los usuarios a cambiarlas en WordPress.
Forzar a los usuarios a cambiar sus contraseñas en WordPress
La mejor forma de obligar a los usuarios a cambiar sus contraseñas en WordPress es utilizar el plugin Password Policy Manager. Te permite crear y aplicar fácilmente políticas de contraseñas seguras.
Para empezar, tendrás que instalar y activar el plugin Password Policy Manager. Para más detalles, consulta nuestro tutorial sobre cómo instalar un plugin de WordPress.
Desde aquí, deberá dirigirse a la página Administrador de políticas de contraseñas ” Administrador de políticas de contraseñas. Luego, en la pestaña Configuración de políticas ” Para todos los usuarios, verá varias configuraciones de políticas de contraseñas que puede establecer.
En primer lugar, asegúrate de activar el botón grande que dice “Activar todas las configuraciones”. Debajo, puedes marcar todas las reglas de política de contraseñas que quieras aplicar cada vez que un nuevo usuario necesite crear una nueva contraseña.
Las opciones incluyen:
- Debe contener minúsculas y mayúsculas
- Debe contener dígitos numéricos
- Debe contener caracteres especiales
- Longitud de la contraseña entre 8 y 25
Recomendamos mantener estas casillas marcadas ya que son las mejores prácticas para tener una contraseña segura. También puedes leer nuestra guía sobre cómo añadir un generador de contraseñas de usuario sencillo en WordPress.
Debajo, tendrás que marcar la casilla “Forzar restablecimiento de contraseña en el primer inicio de sesión”. Esto ayuda a evitar que los nuevos usuarios utilicen la misma contraseña que sus otras cuentas en línea y garantiza que establezcan una contraseña segura desde el principio.
A continuación, tendrás que activar la opción “Activar caducidad de contraseña” para establecer un tiempo de caducidad específico que obligue a todos los usuarios del sitio a cambiar su contraseña. A continuación, puedes establecer el número de semanas que quieres forzar el cambio.
Después, también puedes pulsar el botón “Guardar configuración”.
Debajo de la configuración de guardado, verás una opción para restablecer la contraseña con un solo clic. Si tú o tus usuarios no habéis restablecido la contraseña desde hace tiempo, es una buena idea pulsar el botón “Restablecer contraseña”.
Esto finaliza automáticamente todas las sesiones iniciadas por los usuarios y les obliga a restablecer sus contraseñas.
Todos los usuarios recibirán un correo electrónico con un enlace para restablecer sus contraseñas.
Solo tiene que hacer clic en el enlace del correo electrónico.
Accederás a la pantalla de inicio de sesión de WordPress, donde deberás introducir tu contraseña actual y la nueva.
Te recomendamos que utilices un generador de contraseñas seguras en lugar de intentar inventar algo que puedas memorizar. Después, se puede utilizar un gestor de contraseñas como 1Password o LastPass para almacenarla.
Desde aquí, haz clic en “Cambiar contraseña”.
A continuación, volverás a la página de inicio de sesión de WordPress, donde podrás introducir tus nuevas credenciales.
También puede ir a la página Administrador de políticas de contraseñas ” Informes . Aquí es donde encontrará todos los intentos de inicio de sesión realizados por los usuarios. Es bueno comprobar periódicamente si se han realizado intentos sospechosos en su sitio WordPress. Si es así, puede realizar fácilmente el restablecimiento con un solo clic que acabamos de mencionar.
Para ver los datos, tendrás que activar la pestaña “Activar entrada de informes”.
Y ¡listo! Ahora ha configurado correctamente su sitio WordPress para que obligue a todos los usuarios a cambiar las contraseñas después de la fecha de caducidad.
Consejos para solucionar problemas
¿Qué pasa si mis usuarios nunca reciben sus correos electrónicos?
Si sus usuarios no reciben notificaciones por correo electrónico para restablecer sus contraseñas, pueden estar ocurriendo varias cosas. Echa un vistazo a nuestra guía sobre cómo solucionar el problema de que WordPress no envíe correos electrónicos.
¿Qué pasa si no puedo entrar en el área de administración de WordPress para restablecer mi contraseña?
Si de alguna manera no puede entrar en el área de administración de WordPress, eche un vistazo a nuestra guía sobre qué hacer cuando está bloqueado en el área de administración de WordPress.
Esperamos que este artículo te haya ayudado a aprender cómo forzar a los usuarios a cambiar sus contraseñas en WordPress. También puedes consultar nuestra guía definitiva sobre seguridad en WordPress para mejorar la seguridad de tu sitio web o nuestra lista de los errores más comunes de WordPress y cómo solucionarlos.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Marko says
Article need update.
WPBeginner Support says
Thank you for letting us know, we will look into updating the article when we are able
Administrador
Shallum Vohr says
How to force user to update password on first login only?
Millie Aveyard says
Very difficult for older people like me, to remember all the different passwords in their lives! Everything these days seem to have passwords of one form or another!
Even if you write the passwords down in your little book, at the time you need the new password, you have left the little book in the car, and the roundabout starts once more!
I can’t be the only one to have to stop and think about all the different passwords that I use each day!
WPBeginner Support says
Please see our guide on how to manage passwords for WordPress beginners. We use LastPass to store and manage all our passwords. It is a browser extension that sits in your web browser. It can save and automatically fill in your passwords for you. It can also generate strong passwords for you when you are creating a new account.
Administrador
Remi says
Very nice idea! It’s a great to give more security to the administration!
Daniel says
Good post – I have now configured the plugin on my blog site. I would strongly recommend also the following:
1) You remove the admin user altogether – here you create another user who has the admin role, login as them the delete the existing admin user; ensuring you click on the option to transfer admin’s previous posts to you
2) The ‘admin’ ( role user) password is complex – use oninepasswordgenerator.com or similar
3) finally, you must must,mus,t install the “Limit Login attempts” plugin … This is a work of genius and is regularly blocking the 10 or so attempts per day to login into my blog. Set long lockout times and get the plugin to email you (new admin user ) after 2 lockouts
Navneet says
This is a very good post ……