Zwiększenie bezpieczeństwa Twojej witryny WordPress jest zawsze mądrym posunięciem.
Jednym z efektywnych sposobów na to jest wymaganie od użytkowników regularnej zmiany haseł. Ten prosty krok może znacznie utrudnić hakerom włamanie się.
Regularne zmiany haseł chronią Twoje dane i informacje o użytkownikach. Dodają również dodatkową warstwę bezpieczeństwa do Twojej witryny. Wygasając hasła po określonym czasie, pomagasz zapewnić wszystkim większe bezpieczeństwo.
W tym przewodniku pokażemy Ci, jak wymusić na użytkownikach zmianę haseł w WordPress.
Kiedy i dlaczego zmuszać użytkowników WordPress do zmiany haseł?
80% naruszeń danych dotyczy słabych lub skradzionych haseł. Na szczęście regularne zmiany haseł zakłócają próby hakerów.
Hakerzy będą wielokrotnie próbować uzyskać dostęp do Twojego konta w określonym czasie. W tym przypadku zapobiegniesz atakom typu brute-force przeprowadzanym przez osoby o złośliwych zamiarach.
Większość nowych użytkowników ma tendencję do używania słabych haseł lub tych samych haseł, co w innych kontach, ponieważ są łatwe do zapamiętania. Jeśli haker uzyska dostęp do Twojej witryny WordPress, może to narazić na szwank bezpieczeństwo wszystkich innych użytkowników.
Ale wymuszanie zmian haseł nie powinno dotyczyć tylko administratorów. Powinno również dotyczyć użytkowników członkostwa i powracających klientów. Na przykład, gdy klienci rejestrują się w Twoim sklepie WooCommerce lub witrynie członkowskiej, otrzymują hasło pocztą elektroniczną. Wymuszanie regularnych zmian haseł może pomóc zmniejszyć ryzyko prób phishingu podejmowanych za pośrednictwem poczty elektronicznej.
Ponadto, jeśli prowadzisz wielostanowiskową witrynę WordPress, powinieneś poprosić użytkowników o aktualizację haseł po określonym czasie.
Z drugiej strony, jeśli ostatnio zauważyłeś podejrzaną aktywność na swojej stronie WordPress, powinieneś natychmiast unieważnić wszystkie istniejące hasła użytkowników i poprosić wszystkich o zaktualizowanie swoich haseł.
Mając to na uwadze, zobaczmy, jak możesz ustawić wygasanie haseł i wymusić zmianę haseł w WordPress.
Wymuś na użytkownikach zmianę haseł w WordPress
Najlepszym sposobem na wymuszenie zmiany haseł przez użytkowników w WordPress jest użycie wtyczki Password Policy Manager. Pozwala ona łatwo tworzyć i egzekwować silne i bezpieczne zasady dotyczące haseł.
Aby rozpocząć, musisz zainstalować i aktywować wtyczkę Password Policy Manager. Więcej szczegółów znajdziesz w naszym poradniku na temat jak zainstalować wtyczkę WordPress.
Stąd musisz przejść do strony Password Policy Manager » Password Policy Manager. Następnie, w zakładce Ustawienia polityki » Dla wszystkich użytkowników, zobaczysz różne ustawienia polityki haseł, które możesz skonfigurować.
Najpierw upewnij się, że włączysz duży przełącznik z napisem „Włącz wszystkie ustawienia”. Poniżej możesz zaznaczyć wszystkie zasady dotyczące haseł, które chcesz egzekwować za każdym razem, gdy nowy użytkownik musi utworzyć nowe hasło.
Opcje obejmują:
- Musi zawierać małe i wielkie litery
- Musi zawierać cyfry
- Musi zawierać znaki specjalne
- Długość hasła między 8 a 25
Zalecamy pozostawienie tych pól zaznaczonych, ponieważ są to najlepsze praktyki dotyczące silnego hasła. Możesz również zapoznać się z naszym przewodnikiem na temat dodawania prostego generatora haseł użytkownika w WordPress.
Poniżej musisz zaznaczyć pole wyboru z napisem „Wymuś reset hasła przy pierwszym logowaniu”. Pomaga to zapobiec używaniu przez nowych użytkowników tych samych haseł, co ich inne konta online i zapewnia, że od razu ustawią silne hasło.
Następnie musisz włączyć opcję „Włącz wygasanie haseł”, aby ustawić określony czas wygaśnięcia, który wymusi na wszystkich użytkownikach witryny zmianę hasła. Obok możesz ustawić liczbę tygodni, po których chcesz wymusić zmianę.
Po zakończeniu możesz kliknąć przycisk „Zapisz ustawienia”.
Pod opcjami zapisywania ustawień zobaczysz opcję zresetowania hasła jednym kliknięciem. Jeśli Ty lub Twoi użytkownicy od dłuższego czasu nie resetowaliście hasła, dobrym pomysłem jest kliknięcie przycisku „Resetuj hasło”.
Spowoduje to automatyczne zakończenie wszystkich zalogowanych sesji użytkowników i wymuszenie na nich zresetowania haseł.
Następnie wszyscy użytkownicy otrzymają e-mail z linkiem do zresetowania swoich haseł.
Wszystko, co muszą zrobić, to kliknąć link w e-mailu.
Spowoduje to otwarcie ekranu logowania WordPress, gdzie wprowadzisz swoje obecne i nowe hasło.
Zalecamy używanie bezpiecznego generatora haseł zamiast prób tworzenia takiego, które można zapamiętać. Następnie możesz użyć menedżera haseł, takiego jak 1Password, do jego przechowywania.
Stąd możesz kliknąć „Zmień hasło”.
Spowoduje to powrót do strony logowania WordPress, gdzie możesz wprowadzić swoje nowe dane uwierzytelniające.
Możesz przejść na stronę Menedżer zasad haseł » Raporty, aby śledzić wszystkie próby logowania dokonane przez użytkowników. Zalecamy okresowe sprawdzanie jej, aby zobaczyć, czy nie podjęto żadnych podejrzanych prób włamania na Twoją stronę WordPress. Jeśli tak, możesz łatwo wykonać wspomniane wcześniej resetowanie jednym kliknięciem.
Aby zobaczyć dane, musisz włączyć zakładkę „Włącz raportowanie wpisów”.
I to wszystko! Pomyślnie skonfigurowałeś swoją witrynę WordPress w taki sposób, aby wymuszała na wszystkich użytkownikach zmianę haseł po dacie wygaśnięcia.
Wskazówki dotyczące rozwiązywania problemów
Czasami sprawy nie idą tak gładko, jak zaplanowano. Oto kilka wskazówek dotyczących rozwiązywania problemów, które pomogą Ci poradzić sobie z ewentualnymi trudnościami.
Co jeśli moi użytkownicy nigdy nie otrzymają swoich e-maili?
Jeśli Twoi użytkownicy nie otrzymują powiadomień e-mail o zresetowaniu hasła, może się dziać wiele rzeczy. Zapoznaj się z naszym przewodnikiem, jak naprawić problem z wysyłaniem wiadomości e-mail przez WordPress.
Co jeśli nie mogę uzyskać dostępu do obszaru administracyjnego WordPress, aby zresetować moje hasło?
Jeśli z jakiegoś powodu nie możesz wejść do obszaru administracyjnego WordPressa, zapoznaj się z naszym przewodnikiem, co zrobić, gdy zostaniesz zablokowany z obszaru administracyjnego WordPressa.
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak wymusić na użytkownikach zmianę haseł w WordPress. Możesz również zapoznać się z naszym ostatecznym przewodnikiem po bezpieczeństwie WordPress, który pomoże poprawić bezpieczeństwo Twojej witryny, lub z naszą listą najczęstszych błędów WordPress i sposobów ich naprawy.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Dennis Muthomi
Świetny artykuł o zmianach haseł w WordPress!
Jestem administratorem witryn zarządzającym kilkoma witrynami klientów i od jakiegoś czasu mam skonfigurowane zmiany haseł, ale nie wiedziałem, że można wymusić reset przy pierwszym logowaniu.
To świetna funkcja bezpieczeństwa, którą dodam do witryn moich klientów (i do mojej własnej witryny).
Dzięki za wyczerpujący przewodnik!
Nauczyłem się dziś czegoś nowego
Dayo Olobayo
Jestem pod wrażeniem łatwości obsługi wtyczki Password Policy Manager. Czy w Twoim doświadczeniu napotkałeś na opór ze strony użytkowników podczas egzekwowania bardziej rygorystycznych wytycznych dotyczących haseł? Jeśli tak, jak administratorzy witryn mogą skutecznie rozwiązać te obawy? Dziękuję.
Wsparcie WPBeginner
Większość użytkowników jest zadowolona z bardziej rygorystycznych wymagań dotyczących haseł, o ile nie są one nadmierne pod względem wymagań.
Admin
Dayo Olobayo
Dziękuję za Twoją opinię. Zgadzam się, że równowaga między bezpieczeństwem a wygodą użytkownika jest kluczem do minimalizacji oporu.
Marko
Artykuł wymaga aktualizacji.
Wsparcie WPBeginner
Thank you for letting us know, we will look into updating the article when we are able
Admin
Shallum Vohr
Jak wymusić na użytkowniku aktualizację hasła tylko przy pierwszym logowaniu?
Millie Aveyard
Bardzo trudne dla starszych ludzi takich jak ja, żeby zapamiętać wszystkie różne hasła w ich życiu! Wszystko w dzisiejszych czasach wydaje się mieć hasła w takiej czy innej formie!
Nawet jeśli zapiszesz hasła w swoim małym zeszycie, w momencie, gdy potrzebujesz nowego hasła, zostawiłeś zeszyt w samochodzie, i wszystko zaczyna się od nowa!
Nie mogę być jedyną osobą, która musi się zatrzymać i zastanowić nad wszystkimi różnymi hasłami, których używam każdego dnia!
Wsparcie WPBeginner
Zapoznaj się z naszym przewodnikiem, jak zarządzać hasłami dla początkujących użytkowników WordPress. Używamy LastPass do przechowywania i zarządzania wszystkimi naszymi hasłami. Jest to rozszerzenie przeglądarki, które znajduje się w Twojej przeglądarce internetowej. Może zapisywać i automatycznie wypełniać Twoje hasła. Może również generować silne hasła podczas tworzenia nowego konta.
Admin
Remi
Bardzo fajny pomysł! To świetny sposób na zwiększenie bezpieczeństwa administracji!
Daniel
Dobry post – skonfigurowałem teraz wtyczkę na mojej stronie blogowej. Zdecydowanie polecam również następujące rzeczy:
1) Usuwasz użytkownika administratora całkowicie – tutaj tworzysz innego użytkownika, który ma rolę administratora, logujesz się jako on, a następnie usuwasz istniejącego użytkownika administratora; upewnij się, że klikniesz opcję przeniesienia poprzednich postów administratora na siebie
2) Hasło „admina” (użytkownika z rolą administratora) jest złożone – użyj oninepasswordgenerator.com lub podobnego
3) na koniec musisz, musisz, musisz zainstalować wtyczkę „Limit Login attempts”... To dzieło geniuszu i regularnie blokuje około 10 prób dziennie logowania się na mój blog. Ustaw długie czasy blokady i ustaw wtyczkę tak, aby wysyłała Ci e-maile (nowemu użytkownikowi administratora) po 2 blokadach
Navneet
To bardzo dobry post ……