Permitir que os usuários tenham senhas fracas é como deixar a porta da frente escancarada. É um convite para ladrões e hackers entrarem.
Os usuários frequentemente escolhem a mesma senha curta e insegura em todos os lugares. A menos que você exija senhas fortes em seu site WordPress, você deixa seu conteúdo e dados sensíveis dos usuários em risco.
Em vez de deixar a força da senha ao acaso, este artigo mostra como forçar seus usuários a criar senhas fortes em seu site WordPress, melhorando sua segurança online.
Por que Exigir Senhas Fortes para Seus Usuários do WordPress?
Senhas fortes dificultam que hackers usem ataques de força bruta para acessar seu site. Se você dedicou tempo para otimizar a segurança do seu site WordPress, então você também vai querer proteger suas páginas de login usando uma senha forte.
No entanto, se você tem uma loja online, um site de membros ou um blog com vários autores, há o risco de que seus clientes ou outros usuários do site tornem seu site vulnerável a hackers usando senhas fracas que são facilmente adivinhadas com ataques de força bruta.
Ter usuários com senhas fracas pode apresentar um risco de segurança, especialmente aqueles com funções de usuário de alto nível, como administradores e editores.
O WordPress possui configurações integradas que mostram aos usuários quão forte é a senha ao criar uma conta, mas não impõe sua força.
Felizmente, você pode usar um plugin do WordPress para forçar seus usuários a criar uma senha forte ao criar uma conta em seu site WordPress.
Dito isso, vamos ver como forçar uma senha forte em seus usuários do WordPress. Simplesmente use os links rápidos abaixo para pular para o método que você deseja usar:
- Forçando Senhas Fortes com Solid Security
- Forçando Senhas Fortes com Password Policy Manager
- Nossos Melhores Guias para Proteger Senhas do WordPress
Método 1. Forçando Senhas Fortes com Solid Security
A maneira mais fácil de forçar senhas fortes é com um plugin de segurança WordPress. Recomendamos o Solid Security (anteriormente iThemes Security), pois ele permite forçar senhas fortes com apenas alguns cliques.
Existe uma versão premium que oferece endurecimento de segurança, verificações de integridade de arquivos, detecções de 404 e mais, mas usaremos a versão gratuita para este tutorial, pois ela possui recursos de proteção de senha. Para mais detalhes, veja nossa análise completa do Solid Security.
A primeira coisa que você precisa fazer é instalar e ativar o plugin. Para mais detalhes, veja nosso guia sobre como instalar um plugin WordPress.
Após a ativação, vá para Segurança » Configuração para escolher suas configurações de segurança. Há um assistente de configuração que o guiará na configuração do plugin de segurança para suas necessidades.
Primeiro, clique na opção para o tipo de site que você tem. Selecionaremos a opção ‘Blog’.
Agora você verá um botão de alternância para ativar o ‘Security Check Pro’. Isso configurará automaticamente suas configurações de segurança para redirecionar requisições HTTP para HTTPS e protegê-lo contra falsificação de IP.
Você deve ativar esta configuração para a posição ‘Ativado’.
Depois disso, você precisa escolher se é um site pessoal ou de cliente.
Estamos selecionando ‘Próprio’ para este tutorial.
Em seguida, há um botão de alternância para ativar uma política de senha forte para seus usuários.
Você precisa clicar no botão de alternância para impor uma senha forte para seus usuários e clicar em ‘Próximo’.
Agora, você forçou com sucesso os usuários a ter uma senha forte. Há uma variedade de outras configurações que você pode ativar para tornar seu login ainda mais seguro.
Se desejar, você pode adicionar uma lista de endereços IP a uma lista branca para evitar que eles sejam bloqueados de seu site. Você precisa listar o endereço IP de cada usuário. Você pode adicionar rapidamente seu próprio endereço IP clicando no botão ‘Autorizar meu endereço IP’.
Você deve deixar a configuração de Detecção de IP em ‘Verificação de Segurança (Recomendado)’ e, em seguida, clicar no botão ‘Próximo’.
Se você quiser ativar a autenticação de dois fatores, clique no botão de alternância para a posição Ativado e, em seguida, clique no botão ‘Próximo’.
Depois disso, você será perguntado se deseja ativar mais algumas configurações de segurança para diferentes grupos de usuários. Você pode simplesmente clicar em ‘Grupos de Usuários Padrão’.
Isso o levará a uma tela onde você pode forçar senhas fortes e alterar outras configurações por função de usuário.
A primeira tela serão suas configurações de segurança para usuários administradores.
Você pode ativar senhas fortes e recusar que os usuários se registrem com uma senha comprometida que já foi usada em outros sites.
Para alterar as configurações de segurança de outros usuários, basta clicar em uma função diferente na parte superior da tela. Quando terminar, clique no botão 'Avançar' na parte superior ou inferior da tela.
Isso o guiará pelo restante do assistente de configuração para habilitar configurações de segurança adicionais para seu site.
Se você quiser alterar suas configurações de senha no futuro, vá para Segurança » Configurações, clique em 'Grupos de Usuários' e selecione o grupo que deseja alterar.
Depois de terminar, certifique-se de clicar no botão 'Salvar' na parte inferior da tela para salvar suas configurações.
Método 2: Forçando Senhas Fortes com o Gerenciador de Política de Senhas
Outra maneira de forçar senhas fortes em seu blog WordPress é usando o plugin Password Policy Manager. Ele permite que você crie facilmente regras de senha forte que seus usuários devem seguir, mas não possui outros recursos de segurança para proteger seu site como o iThemes Security.
A primeira coisa que você precisa fazer é instalar e ativar o plugin. Para mais detalhes, consulte nosso guia para iniciantes sobre como instalar um plugin do WordPress.
Após a ativação, você terá uma nova opção de menu chamada 'miniOrange Password Policy' em seu painel de administração do WordPress. Você precisa clicar nela para configurar suas regras de senha.
Em seguida, clique no botão de alternância 'Configurações da Política de Senha' para ativar suas configurações de senha forte.
Depois disso, você pode definir suas configurações de senha forte. Simplesmente marque as caixas para os requisitos de senha que você deseja definir.
Em seguida, defina o comprimento mínimo da senha.
Depois disso, você pode optar por ter senhas expirando após um determinado período de tempo.
Se desejar habilitar isso, clique no botão ‘Habilitar tempo de expiração’ e, em seguida, insira o tempo de expiração em semanas.
Quando terminar, certifique-se de clicar no botão ‘Salvar Configurações’.
Você também pode redefinir as senhas de todos os seus usuários a qualquer momento. Basta clicar no botão ‘Redefinir Senha’, e todos os seus usuários serão solicitados a criar novas senhas fortes.
Nossos Melhores Guias para Proteger Senhas do WordPress
Esperamos que este artigo tenha ajudado você a aprender como forçar senhas fortes em usuários no WordPress. Você também pode querer ver outros guias sobre como proteger senhas do WordPress:
- Como Alterar Sua Senha no WordPress (Guia para Iniciantes)
- Como Gerenciar Senhas de Forma Fácil e Segura (Guia para Iniciantes)
- Como e por que você deve limitar as tentativas de login no WordPress
- Como Adicionar um Gerador de Senha Simples para Usuários no WordPress
- Como Permitir que Usuários Ocultem/Mostrem Senhas na Tela de Login do WordPress
- Como Redefinir Senhas para Todos os Usuários no WordPress
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Dayo Olobayo
Obrigado por este guia claro e informativo sobre a aplicação de senhas fortes. Uma pergunta que tenho, no entanto, é se esses plugins se integram facilmente com outros plugins de segurança. Por exemplo, plugins para verificação de malware ou monitoramento de tentativas de login.
WPBeginner Support
Você precisará verificar com o plugin de segurança específico que está usando, pois diferentes plugins podem ter conflitos diferentes ou funcionar bem juntos.
Admin
Dayo Olobayo
Obrigado pelo esclarecimento. Verificarei a compatibilidade com meus plugins específicos.
Mrteesurez
Bom trabalho aqui.
mas minha pergunta é, por que há um risco quando os usuários do meu site usam senhas fracas quando eles não são realmente os administradores??
Além disso, obrigado por esse plugin Password Policy Manager, eu adoro como ele funciona.
Meus sites estão se tornando mais profissionais ao implementar seus guias. Agradeço.
WPBeginner Support
As chances são muito baixas, mas se houver um plugin ou tema com uma vulnerabilidade que exija apenas um usuário no site, os hackers poderão mirar em seus usuários em vez de seus administradores.
Admin
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
este plugin não é atualizado há mais de um ano.
WPBeginner Support
Obrigado por nos informar, após uma análise, o plugin ainda deve estar funcionando, mas para entender a falta de atualizações, você deve dar uma olhada em nosso artigo aqui: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Existe alguma função neste plugin para alterar o nível da senha? Procurei por essa questão por mais de um mês.
Equipe WPBeginner
Este plugin não envia e-mails de senha. Ele também não anuncia que criptografa e-mails. Esse não é o propósito deste plugin.
CST
Não parece que o plugin "Force Strong Passwords" seja tão seguro quanto é anunciado, se ele não bloquear o envio da senha por e-mail de forma não criptografada.
dwf
Sem mencionar que o plugin “Force Strong Passwords” não faz nada para impedir o envio de senhas fortes por e-mail durante a configuração do usuário…
Chris
Alguma ideia de como implementar essa mesma abordagem, mas para todos os usuários; até mesmo os ‘assinantes’?
Equipe Editorial
Sim, você teria que usar o filtro
slt_fsp_weak_roles. Não testei o código abaixo, mas algo assim deve funcionar:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Obrigado! Fico surpreso que o WordPress não tenha implementado uma opção simples de ‘caixa de seleção’ para aumentar os requisitos de senha de segurança com todos os ataques de força bruta ultimamente. Vou tentar isso.
Sara
Ótimo conceito. Olhando a página de “suporte” no site de plugins do WordPress, os desenvolvedores não responderam às mensagens de suporte e não parecem ter nenhuma reputação no mundo da segurança.
Quero enfatizar, eu amo a ideia. Mas não estou impressionado com o que estou vendo da “empresa” ou dos desenvolvedores por trás do software, e para algo como segurança, isso me deixa nervoso. Vou passar por agora.
Equipe Editorial
Frequentemente, os desenvolvedores criam seus plugins em seu tempo livre. Tendo construído vários nós mesmos, sabemos o quão difícil é dar suporte a eles, especialmente quando você não recebe nada em troca. O autor deste plugin atualizou sua página do github para o plugin. Isso parece estar executando a versão 1.1, que tem muitas atualizações e correções.
Admin
Damien
Se eles (simplesmente) converteram o teste de força do WordPress para PHP, então eles não precisam ter uma reputação no mundo da segurança. Não é realmente código “novo”, apenas código portado.