Permitir que os usuários tenham senhas fracas é como deixar a porta da frente aberta. É um convite para ladrões e hackers entrarem.
Os usuários geralmente escolhem a mesma senha curta e insegura em todos os lugares. A menos que aplique senhas fortes em seu site WordPress, você deixará seu conteúdo e os dados confidenciais do usuário em risco.
Em vez de deixar a força da senha ao acaso, este artigo mostra como forçar os usuários a criar senhas fortes em seu site WordPress, melhorando sua segurança on-line.
Por que impor senhas fortes para seus usuários do WordPress?
As senhas fortes tornam mais difícil para os hackers usarem ataques de força bruta para acessar seu site. Se você dedicou tempo para otimizar a segurança do seu site WordPress, também deverá proteger suas páginas de login usando uma senha forte.
No entanto, se você tiver uma loja on-line, um site de associação ou um blog com vários autores, há o risco de que seus clientes ou outros usuários do site tornem seu site vulnerável a hackers usando senhas fracas que são facilmente adivinhadas com ataques de força bruta.
Ter usuários com senhas fracas pode representar um risco de segurança, especialmente aqueles com funções de usuário de alto nível, como administradores e editores.
O WordPress tem configurações integradas que mostrarão aos usuários a força da senha ao criar uma conta, mas não impõe essa força.
Felizmente, você pode usar um plug-in do WordPress para forçar seus usuários a criar uma senha forte ao criar uma conta no seu site WordPress.
Dito isso, vamos dar uma olhada em como forçar uma senha forte para os usuários do WordPress. Basta usar os links rápidos abaixo para ir para o método que você deseja usar:
Método 1. Forçando senhas fortes com segurança sólida
A maneira mais fácil de forçar senhas fortes é com um plug-in de segurança do WordPress. Recomendamos o Solid Security (antigo iThemes Security), pois ele permite forçar senhas fortes com apenas alguns cliques.
Há uma versão premium que oferece reforço de segurança, verificações de integridade de arquivos, detecções 404 e muito mais, mas usaremos a versão gratuita para este tutorial, pois ela tem recursos de proteção por senha. Para obter mais detalhes, consulte nossa análise completa do Solid Security.
A primeira coisa que você precisa fazer é instalar e ativar o plug-in. Para obter mais detalhes, consulte nosso guia sobre como instalar um plug-in do WordPress.
Após a ativação, vá para Security ” Setup para escolher suas configurações de segurança. Há um assistente de configuração que o orientará na configuração do plug-in de segurança de acordo com suas necessidades.
Primeiro, clique na opção referente ao tipo de site que você tem. Selecionaremos a opção “Blog”.
Agora você verá um botão para ativar o “Security Check Pro”. Isso definirá automaticamente suas configurações de segurança para redirecionar solicitações HTTP para HTTPS e protegê-lo contra falsificação de IP.
Você deve alternar essa configuração para a posição “On”.
Depois disso, você precisa escolher se é um site pessoal ou de cliente.
Estamos selecionando “Self” para este tutorial.
Em seguida, há uma opção para ativar uma política de senha forte para seus usuários.
Clique na opção para impor uma senha forte para seus usuários e clique em “Next” (Avançar).
Agora, você conseguiu forçar os usuários a terem uma senha forte. Há uma variedade de outras configurações que você pode ativar para tornar seu login ainda mais seguro.
Se desejar, você pode adicionar uma lista de endereços IP a uma lista branca para evitar que eles sejam bloqueados em seu site. Você precisa listar o endereço IP de cada usuário. Você pode adicionar rapidamente seu próprio endereço IP clicando no botão “Authorize my IP address” (Autorizar meu endereço IP).
Você deve deixar a configuração de Detecção de IP em “Verificação de segurança (recomendada)” e, em seguida, clicar no botão “Avançar”.
Se você quiser ativar a autenticação de dois fatores, clique no botão de alternância para a posição Ativado e, em seguida, clique no botão “Next” (Avançar).
Depois disso, será perguntado se você deseja ativar mais algumas configurações de segurança para diferentes grupos de usuários. Você pode simplesmente clicar em “Default User Groups” (Grupos de usuários padrão).
Isso o levará a uma tela em que é possível forçar senhas fortes e alterar outras configurações por função de usuário.
A primeira tela será a das configurações de segurança para usuários administradores.
Você pode ativar senhas fortes e recusar-se a permitir que os usuários se registrem com uma senha comprometida que tenha sido usada anteriormente em outros sites.
Para alterar as configurações de segurança de outros usuários, basta clicar em uma função diferente na parte superior da tela. Quando terminar, clique no botão “Next” (Avançar) na parte superior ou inferior da tela.
Isso o guiará pelo restante do assistente de configuração para ativar configurações de segurança adicionais para seu site.
Se quiser alterar as configurações de senha no futuro, vá para Security ” Settings (Segurança ” Configurações), clique em ‘User Groups’ (Grupos de usuários) e selecione o grupo que deseja alterar.
Quando terminar, clique no botão “Save” (Salvar) na parte inferior da tela para salvar suas configurações.
Método 2: Forçar senhas fortes com o Password Policy Manager
Outra maneira de forçar senhas fortes em seu blog do WordPress é usar o plug-in Password Policy Manager. Ele permite que você crie facilmente regras de senhas fortes que seus usuários devem seguir, mas não tem outros recursos de segurança para proteger seu site como o iThemes Security tem.
A primeira coisa que você precisa fazer é instalar e ativar o plug-in. Para obter mais detalhes, consulte nosso guia para iniciantes sobre como instalar um plug-in do WordPress.
Após a ativação, você terá uma nova opção de menu chamada “miniOrange Password Policy” no painel de administração do WordPress. Você precisa clicar nela para configurar suas regras de senha.
Em seguida, clique no botão de alternância “Password Policy Settings” (Configurações da política de senha) para ativar as configurações de senha forte.
Depois disso, você pode definir suas configurações de senha forte. Basta marcar as caixas dos requisitos de senha que você deseja definir.
Em seguida, defina o tamanho da senha necessária.
Depois disso, você pode optar por fazer com que as senhas expirem após um período de tempo definido.
Se quiser ativar essa opção, clique no botão de alternância “Ativar tempo de expiração” e insira o tempo de expiração em semanas.
Quando terminar, não se esqueça de clicar no botão “Save Settings” (Salvar configurações).
Você também pode redefinir todas as senhas dos seus usuários a qualquer momento. Basta clicar no botão “Reset Password” (Redefinir senha), e todos os seus usuários serão solicitados a criar novas senhas fortes.
Nossos melhores guias para proteger as senhas do WordPress
Esperamos que este artigo o tenha ajudado a aprender como forçar senhas fortes nos usuários do WordPress. Talvez você também queira ver alguns outros guias sobre como proteger as senhas do WordPress:
- Como alterar sua senha no WordPress (guia para iniciantes)
- Como gerenciar senhas de forma fácil e segura (Guia para iniciantes)
- Como e por que você deve limitar as tentativas de login no WordPress
- Como adicionar um gerador de senha de usuário simples no WordPress
- Como permitir que os usuários ocultem/mostrem senhas na tela de login do WordPress
- Como redefinir as senhas de todos os usuários no WordPress
Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Syed Balkhi
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Mrteesurez
Good job here.
but my question is, why there is a risk when my site users use weak passwords when they are not actually the admins ??
Also, thanks for that plugin Password Policy Manager, I love how it works.
My websites are becoming more professional by implementing your guides. I appreciate.
WPBeginner Support
The chances are very low but if there is a plugin or theme with a vulnerability that only requires a user on the site then hackers could target your users instead of your admins.
Administrador
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Administrador
lionel
this plugin hasn’t been updated in over a year.
WPBeginner Support
Thank you for letting us know, from taking a look the plugin should still be working but for understanding the lack of updates you would want to take a look at our article here: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Administrador
Bobby
Is there any function in this plugin to change the password level? I was looking for this issue over a month.
WPBeginner Staff
This plugin does not send password emails. It also does not advertises to encrypt emails. That’s not the purpose of this plugin.
CST
It does not sound like the, “Force Strong Passwords” plugin is as safe as it is touted to be if it does not block emailing the password in unencrypted form.
dwf
Not to mention that the “Force Strong Passwords” plugin does nothing to prevent emailing of strong password during User setup…
Chris
Any ideas on how to implement this same approach but for all users; even ‘subscribers’?
Editorial Staff
Yes you would have to use
slt_fsp_weak_roles
filter. Haven’t tried the code below, but something like this should work:1-click Use in WordPress
Administrador
Chris Miller
Thank you! I’m surprised WordPress hasn’t implemented a simple ‘tick box’ option to increase security password requirements with all the brute force attacks lately. I’ll give this a go.
Sara
Great concept. Looking at the “support” page at wordpress’s plugins site, the developers haven’t responded to support messages and don’t appear to have any reputation in the security world.
I want to stress, I love the idea. But I am not wowed by what I’m seeing of the “company” or developers behind the software, and for something like security, that makes me nervous. I’m gonna pass for now.
Editorial Staff
Often developers build their plugins out of their free time. Having built several ourselves, we know how hard it is to support them specially when you are not getting anything in return. This plugin’s author has updated his github page for the plugin. That seems to be running version 1.1 which has a lot of upgrades and fixes.
Administrador
Damien
If they have (simply) converted the WordPress strength test to PHP then they don’t need to have a reputation in the security world. It is not really “new” code, just ported code.