Att tillåta användare att ha svaga lösenord är som att lämna ytterdörren vidöppen. Det är en inbjudan för tjuvar och hackare att bryta sig in.
Användare väljer ofta samma korta och osäkra lösenord överallt. Om du inte tvingar fram starka lösenord på din WordPress-sajt, lämnar du ditt innehåll och känsliga användardata i riskzonen.
Istället för att lämna lösenordsstyrkan åt slumpen, visar den här artikeln hur du tvingar dina användare att skapa starka lösenord på din WordPress-webbplats, vilket förbättrar din onlinesäkerhet.
Varför införa starka lösenord för dina WordPress-användare?
Starka lösenord gör det svårare för hackare att använda brute force-attacker för att komma åt din webbplats. Om du har lagt tid på att optimera säkerheten för din WordPress-webbplatssäkerhet, vill du också skydda dina inloggningssidor genom att använda ett starkt lösenord.
Om du däremot har en webbutik, medlemswebbplats eller blogg med flera författare, finns det en risk att dina kunder eller andra webbplatsanvändare gör din webbplats sårbar för hackare genom att använda svaga lösenord som lätt kan gissas med brute force-attacker.
Att ha användare med svaga lösenord kan utgöra en säkerhetsrisk, särskilt de med användarroller på hög nivå som administratörer och redaktörer.
WordPress har inbyggda inställningar som visar användarna hur starkt lösenordet är när de skapar ett konto, men det tvingar inte fram dess styrka.
Lyckligtvis kan du använda ett WordPress-plugin för att tvinga dina användare att skapa ett starkt lösenord när de skapar ett konto på din WordPress-webbplats.
Med det sagt, låt oss titta på hur man tvingar fram ett starkt lösenord för dina WordPress-användare. Använd helt enkelt snabblänkarna nedan för att hoppa till den metod du vill använda:
- Tvinga fram starka lösenord med Solid Security
- Tvinga fram starka lösenord med Password Policy Manager
- Våra bästa guider för att skydda WordPress-lösenord
Metod 1. Tvinga fram starka lösenord med Solid Security
Det enklaste sättet att tvinga fram starka lösenord är med ett WordPress-säkerhetsplugin. Vi rekommenderar Solid Security (tidigare iThemes Security) eftersom det låter dig tvinga fram starka lösenord med ett par klick.
Det finns en premiumversion som erbjuder säkerhetshärdning, kontroller av filintegritet, 404-detekteringar och mer, men vi kommer att använda gratisversionen för den här handledningen eftersom den har funktioner för lösenordsskydd. För mer information, se vår kompletta Solid Security-recension.
Det första du behöver göra är att installera och aktivera pluginet. För mer detaljer, se vår guide om hur man installerar ett WordPress-plugin.
Efter aktivering, gå till Säkerhet » Inställningar för att välja dina säkerhetsinställningar. Det finns en installationsguide som guidar dig genom konfigurationen av säkerhetspluginet för dina behov.
Klicka först på alternativet för den typ av webbplats du har. Vi väljer alternativet 'Blogg'.
Nu ser du en växlingsknapp för att aktivera 'Security Check Pro'. Detta kommer automatiskt att konfigurera dina säkerhetsinställningar för att omdirigera HTTP-förfrågningar till HTTPS och skydda dig från IP-spoofing.
Du bör växla denna inställning till läget 'På'.
Därefter måste du välja om det är en personlig webbplats eller en klientwebbplats.
Vi väljer 'Själv' för den här handledningen.
Därefter finns det en omkopplare för att aktivera en policy för starka lösenord för dina användare.
Du måste klicka på växlingsknappen för att tvinga fram ett starkt lösenord för dina användare och klicka på ‘Nästa’.
Nu har du framgångsrikt tvingat användare att ha ett starkt lösenord. Det finns en mängd andra inställningar du kan aktivera för att göra din inloggning ännu säkrare.
Om du vill kan du lägga till en lista med IP-adresser i en vitlista för att förhindra att de blir utelåsta från din webbplats. Du måste lista IP-adressen för varje användare. Du kan snabbt lägga till din egen IP-adress genom att klicka på knappen 'Godkänn min IP-adress'.
Du bör lämna inställningen för IP-detektering på 'Security Check Scan (Rekommenderas)' och sedan klicka på knappen 'Nästa'.
Om du vill aktivera tvåfaktorsautentisering, klicka på reglaget till läget På och klicka sedan på knappen 'Nästa'.
Därefter får du frågan om du vill aktivera några fler säkerhetsinställningar för olika grupper av användare. Du kan helt enkelt klicka på 'Standardanvändargrupper'.
Detta tar dig till en skärm där du kan tvinga fram starka lösenord och ändra andra inställningar via användarroll.
Den första skärmen kommer att vara dina säkerhetsinställningar för administratörsanvändare.
Du kan aktivera starka lösenord och vägra att låta användare registrera sig med ett komprometterat lösenord som tidigare använts på andra webbplatser.
För att ändra säkerhetsinställningarna för andra användare, klicka helt enkelt på en annan roll högst upp på skärmen. När du är klar, klicka på knappen 'Nästa' högst upp eller längst ner på skärmen.
Detta guidar dig genom resten av installationsguiden för att aktivera ytterligare säkerhetsinställningar för din webbplats.
Om du vill ändra dina lösenordsinställningar i framtiden, gå sedan till Säkerhet » Inställningar, klicka på 'Användargrupper' och välj den grupp du vill ändra.
När du är klar, se till att klicka på knappen 'Spara' längst ner på skärmen för att spara dina inställningar.
Metod 2: Tvinga fram starka lösenord med Password Policy Manager
Ett annat sätt att tvinga fram starka lösenord på din WordPress-blogg är att använda pluginet Password Policy Manager. Det låter dig enkelt skapa regler för starka lösenord som dina användare måste följa, men det har inte andra säkerhetsfunktioner för att skydda din webbplats som iThemes Security har.
Det första du behöver göra är att installera och aktivera pluginet. För mer information, se vår nybörjarguide om hur man installerar ett WordPress-plugin.
Efter aktivering får du ett nytt menyalternativ som heter 'miniOrange Password Policy' i din WordPress-adminpanel. Du måste klicka på detta för att ställa in dina lösenordsregler.
Klicka sedan på växlingsknappen 'Lösenordspolicyinställningar' för att aktivera dina inställningar för starka lösenord.
Därefter kan du ställa in dina inställningar för starka lösenord. Markera helt enkelt rutorna för de lösenordskrav du vill ställa in.
Ställ sedan in den obligatoriska lösenordslängden.
Därefter kan du välja att lösenord ska löpa ut efter en viss tidsperiod.
Om du vill aktivera detta, klicka på växlingsknappen 'Aktivera utgångstid' och ange sedan utgångstiden i veckor.
När du är klar, se till att klicka på knappen 'Spara inställningar'.
Du kan också återställa alla dina användares lösenord när som helst. Klicka helt enkelt på knappen ‘Återställ lösenord’, så kommer alla dina användare att uppmanas att skapa nya starka lösenord.
Våra bästa guider för att skydda WordPress-lösenord
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du tvingar fram starka lösenord för användare i WordPress. Du kanske också vill se några andra guider om hur du skyddar WordPress-lösenord:
- Hur du ändrar ditt lösenord i WordPress (nybörjarguide)
- Hur man enkelt och säkert hanterar lösenord (nybörjarguide)
- Hur och varför du bör begränsa inloggningsförsök i WordPress
- Hur man lägger till en enkel användarlösenordsgenerator i WordPress
- Hur man tillåter användare att dölja/visa lösenord på WordPress inloggningsskärm
- Hur man återställer lösenord för alla användare i WordPress
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Dayo Olobayo
Tack för denna tydliga och informativa guide om att införa starka lösenord. En fråga jag har är dock om dessa plugins enkelt integreras med andra säkerhetsplugins. Till exempel plugins för skanning av skadlig kod eller övervakning av inloggningsförsök.
WPBeginner Support
Du behöver kontrollera med det specifika säkerhetsplugin du använder eftersom olika plugins kan ha olika konflikter eller fungera bra tillsammans.
Admin
Dayo Olobayo
Tack för förtydligandet. Jag ska kontrollera kompatibiliteten med mina specifika plugins.
Mrteesurez
Bra jobbat här.
men min fråga är, varför finns det en risk när mina webbplatsanvändare använder svaga lösenord när de faktiskt inte är administratörer??
Och tack för pluginet Password Policy Manager, jag älskar hur det fungerar.
Mina webbplatser blir mer professionella genom att implementera dina guider. Jag uppskattar det.
WPBeginner Support
Sannolikheten är mycket låg, men om det finns ett plugin eller tema med en sårbarhet som bara kräver en användare på webbplatsen, kan hackare rikta in sig på dina användare istället för dina administratörer.
Admin
salvador aguilar
This plugin is now closed on WP repo
WPBeginner Support
Thank you for the update, we will keep an eye out for a plugin we would recommend for an alternative
Admin
lionel
detta plugin har inte uppdaterats på över ett år.
WPBeginner Support
Tack för att du meddelade oss, efter en titt bör pluginet fortfarande fungera, men för att förstå bristen på uppdateringar vill du titta på vår artikel här: https://www.wpbeginner.com/opinion/should-you-install-plugins-not-tested-with-your-wordpress-version/
Admin
Bobby
Finns det någon funktion i detta plugin för att ändra lösenordsnivån? Jag har letat efter detta problem i över en månad.
WPBeginner Staff
Detta plugin skickar inte lösenords-e-postmeddelanden. Det annonserar inte heller för att kryptera e-postmeddelanden. Det är inte syftet med detta plugin.
CST
Det låter inte som att pluginet "Force Strong Passwords" är så säkert som det utges för att vara om det inte blockerar e-postmeddelanden med lösenordet i okrypterad form.
dwf
För att inte tala om att pluginet "Force Strong Passwords" inte gör något för att förhindra att starka lösenord skickas via e-post under användarinställningen...
Chris
Några idéer om hur man implementerar samma tillvägagångssätt men för alla användare; även 'prenumeranter'?
Redaktionell personal
Ja, du skulle behöva använda filtret
slt_fsp_weak_roles. Jag har inte provat koden nedan, men något liknande borde fungera:add_filter( 'slt_fsp_weak_roles', 'wpb_weak_roles' ); function wpb_weak_roles( $roles ) { $roles[] = ''; return $roles; }1-click Use in WordPress
Admin
Chris Miller
Tack! Jag är förvånad över att WordPress inte har implementerat ett enkelt alternativ med en 'bockruta' för att öka kraven på säkerhetslösenord med alla brute force-attacker på sistone. Jag ska prova detta.
Sara
Bra koncept. Om man tittar på sidan ”support” på wordpress pluginsida, så har utvecklarna inte svarat på supportmeddelanden och verkar inte ha något rykte inom säkerhetsvärlden.
Jag vill betona, jag älskar idén. Men jag är inte imponerad av vad jag ser av "företaget" eller utvecklarna bakom programvaran, och för något som säkerhet gör det mig nervös. Jag hoppar över det för tillfället.
Redaktionell personal
Ofta bygger utvecklare sina plugins på sin fritid. Efter att ha byggt flera själva vet vi hur svårt det är att stödja dem, särskilt när man inte får något tillbaka. Den här pluginens författare har uppdaterat sin github-sida för pluginet. Det verkar vara version 1.1 som har många uppgraderingar och fixar.
Admin
Damien
Om de (enkelt) har konverterat WordPress styrketest till PHP så behöver de inte ha ett rykte inom säkerhetsvärlden. Det är inte riktigt "ny" kod, bara portad kod.