Att göra din WordPress-sajt säkrare är alltid ett smart drag.
Ett effektivt sätt att göra detta är att kräva att användare regelbundet byter sina lösenord. Detta enkla steg kan göra det mycket svårare för hackare att bryta sig in.
Regelbundna lösenordsbyten skyddar dina data och dina användares information. De lägger också till ett extra säkerhetslager till din sajt. Genom att låta lösenord gå ut efter en viss period hjälper du till att hålla alla säkrare.
I den här guiden går vi igenom hur du tvingar användare att byta lösenord i WordPress.
När och varför tvinga WordPress-användare att byta lösenord?
80 % av dataintrången involverar svaga eller stulna lösenord. Lyckligtvis stör regelbundna lösenordsbyten hackarnas försök.
Hackare kommer att försöka komma åt ditt konto upprepade gånger under en tidsperiod. I det här fallet förhindrar du brute-force-attacker från personer med skadliga avsikter.
De flesta nya användare tenderar att använda svaga lösenord eller samma lösenord som sina andra konton eftersom de är lätta att komma ihåg. Om en hacker kommer in på din WordPress-webbplats kan det äventyra säkerheten för alla andra användare.
Men att tvinga fram lösenordsändringar bör inte bara gälla administratörer. Det bör också gälla medlemsanvändare och återkommande kunder. Till exempel, när kunder registrerar sig på din WooCommerce-butik eller medlemswebbplats, får de lösenordet via e-post. Att tvinga fram regelbundna lösenordsändringar kan bidra till att minska risken för nätfiske-försök via e-post.
Dessutom, om du driver en WordPress-webbplats med flera användare, bör du be användarna att uppdatera sina lösenord efter en viss tid.
Å andra sidan, om du nyligen har märkt misstänkt aktivitet på din WordPress-webbplats, bör du omedelbart ogiltigförklara alla befintliga användarlösenord och be alla att uppdatera sina lösenord.
Med det i åtanke, låt oss se hur du kan ogiltigförklara lösenord och tvinga användare att ändra lösenord i WordPress.
Tvinga användare att ändra lösenord i WordPress
Det bästa sättet att tvinga användare att ändra lösenord i WordPress är att använda pluginet Password Policy Manager. Det låter dig enkelt skapa och genomdriva starka och säkra lösenordspolicyer.
För att komma igång måste du installera och aktivera pluginet Password Policy Manager. För mer information, se vår handledning om hur man installerar ett WordPress-plugin.
Härifrån måste du gå till sidan Password Policy Manager » Password Policy Manager. Sedan, under fliken Policy Settings » For All Users, hittar du olika inställningar för lösenordspolicy som du kan konfigurera.
Först, låt oss se till att du slår på den stora växlingsknappen som säger 'Enable all settings.' Nedanför kan du markera alla lösenordspolicyregler som du vill genomdriva varje gång en ny användare behöver skapa ett nytt lösenord.
Alternativen inkluderar:
- Måste innehålla små och stora bokstäver
- Måste innehålla siffror
- Måste innehålla specialtecken
- Längd på lösenordet mellan 8 och 25
Vi rekommenderar att du behåller dessa rutor markerade eftersom detta är bästa praxis för att ha ett starkt lösenord. Du kanske också vill läsa vår guide om hur man lägger till en enkel lösenordsgenerator för användare i WordPress.
Nedanför måste du markera rutan som säger 'Force Reset Password on first login.' Detta hjälper till att förhindra nya användare från att använda samma lösenord som sina andra onlinekonton och säkerställer att de ställer in ett starkt lösenord direkt.
Sedan måste du aktivera alternativet 'Enable Password Expiry' så att du ställer in en specifik utgångstid som tvingar alla webbplatsanvändare att ändra sitt lösenord. Bredvid det kan du ställa in antalet veckor du vill tvinga fram ändringen.
När du är klar kan du klicka på knappen 'Save Settings'.
Under inställningarna för sparande ser du ett alternativ för att återställa ditt lösenord med ett klick. Om du eller dina användare inte har återställt lösenordet på ett tag är det en bra idé att klicka på knappen 'Återställ lösenord'.
Detta kommer automatiskt att avsluta alla inloggade sessioner från användare och tvinga dem att återställa sina lösenord.
Sedan kommer alla användare att få ett e-postmeddelande med en länk för att återställa sina lösenord.
Allt de behöver göra är att klicka på länken i e-postmeddelandet.
Detta öppnar WordPress inloggningsskärm, där du anger ditt nuvarande och nya lösenord.
Vi rekommenderar att använda en säker lösenordsgenerator istället för att försöka skapa ett du kan memorera. Du kan sedan använda en lösenordshanterare som 1Password för att lagra det.
Härifrån kan du klicka på 'Ändra lösenord'.
Detta tar dig tillbaka till din WordPress inloggningssida, där du kan ange dina nya uppgifter.
Du kan gå till sidan Lösenordspolicyhanterare » Rapporter för att spåra alla inloggningsförsök som gjorts av användare. Vi rekommenderar att du kontrollerar den regelbundet för att se om några misstänkta försök har gjorts på din WordPress-webbplats. Om så är fallet kan du enkelt utföra den engångsåterställning vi just nämnt.
För att se data måste du växla fliken 'Aktivera rapportinmatning'.
Och det är allt! Du har nu framgångsrikt konfigurerat din WordPress-webbplats så att den tvingar alla användare att ändra lösenord efter utgångsdatumet.
Felsökningstips
Ibland går saker inte så smidigt som planerat. Här är några felsökningstips som hjälper dig att navigera eventuella problem som kan uppstå.
Vad händer om mina användare aldrig får sina e-postmeddelanden?
Om dina användare inte får e-postmeddelanden för att återställa sina lösenord, kan det bero på en mängd olika saker. Ta en titt på vår guide om hur du åtgärdar problemet med att WordPress inte skickar e-post.
Vad händer om jag inte kan komma åt WordPress-administratörsområdet för att återställa mitt lösenord?
Om du på något sätt inte kan komma åt WordPress-administratörsområdet, ta en titt på vår guide om vad du ska göra när du är utlåst från WordPress-administratörsområdet.
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du tvingar användare att ändra lösenord i WordPress. Du kanske också vill se vår ultimata säkerhetsguide för WordPress för att förbättra din webbplatssäkerhet eller vår lista över de vanligaste WordPress-felen och hur du åtgärdar dem.
Om du gillade den här artikeln, prenumerera gärna på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Dennis Muthomi
Trevlig artikel om lösenordsändringar i WordPress!
Jag är en webbplatsadministratör som hanterar några få klientwebbplatser och jag har haft lösenordsändringar inställda ett tag, men jag visste inte att man kunde tvinga fram en återställning vid första inloggningen.
Detta är en bra säkerhetsfunktion som jag kommer att lägga till på mina klientwebbplatser (och min egen webbplats också).
Tack för den grundliga guiden!
Jag har lärt mig något nytt idag
Dayo Olobayo
Jag är imponerad av användarvänligheten hos pluginet Password Policy Manager. Har du, enligt din erfarenhet, stött på något motstånd från användare när du har infört striktare lösenordsriktlinjer? Om ja, hur kan webbplatsadministratörer effektivt bemöta dessa bekymmer? Tack.
WPBeginner Support
De flesta användare verkar vara okej med ett striktare lösenordskrav så länge det inte är överdrivet vad gäller kraven.
Admin
Dayo Olobayo
Tack för din feedback. Jag håller med, att balansera säkerhet med användarvänlighet är nyckeln till att minimera motstånd.
Marko
Artikeln behöver uppdateras.
WPBeginner Support
Thank you for letting us know, we will look into updating the article when we are able
Admin
Shallum Vohr
Hur tvingar man en användare att uppdatera sitt lösenord vid första inloggningen endast?
Millie Aveyard
Mycket svårt för äldre människor som jag, att komma ihåg alla olika lösenord i sina liv! Allt idag verkar ha lösenord av ett eller annat slag!
Även om du skriver ner lösenorden i din lilla bok, så har du vid den tidpunkt du behöver det nya lösenordet, lämnat den lilla boken i bilen, och cirkusen börjar igen!
Jag kan inte vara den enda som måste stanna upp och tänka på alla olika lösenord som jag använder varje dag!
WPBeginner Support
Se vår guide om hur du hanterar lösenord för WordPress-nybörjare. Vi använder LastPass för att lagra och hantera alla våra lösenord. Det är en webbläsartillägg som sitter i din webbläsare. Den kan spara och automatiskt fylla i dina lösenord åt dig. Den kan också generera starka lösenord åt dig när du skapar ett nytt konto.
Admin
Remi
Mycket bra idé! Det är ett bra sätt att ge mer säkerhet till administrationen!
Daniel
Bra inlägg – jag har nu konfigurerat pluginet på min blogg. Jag skulle starkt rekommendera även följande:
1) Ta bort administratörsanvändaren helt – här skapar du en annan användare som har administratörsrollen, logga in som dem och ta sedan bort den befintliga administratörsanvändaren; se till att du klickar på alternativet för att överföra administratörens tidigare inlägg till dig.
2) Lösenordet för "admin" (rollanvändare) är komplext – använd oninepasswordgenerator.com eller liknande.
3) Slutligen måste du, måste, måste installera pluginet "Limit Login attempts" ... Detta är ett genialt verk och blockerar regelbundet de cirka 10 försöken per dag att logga in på min blogg. Ställ in långa spärrtider och låt pluginet skicka e-post till dig (nya administratörsanvändaren) efter 2 spärrar.
Navneet
Det här är ett mycket bra inlägg ……