Protecția prin parolă WordPress – Un ghid complet

Publicat: 2022-08-02

Acesta este un ghid „final” sau cuprinzător pentru protecția prin parolă WordPress pentru administratorii și proprietarii de site-uri web de afaceri. Este scris pentru cei care administrează sau sunt administratorii site-urilor WordPress.

Roluri deoparte, următoarea securitate a site-ului WordPress cea mai vulnerabilă și ușor de întărit este utilizarea de către dvs. a parolelor, potrivit WordPress și furnizorii de software de securitate. Înarmat cu acreditările de conectare, cineva ar putea să vă acceseze site-ul web și toate configurațiile și datele disponibile din tabloul de bord WordPress. Un utilizator conectat vă poate uzurpa identitatea, adăuga, modifica sau șterge articole, vă poate deteriora site-ul și vă poate distruge afacerea.

Această postare de blog oferă o serie de îndrumări de bune practici pentru a vă ajuta să stabiliți o protecție securizată prin parolă WordPress în organizația dvs. și să vă educați utilizatorii cu privire la utilizarea lor.

Cuprins

  • Stabiliți o politică puternică de securitate a parolelor
        • Cum arată o parolă puternică?
        • Rolurile utilizatorilor WordPress și implicațiile lor de securitate
        • Instalați instrumentele și pluginurile potrivite pentru securitatea parolei WordPress
        • Setați un exemplu bun pentru protecția prin parolă WordPress
  • Folosiți un manager de parole
      • Beneficiile utilizării unui manager de parole
  • Activați autentificarea cu doi factori sau cu mai mulți factori
  • Educați-vă utilizatorii în protecția prin parolă WordPress
        • Vorbiți despre încălcările de date demne de știri
        • Implementați-vă politica de parole puternice
            • Activități de administrator pentru securitatea parolei WordPress
        • Subliniați beneficiile de reducere a stresului și economie de timp ale utilizării unui manager de parole
        • Subliniați investiția utilă în securitatea puternică a parolelor WordPress
  • Stabiliți alte garanții relevante

Stabiliți o politică puternică de securitate a parolelor

În calitate de administrator al site-ului WordPress, aveți oportunitatea și responsabilitatea de a aplica o politică puternică de parole pentru utilizatorii dvs. Procedând astfel, vă veți proteja organizația, site-urile web, datele, personalul și alți utilizatori de o serie de atacuri.

  • În cazul unei companii și al angajaților săi interni, angajații de marketing vor avea nevoie de acces la site-ul WordPress pentru a crea și edita pagini de site și postări de blog, în timp ce alții vor avea nevoie doar de acces pentru a modera și a răspunde la comentarii. Pe de altă parte, angajații de gestionare a contului de client sau de serviciu pentru clienți vor avea nevoie de niveluri diferite de acces la conturile clienților, pentru a răspunde la biletele de asistență. În acest caz, majoritatea utilizatorilor de personal intern nu vor avea nevoie de acces la conturile clienților, deși unii vor avea nevoie. Cei care lucrează în suport IT pot avea nevoie de acces la unele aspecte ale conturilor clienților, deși nu la toate.
  • Să ne gândim la celălalt punct de vedere, cel al utilizatorilor externi pe un site WordPress de comerț electronic. Este posibil să fie nevoie să se conecteze pentru a-și gestiona contul, pentru a efectua o achiziție, pentru a urmări starea unei livrări sau a returnării sau pentru a contacta asistența pentru clienți. Acelor utilizatori nu ar trebui să li se acorde acces pentru a crea sau șterge pagini web, de exemplu, sau să poată vedea contul și detaliile financiare ale altor clienți. În unele cazuri, site-urile de comerț electronic nu solicită utilizatorilor care sunt clienți să își creeze un cont și să se conecteze deloc, deoarece uneori poate fi o barieră în obținerea unei vânzări.

De ce este necesară toată această considerație? Utilizatorii nu știu deja cum să creeze și să utilizeze parole sigure?

Utilizatorul mediu de computer nu este bine educat despre protecția prin parolă WordPress sau despre securitatea parolei WordPress în general. Este probabil că aceștia vor avea o atitudine laxă față de propriile lor date online și vor considera stresantă gestionarea acreditărilor de conectare (toate despre care vom discuta mai târziu), și le vor nota pe note lipicioase și le vor lipi de monitoare!

În plus:

  • Boții de ghicire a parolelor devin din ce în ce mai sofisticați
  • Hackerii rău intenționați încă folosesc atacuri de forță brută și de dicționar

Activitățile nefaste devin mult mai ușoare pentru hackerii rău intenționați dacă dețin deja informații personale, cum ar fi numele reale, care ar putea face parte dintr-o parolă slabă.

Cum arată o parolă puternică?

  • Parole mai lungi – Ca regulă generală, cu cât parola este mai scurtă, cu atât este mai susceptibilă la un atac de forță brută sau de dicționar. Cel mai bun sfat actual este să setați o lungime minimă de 16 caractere pentru parola dvs. și să lăsați spații. Unele generatoare de parole permit utilizatorilor să personalizeze lungimea parolei sigure, aleatorii pe care o creează.
  • Parole mixte – Utilizați o combinație aleatorie de caractere (atât litere mari, cât și minuscule), numere și caractere speciale. Acest lucru vă va proteja parola împotriva atacurilor de dicționar. Evitați cuvintele din dicționar și modelele de litere sau numere, înlocuind literele cu cifre ("@" în loc de "a", "0" în loc de "O", inclusiv secvențele de tastatură (qwerty).
  • Parole aleatorii – Păstrați-vă parolele fără legătură cu dvs. Nu folosiți nicio parte a numelui dvs. sau a numelui unui animal de companie, al copilului sau al altei rude. Nu vă folosiți data de naștere, adresa poștală sau orice altă informație publică la care un hacker rău intenționat s-ar putea conecta cu ușurință la dvs. De asemenea, evitați să folosiți informații pe care un coleg sau o cunoștință le-ar putea ghici, cum ar fi porecle.
  • Schimbarea parolelor – Resetați-vă parolele în mod regulat (se recomandă o dată la trei luni.) Acest lucru repornește ceasul la orice încercare de forță brută și vă ține înaintea progreselor în tehnologia de hacking neetică.
  • Parole diferite – au o parolă diferită pentru fiecare site web. În acest fel, dacă unul este încălcat, ceilalți sunt încă în siguranță. Utilizați zilnic un manager de parole pentru a le stoca, actualiza și utiliza.
  • Parole salvate – Nu utilizați configurația browserului, laptopurile sau folderele partajate pentru a vă salva parolele în cazul în care computerul este spart sau furat. Pentru asta este un manager de parole!

Rolurile utilizatorilor WordPress și implicațiile lor de securitate

Configurarea rolurilor are implicații uriașe în securitatea site-ului WordPress. Ca regulă generală, securitatea WordPress ar trebui să crească direct proporțional cu nivelul de informații sensibile care sunt conținute sau schimbate pe site.

Mai întâi, să ne uităm la rolurile de administrator:

  • Super Administratori – atribuiți proprietarilor de mai multe site-uri folosind WordPress Multisite Network, vă oferă exact aceleași permisiuni ca și rolul de administrator
  • Administrator – atribuit automat unui proprietar/creator de site-ul web la instalare, vă oferă control deplin asupra unui site web, inclusiv ștergerea, ei pot: instala, edita și șterge teme și pluginuri; rulați upgrade-uri și actualizări; creați, editați și ștergeți pagini și postări de blog; adăugați, editați și ștergeți utilizatori, inclusiv alți Administratori; și adăugați, editați și ștergeți media

Toate celelalte roluri de utilizator, enumerate în ordinea descrescătoare a intervalului de autoritate sunt:

  • Editor – poate adăuga, edita și șterge pagini noi, postări de blog, media; creați categorii și etichete; publică conținut scris de ei înșiși și de alții; și comentarii moderate
  • Autor – poate adăuga, edita și publica doar propriul conținut; încărcare media; și atribuiți categorii și etichete existente postărilor de blog
  • Contributor – poate adăuga și edita doar propriul conținut; și atribuiți categorii și etichete existente propriilor postări de blog
  • Abonat – își poate actualiza doar propriul profil de utilizator; citește conținutul altora; și adăugați comentarii

Urmând principiul cel mai mic privilegiu, atunci când setați roluri pentru a delega sarcini în WordPress, evitați să acordați acces oricui alt administrator (Super) decât dacă trebuie să aibă acest nivel de control asupra unui site web, a caracteristicilor și utilizatorilor acestuia. Deoarece cititorii pot vedea „postat de” (numele de utilizator) pe site-ul dvs. web, administratorii – ca un nivel suplimentar de precauție – ar trebui să configureze un utilizator suplimentar Editor pentru ei înșiși și să se conecteze cu contul (Super) Administrator numai atunci când trebuie să efectueze aceste sarcini de nivel superior. Aceasta înseamnă că hackerii rău intenționați au și mai puține informații pe care să se bazeze dacă au în vedere un atac cu forță brută.

Pentru informații suplimentare, consultați Cum să utilizați rolurile de utilizator WordPress pentru o securitate îmbunătățită WordPress.

Instalați instrumentele și pluginurile potrivite pentru securitatea parolei WordPress

O modalitate prin care puteți aplica parole WordPress puternice pentru utilizatorii dvs. este să utilizați pluginul WPassword pentru a:

  • Implementați parole puternice pe site-urile dvs. WordPress în câteva secunde
  • Oferiți sfaturi pentru a ajuta utilizatorii să vină cu parole puternice (în loc să fie nevoiți să ghicească)
  • Configurați politicile de parole privind aspectele vitale ale protecției cu parolă, cum ar fi complexitatea, istoricul și vârsta parolei
  • Configurați politicile de parole bazate pe rolul utilizatorului pentru a satisface roluri personalizate, de specialitate sau excludeți anumiți utilizatori din anumite politici.
  • Resetați imediat toate parolele dacă este detectat un atac
  • Implementați o politică privind utilizatorii inactivi, pentru a elimina amenințarea postată de conturile de utilizator inactive care au fost configurate înainte de adoptarea politicii

Setați un exemplu bun pentru protecția prin parolă WordPress

Vă recomandăm să utilizați acreditări securizate și să încurajați, de asemenea, utilizatorii să facă acest lucru.

  • Combinați parola dvs. puternică (consultați Cum arată o parolă puternică?) cu un nume de utilizator puternic.
  • În calitate de administrator, evitați numele de utilizator implicite evidente și slabe, cum ar fi admin, default, parola sau guest
  • Nu le face atât de ușor actorilor răi încât să le mai rămână o singură acreditare de descoperit

Amintiți-vă că, dacă vă bazați pe măsurile de securitate a parolelor WordPress, trebuie să aplicați și parole puternice folosind un plugin. WordPress nu are o parolă puternică încorporată sau implicită.

Folosiți un manager de parole

Un manager de parole este un serviciu online sau un client software care stochează și gestionează în siguranță acreditările utilizatorilor pe mai multe site-uri web și servicii. Aceste informații sunt accesate cu o singură parolă principală și opțiuni pentru autentificare multifactor. Exemplele populare includ 1Password și KeePass. Dar, chiar dacă există mulți manageri de parole online, acest lucru nu înlocuiește backup-urile solide și fiabilitatea.

Beneficiile utilizării unui manager de parole

  • Ei nu vor trebui să-și amintească care sunt parolele lor pentru fiecare site web – în același timp, unul dintre cele mai mari puncte de durere la locul de muncă, care este „rezolvat” printr-o practică leneșă și nebună de a folosi aceleași acreditări în multe servicii online.
  • Nu vor fi tentați să stocheze datele de conectare în formă scrisă care încalcă reglementările privind protecția datelor sau în fișiere online care pot fi compromise.
  • Acesta va elibera utilizatorii să folosească parole complexe și diferite. Mulți manageri de parole au un generator de parole încorporat cu o sugestie de tip pop-up de browser convenabil și rapid, care înregistrează, de asemenea, instantaneu o nouă înregistrare.
  • Nu își vor lăsa contul sau site-ul web deschis hackerilor rău intenționați și roboților automati.
  • Managerii de parole monitorizează adesea adresele de e-mail și alertează utilizatorii după apariția lor pe dark web. Și, ei pot recomanda, de asemenea, ca parolele reutilizate sau altfel slabe să fie schimbate.

Activați autentificarea cu doi factori sau cu mai mulți factori”

Autentificarea cu doi factori sau multifactor este un nivel suplimentar de acreditări care trebuie introdus înainte ca utilizatorului să i se acorde acces la un site web sau o aplicație, în plus față de combinația tradițională de nume de utilizator și parolă. Este folosit atunci când cineva folosește deja parole puternice, deoarece o abordare multifactorială este cea mai bună pentru securitatea WordPress. Combinațiile puternice de parole și nume de utilizator pot fi furate. Un cod unic este generat de o aplicație și primit prin e-mail sau SMS trimis pe dispozitivul personal, contul de e-mail sau telefonul mobil al unui utilizator, este mai dificil de eludat de un hacker rău intenționat.

Există mai multe alternative care pretind locul celor mai bune pluginuri de autentificare cu doi factori pentru WordPress. Verificați acestea. Dar vă recomandăm cu căldură propriul nostru produs – pluginul WP 2FA. Nu numai că va îmbunătăți autentificarea site-ului dvs. WordPress, ci este proiectat având în vedere ușurința de utilizare și simplitatea configurației. De asemenea, vă permite să faceți 2FA obligatoriu, cu politici 2FA complet configurabile pentru diferite roluri de utilizator. Combinația dintre pluginurile WPassword și WP 2FA face site-urile dvs. WordPress super sigure.

Educați-vă utilizatorii în protecția prin parolă WordPress

Utilizatorii site-ului dvs. web știu deja într-un sens vag că este nevoie de o securitate puternică a parolelor. Dar adesea nu reușesc să facă nimic în privința asta.

Deci, despre ce anume trebuie să-i educi?

Vorbiți despre încălcările de date demne de știri

Parolele slabe sunt una dintre cele mai mari amenințări la adresa securității site-urilor WordPress. De ce? Deoarece acreditările slabe – ușor de ocolit cu un atac de forță brută sau de dicționar – sunt o cauză principală a încălcărilor de date despre care citim cu toții în știri. Adăugați la acestea pierderile de date facilitate de parolele implicite sau furate, sau parolele preluate de pe dispozitive pierdute sau furate, iar problema se înmulțește.

Ce pot face hackerii rău intenționați și utilizatorii neautorizați atunci când vă accesează site-ul web?

  • La un nivel de bază, aceștia vă pot modifica configurațiile sau pot introduce malware
  • De asemenea, ar putea redirecționa traficul de pe site-ul dvs. web sau îl pot folosi pentru a distribui software piratat
  • În cele mai grave atacuri, aceștia pot fura și utiliza greșit date sensibile, pot crea taxe bancare false sau pot colecta informații financiare și de altă natură pentru a le revânda pe dark web.
  • Dincolo de aceste activități comerciale, hacktiviștii vă pot politiza sau denatura site-ul web cu discursuri instigatoare la ură

Asigurați-vă că utilizatorii personalului intern sunt conștienți de implicațiile majore, la nivelul întregii organizații, asupra informațiilor interne ale companiei și asupra datelor externe ale clienților, precum și despre amenzile sau retragerile obligatorii ale companiei. Și repetați aceleași mesaje clienților site-ului dvs. pentru a vă asigura că acordă prioritate siguranței propriilor date personale, financiare, de sănătate și alte date sensibile.

Impacturile negative pe care astfel de încălcări ale datelor le pot avea asupra organizației și site-ului dvs. web sunt enorme:

  • Pierderea reputației și a încrederii în organizația și site-ul dvs
  • Amenzi substanțiale din partea organismelor de reglementare, precum și alte penalități sau disocieri de la parteneri și clienți

Implementați-vă politica de parole puternice

  1. În primul rând, educați-vă utilizatorii cu privire la toate elementele din Cum arată o parolă puternică? și beneficiile utilizării unui manager de parole? De exemplu, asigurați-vă că cunosc formulări de parole persistente și grav nesigure, cum ar fi thisismypassword, 123456789, [mykidsname] sau [mypetsname]. Și, în schimb, încurajați utilizarea formulărilor de parole puternice (de exemplu , vqO&V13@H%fF sau @iGOuqk%W0xY ). Nu distribuiți și nu folosiți aceste exemple specifice pentru niciunul dintre serviciile sau utilizatorii dvs. Sunt doar exemple.
  2. Amintiți-le în mod regulat personalului intern despre politica de angajare și/sau de protecție a datelor pe care a semnat-o și despre responsabilitățile legale personale pe care le au față de angajator.
  3. Amintiți-le în mod regulat personalului intern că politica de protecție a datelor și declarațiile făcute de companie clienților și clienților se bazează pe aceștia în conformitate cu politicile companiei și că acestea au potențial implicații grave și permanente din punct de vedere juridic, financiar, de angajare și de aplicare a legii.
  4. Încurajați utilizatorii să-și creeze propriile parole sigure folosind manageri de parole care au și instrumente de generare a parolelor. Majoritatea software-ului de gestionare a parolelor vor avea și propriile lor, ceea ce este util atunci când creați conturi noi pentru servicii online și alte servicii.

Activități de administrator pentru securitatea parolei WordPress

  1. Verificați puterea parolei parolelor utilizatorilor dvs. WordPress cu un scaner precum WPScan.
  2. Utilizați instrumentele pe care le folosesc hackerii rău intenționați pentru a încerca să „ghiciți” parolele utilizatorilor dvs. Programați singuri atacurile de forță brută și de dicționar!
  3. Blocați utilizatorii care au parole slabe și trimiteți o solicitare pentru a le reseta.
  4. Desfășurați ateliere despre cum să utilizați managerul de parole la alegere.

Subliniați beneficiile de reducere a stresului și economie de timp ale utilizării unui manager de parole

Mulți dintre utilizatorii dvs. ar putea vedea nevoia de parole puternice, dar nu sunt dispuși să le folosească din cauza nefamiliarității și a dificultăților sau costurilor percepute în practică. Aici puteți consolida ușurința și beneficiile utilizării unui Manager de parole, împreună cu costul scăzut, fiabilitatea și ușurința de a păstra copiile de siguranță ale acreditărilor.

Este un avantaj imens doar să vă amintiți o singură parolă, mai degrabă decât mai multe parole.

Din punctul de vedere al utilizatorului, cele mai importante sunt:

  • Ei trebuie să-și amintească doar o singură parolă – fericire!
  • Managerul de parole va acționa ca un nou generator de parole, un instrument de gestionare a parolelor și o solicitare de a introduce acreditările securizate la fața locului pentru ei

Subliniați investiția utilă în securitatea puternică a parolelor WordPress

Trebuie să ne confruntăm cu faptele. Unii utilizatori potențiali vor fi amânați să se înregistreze pe site-ul dvs. dacă sunt forțați să folosească parole puternice și să le schimbe frecvent. Aceste proceduri necesită puțin timp și efort pentru a fi configurate inițial. Unii vor considera că este o bătaie de cap pe care nu o doresc, în timp ce alții se vor plânge că le strică experiența utilizatorului site-ului dvs.

Stabilirea și aplicarea unei politici puternice de securitate a parolelor WordPress, eventual folosind un plugin care diferențiază politicile de parole și nivelurile de securitate în funcție de rolurile utilizatorului, va reduce perturbarea utilizatorului la minimum.

Stabiliți alte garanții relevante

În calitate de proprietar al site-ului web sau administrator WordPress, iată câteva sugestii concludente ale problemelor mai mari pe care trebuie să le luați în considerare pentru securitatea parolei WordPress:

  • Familiarizați-vă cu protocoalele generale de întărire și protecție a securității WordPress pentru WordPress. Există motive specifice pentru care site-urile WordPress sunt sparte. Este în avantajul dumneavoastră ca administrator sau proprietar să știți care sunt acestea și cum să le gestionați. Da, parolele slabe sunt o problemă majoră, la fel ca și lipsa 2FA și a jurnalelor de activitate. Dar știați că utilizarea nucleului WordPress învechit, a pluginurilor și a altor software-uri este, de asemenea, o problemă serioasă?
  • Utilizați un plugin pentru jurnalul de activități WordPress care vă va informa dacă utilizatorii neautorizați au obținut acces la contul dvs. și, dacă da, ce daune au făcut. Jurnalul nostru de activități WP vă ajută să identificați comportamentul suspect în cel mai incipient stadiu și să preveniți orice atacuri de hack-uri rău intenționate pe site-ul dvs.
  • Configurați o politică privind utilizatorii latenți sau inactivi pentru site-ul dvs. WordPress. Conturile de utilizator neglijate sunt un punct de acces ușor pentru hackeri rău intenționați.
  • Site-ul dvs. poate fi spart chiar dacă utilizați parole puternice și aplicați politici puternice privind parolele utilizatorilor dvs. Este bine să știți imediat dacă site-ul dvs. a fost încălcat. Acesta este un serviciu gratuit de notificare a încălcării datelor, pe care vă sugerăm să îl verificați.

Aveți întrebări despre protecția prin parolă WordPress sau despre oricare dintre produsele pe care le-am menționat în această postare de blog? Anunțați-ne mai jos! Și amintiți-vă cuvintele lui Chris Pirillo:

„Parolele sunt ca lenjeria de corp: nu lași oamenii să o vadă, ar trebui să o schimbi foarte des și nu ar trebui să o împărtășești cu străinii.”

Obțineți o probă de 7 zile a WPassword pentru a-l experimenta în acțiune și pentru a ajuta utilizatorii site-ului dvs. să utilizeze parole WordPress puternice