Características destacadas de iThemes Security Pro: requisitos de contraseña

Publicado: 2021-06-23

En las publicaciones de Feature Spotlight, destacaremos una función en iThemes Security Pro y compartiremos un poco sobre por qué desarrollamos la función, para quién es la función y cómo usarla.

Hoy estamos centrando la atención en la función Requisitos de contraseña en iThemes Security Pro, que es una gran herramienta para asegurar su inicio de sesión de WordPress.

Por qué desarrollamos requisitos de contraseña

Sabemos lo difícil que puede ser lograr que las personas sigan las mejores prácticas de seguridad. Una contraseña segura es una parte esencial de la seguridad de inicio de sesión de WordPress. Hablemos de algunos de los errores comunes de las contraseñas que pueden poner en riesgo su sitio web.

1. Las contraseñas débiles siguen siendo demasiado comunes.

En una lista compilada por Splash Data, la contraseña más común incluida en todos los volcados de datos fue 123456. Un volcado de datos es una base de datos pirateada llena de contraseñas de usuario vertidas en algún lugar de Internet. ¿Te imaginas cuántas personas en tu sitio web están usando una contraseña débil si 123456 es la contraseña más común en los volcados de datos?

2. El inicio de sesión de WordPress es la parte más atacada de su sitio web.

El inicio de sesión de WordPress es la parte más atacada de un sitio web de WordPress, y usar una contraseña débil es como intentar cerrar la puerta de entrada con un trozo de cinta. De forma predeterminada, la URL de inicio de sesión de WordPress es la misma para todos los sitios de WordPress y no requiere ningún permiso especial para acceder. Es por eso que la página de inicio de sesión de WordPress es la parte más atacada y potencialmente vulnerable de cualquier sitio de WordPress.

3. Una contraseña de 8 caracteres se puede descifrar INMEDIATAMENTE.

Nunca ha pasado mucho tiempo para que un pirata informático se abra paso a la fuerza para pasar una contraseña débil en un sitio web. Ahora que los piratas informáticos aprovechan las tarjetas gráficas de computadora en sus ataques, el tiempo que lleva descifrar una contraseña nunca ha sido menor.

Por ejemplo, echemos un vistazo a un gráfico creado por Terahash, una empresa de descifrado de contraseñas de alto rendimiento. Su gráfico muestra el tiempo que lleva descifrar una contraseña utilizando un grupo de hashstack de 448x RTX 2080.

De forma predeterminada, WordPress usa MD5 para codificar las contraseñas de los usuarios almacenadas en la base de datos de WP. Entonces, de acuerdo con esta tabla, Terahash podría descifrar una contraseña de 8 caracteres ... casi instantáneamente. Eso no solo es súper impresionante, sino que también da mucho miedo.

Nota: Descubra cómo la autenticación de dos factores puede ayudarlo a proteger su inicio de sesión de WordPress de este tipo de ataque.

4. Demasiadas personas están reutilizando contraseñas comprometidas.

Otra cosa a tener en cuenta cuando se trata de la seguridad de las contraseñas es que necesita una contraseña segura diferente para cada una de sus cuentas en línea. Si usa la misma contraseña para cada sitio y uno de esos sitios está comprometido, ahora está usando una contraseña comprometida en cada sitio web. Los piratas informáticos pueden utilizar volcados de datos de contraseñas comprometidas junto con su dirección de correo electrónico o nombre de usuario para obtener acceso a sus cuentas. Es mejor ni siquiera correr el riesgo.

Aunque el 91% de las personas saben que reutilizar contraseñas es una mala práctica, el 59% de las personas todavía reutilizan sus contraseñas en todas partes. Muchas de estas personas todavía usan contraseñas que saben que han aparecido en un volcado de bases de datos.

Los piratas informáticos utilizan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método para irrumpir en un sitio web de WordPress con contraseñas de uso común que han aparecido en volcados de bases de datos. La filtración de datos de la "Colección # 1" alojada en MEGA incluyó 1,160,253,228 combinaciones únicas de direcciones de correo electrónico y contraseñas. Eso es mil millones con una b. Ese tipo de puntuación realmente ayudará a un ataque de diccionario a reducir las contraseñas de WordPress más utilizadas.

Como puede ver, tener una política de contraseñas es una parte esencial de nuestra estrategia de seguridad de WordPress. Por muy buena que sea su política de contraseñas, no vale nada si su administrador y sus editores no siguen las pautas.

¿Cuáles son los requisitos de contraseña en iThemes Security Pro?

La función de requisito de contraseña en iThemes Security Pro no es solo su política de contraseñas, sino que también es su herramienta de aplicación. Puede obligar a los miembros de un grupo de usuarios a usar una contraseña segura , elegir una hora de caducidad de la contraseña , rechazar las contraseñas comprometidas y forzar un cambio de contraseñas en todo el sitio para que todos cumplan con su nueva política de contraseñas seguras.

  • Forzar contraseñas seguras: obliga a un conjunto de usuarios a utilizar una contraseña segura.
  • Caducidad de la contraseña : establezca el número máximo de días que se puede utilizar una contraseña antes de que caduque.
  • Rechazar contraseñas comprometidas : obligue a los usuarios a utilizar contraseñas que no hayan aparecido en ninguna infracción de contraseña rastreada por Have I Been Pwned.

Según el Informe de Investigaciones de Violación de Datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo. Pero la estadística más importante del informe es que el 81% de las infracciones relacionadas con la piratería aprovecharon contraseñas robadas o débiles. Los requisitos de contraseña de iThemes Security Pro ayudarán a proteger su inicio de sesión de WordPress contra todos los errores de contraseña mencionados en esta publicación.

Además, obtiene la ventaja adicional de hacer cumplir su política de contraseñas con solo hacer clic en un botón. Como seres humanos, estamos programados para tomar el camino de menor resistencia. Al eliminar la opción de usar contraseñas débiles o comprometidas, está ayudando a todos a proteger sus cuentas.

Cómo usar los requisitos de contraseñas en iThemes Security Pro

Para comenzar con su nueva política de contraseñas, navegue hasta la configuración del Grupo de usuarios y marque la casilla Seleccionar varios grupos de usuarios para editar juntos .

Ahora seleccione los Grupos de usuarios para los que desea aplicar una política de contraseña, marque todas las casillas en la sección Requisitos de contraseña y luego haga clic en el botón Guardar.

Una nota rápida sobre la caducidad de la contraseña, hay algunas personas en la comunidad de seguridad que piensan que deberíamos abandonar la política de caducidad de contraseñas. Dicen que si está utilizando una contraseña única y segura, esa cantidad de tiempo no debilitará su contraseña.

Recomendaría habilitar esto para todos los usuarios de su sitio web. Es completamente comprensible y se recomienda hacer que la creación de una nueva cuenta de cliente sea lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que está utilizando se ha encontrado en un volcado de datos. Le estaría haciendo un gran servicio a su cliente al alertarlo del hecho de que la contraseña que está usando se ha visto comprometida. Si usan esa contraseña en todas partes, podría salvarlos de algunos dolores de cabeza importantes en el futuro.

Y finalmente, navegue hasta el panel de seguridad y haga clic en el botón Forzar cambio de contraseña en la tarjeta Perfiles de seguridad del usuario. Ahora, todos sus usuarios se verán obligados a crear una nueva contraseña la próxima vez que inicien sesión que cumpla con su nueva política de contraseñas.

Terminando

Su inicio de sesión de WordPress es la parte más atacada de su sitio web, y una contraseña segura es su primera línea de defensa. La función de requisitos de contraseña en iThemes Security Pro le facilita la creación y el cumplimiento de una política de contraseña para asegurar y proteger su inicio de sesión de WordPress.

Característica destacada