Destaque do recurso do iThemes Security Pro - Requisitos de senha

Publicados: 2021-06-23

Nas postagens do Feature Spotlight, vamos destacar um recurso no iThemes Security Pro e compartilhar um pouco sobre por que desenvolvemos o recurso, para quem se destina e como usá-lo.

Hoje estamos destacando o recurso de Requisitos de Senha no iThemes Security Pro, que é uma ótima ferramenta para proteger seu login do WordPress.

Por que desenvolvemos requisitos de senha

Sabemos como pode ser difícil fazer com que as pessoas sigam as práticas recomendadas de segurança. Uma senha forte é uma parte essencial da segurança de login do WordPress. Vamos falar sobre algumas das armadilhas comuns de senha que podem colocar seu site em risco.

1. Senhas fracas ainda são muito comuns.

Em uma lista compilada pela Splash Data, a senha mais comum incluída em todos os despejos de dados era 123456. Um despejo de dados é um banco de dados invadido cheio de senhas de usuário despejadas em algum lugar da Internet. Você pode imaginar quantas pessoas em seu site estão usando uma senha fraca se 123456 for a senha mais comum em despejos de dados?

2. O login do WordPress é a parte mais atacada do seu site.

O login do WordPress é a parte mais atacada de um site WordPress, e usar uma senha fraca é como tentar trancar a porta da frente com um pedaço de fita adesiva. Por padrão, o URL de login do WordPress é o mesmo para todos os sites do WordPress e não requer nenhuma permissão especial de acesso. É por isso que a página de login do WordPress é a parte mais atacada - e potencialmente vulnerável - de qualquer site WordPress.

3. Uma senha de 8 caracteres pode ser quebrada INSTANTANEAMENTE.

Nunca demorou muito para um hacker abrir caminho à força através de uma senha fraca e entrar em um site. Agora que os hackers estão utilizando placas gráficas de computador em seus ataques, o tempo que leva para quebrar uma senha nunca foi menor.

Por exemplo, vamos dar uma olhada em um gráfico criado pela Terahash, uma empresa de quebra de senhas de alto desempenho. O gráfico mostra o tempo que leva para quebrar uma senha usando um cluster de hashstack de 448x RTX 2080s.

Por padrão, o WordPress usa MD5 para fazer o hash das senhas de usuário armazenadas no banco de dados WP. Portanto, de acordo com este gráfico, Terahash poderia quebrar uma senha de 8 caracteres ... quase que instantaneamente. Isso não é apenas superimpressionante, mas também assustador.

Nota: Aprenda como a autenticação de dois fatores pode ajudar a proteger seu login do WordPress contra esse tipo de ataque.

4. Muitas pessoas estão reutilizando senhas comprometidas.

Outra coisa a ter em mente quando se trata de segurança de senha é que você precisa de uma senha forte diferente para cada uma de suas contas online. Se você usar a mesma senha para todos os sites e um deles estiver comprometido, agora você está usando uma senha comprometida em todos os sites. Os hackers podem usar despejos de dados de senhas comprometidas emparelhadas com seu endereço de e-mail ou nome de usuário para obter acesso às suas contas. É melhor nem correr o risco.

Embora 91% das pessoas saibam que reutilizar senhas não é uma prática, 59% das pessoas ainda reutilizam suas senhas em todos os lugares! Muitas dessas pessoas ainda estão usando senhas que sabem que apareceram em um despejo de banco de dados.

Os hackers usam uma forma de ataque de força bruta chamada de ataque de dicionário. Um ataque de dicionário é um método de invadir um site WordPress com senhas comumente usadas que aparecem em despejos de banco de dados. A violação de dados “Collection # 1 ″ que foi hospedada em MEGA hospedada incluiu 1.160.253.228 combinações únicas de endereços de e-mail e senhas. Isso é bilhão com um b. Esse tipo de pontuação realmente ajudará um ataque de dicionário a restringir as senhas do WordPress mais comumente usadas.

Como você pode ver, ter uma política de senha é uma parte essencial de nossa estratégia de segurança do WordPress. Por melhor que seja sua política de senha, não vale a pena se o seu administrador e editores não estiverem seguindo as diretrizes.

Quais são os requisitos de senha no iThemes Security Pro?

O recurso de Requisito de Senha no iThemes Security Pro não é apenas sua política de senha, mas também sua ferramenta de aplicação. Você pode forçar os membros de um grupo de usuários a usar uma senha forte , escolher um tempo de expiração da senha , recusar senhas comprometidas e forçar uma mudança de senha em todo o site para que todos cumpram sua nova política de senha forte.

  • Forçar senhas fortes - Força um conjunto de usuários a usar uma senha forte.
  • Expiração da senha - Defina o número máximo de dias que uma senha pode ser usada antes de expirar.
  • Recusar senhas comprometidas - Força os usuários a usar senhas que não tenham aparecido em nenhuma violação de senha rastreada por Have I Been Pwned.

De acordo com o Relatório de investigações de violação de dados da Verizon, mais de 70% dos funcionários reutilizam senhas no trabalho. Mas a estatística mais importante do relatório é que 81% das violações relacionadas a hackers aproveitaram senhas roubadas ou fracas. Os requisitos de senha do iThemes Security Pro ajudarão a proteger seu login do WordPress contra todas as armadilhas de senha mencionadas neste post.

Além disso, você obtém o bônus adicional de aplicar sua política de senha com o clique de um botão. Como humanos, estamos programados para seguir o caminho de menor resistência. Ao remover a opção de usar senhas fracas ou comprometidas, você está ajudando todos a proteger suas contas.

Como usar os requisitos de senha no iThemes Security Pro

Para começar a usar sua nova política de senha, navegue até as configurações do Grupo de usuários e marque a caixa Selecionar vários grupos de usuários para editar juntos .

Agora selecione os grupos de usuários aos quais deseja aplicar uma política de senha, marque todas as caixas na seção Requisitos de senha e clique no botão Salvar.

Uma observação rápida sobre a expiração de senha: algumas pessoas na comunidade de segurança acham que devemos abandonar a política de expiração de senha. Eles dizem que, se você estiver usando uma senha única e forte, nenhum período de tempo tornará sua senha mais fraca.

Eu recomendaria habilitar isso para todos os usuários do seu site. É totalmente compreensível e encorajado a tornar a criação de uma nova conta de cliente o mais fácil possível. No entanto, seu cliente pode não saber que a senha que está usando foi encontrada em um despejo de dados. Você estaria prestando um grande serviço ao seu cliente, alertando-o sobre o fato de que a senha que ele está usando foi comprometida. Se eles estiverem usando essa senha em todos os lugares, você poderá evitá-los de grandes dores de cabeça no futuro.

E, finalmente, navegue até o painel de segurança e clique no botão Forçar alteração de senha no cartão Perfis de segurança do usuário. Agora, todos os seus usuários serão forçados a criar uma nova senha na próxima vez que fizerem login em conformidade com a sua nova política de senha.

Empacotando

Seu login do WordPress é a parte mais atacada do seu site, e uma senha forte é sua primeira linha de defesa. O recurso de Requisitos de Senha no iThemes Security Pro torna mais fácil para você criar e aplicar uma política de senha para proteger e proteger seu login do WordPress.

Destaque de recurso