Обзор функций iThemes Security Pro - Требования к паролю

Опубликовано: 2021-06-23

В сообщениях Feature Spotlight мы собираемся выделить функцию в iThemes Security Pro и немного рассказать о том, почему мы разработали эту функцию, для кого эта функция предназначена и как ее использовать.

Сегодня мы рассмотрим функцию требований к паролю в iThemes Security Pro, которая является отличным инструментом для защиты вашего входа в WordPress.

Почему мы разработали требования к паролю

Мы знаем, как сложно заставить людей следовать лучшим методам обеспечения безопасности. Надежный пароль - важная часть безопасности вашего входа в WordPress. Давайте поговорим о некоторых из распространенных ошибок, связанных с паролями, которые могут поставить под угрозу ваш сайт.

1. Слабые пароли по-прежнему слишком распространены.

В списке, составленном Splash Data, наиболее распространенным паролем, включенным во все дампы данных, был 123456. Дамп данных - это взломанная база данных, заполненная паролями пользователей, сброшенными где-то в Интернете. Можете ли вы представить, сколько людей на вашем сайте используют ненадежный пароль, если 123456 - самый распространенный пароль в свалках данных?

2. Логин WordPress - это наиболее атакуемая часть вашего сайта.

Вход в систему WordPress является наиболее атакуемой частью веб-сайта WordPress, и использование слабого пароля похоже на попытку заблокировать входную дверь куском ленты. По умолчанию URL-адрес входа в WordPress одинаков для всех сайтов WordPress и не требует каких-либо специальных разрешений для доступа. Вот почему страница входа в WordPress является наиболее атакуемой и потенциально уязвимой частью любого сайта WordPress.

3. 8-значный пароль можно взломать МГНОВЕННО.

Хакеру никогда не требовалось много времени, чтобы взломать слабый пароль на веб-сайте. Теперь, когда хакеры используют в своих атаках компьютерные видеокарты, время, необходимое для взлома пароля, никогда не было меньше.

Например, давайте взглянем на диаграмму, созданную Terahash, высокопроизводительной компанией по взлому паролей. Их диаграмма показывает время, необходимое для взлома пароля с использованием кластера хэш-стека 448x RTX 2080.

По умолчанию WordPress использует MD5 для хеширования паролей пользователей, хранящихся в базе данных WP. Итак, согласно этой таблице, Terahash может взломать пароль из 8 символов… почти мгновенно. Это не только супер впечатляет, но и очень страшно.

Примечание: узнайте, как двухфакторная аутентификация может помочь защитить ваш логин WordPress от атак этого типа.

4. Слишком много людей повторно используют взломанные пароли.

Еще одна вещь, о которой следует помнить, когда речь идет о безопасности паролей, - это то, что вам нужен другой надежный пароль для каждой из ваших учетных записей в Интернете. Если вы используете один и тот же пароль для всех сайтов и один из этих сайтов взломан, вы теперь используете скомпрометированный пароль на всех сайтах. Хакеры могут использовать дампы данных скомпрометированных паролей в сочетании с вашим адресом электронной почты или именем пользователя, чтобы получить доступ к вашим учетным записям. Лучше даже не рисковать.

Несмотря на то, что 91% людей знают, что повторное использование паролей - плохая практика, 59% людей по-прежнему повторно используют свои пароли повсюду! Многие из этих людей все еще используют пароли, которые, как им известно, появились в дампе базы данных.

Хакеры используют форму атаки методом грубой силы, называемую атакой по словарю. Атака по словарю - это метод взлома веб-сайта WordPress с часто используемыми паролями, которые появляются в дампах базы данных. «Сборник №1» утечки данных, который был размещен на хостинге MEGA, включал 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. То есть миллиард с буквой b. Такой результат действительно поможет словарной атаке сузить наиболее часто используемые пароли WordPress.

Как видите, наличие политики паролей является важной частью нашей стратегии безопасности WordPress. Как бы хороша ни была ваша политика паролей, она ничего не стоит, если ваш администратор и редакторы не следуют рекомендациям.

Каковы требования к паролю в iThemes Security Pro?

Функция требования к паролю в iThemes Security Pro - это не только ваша политика паролей, но и инструмент обеспечения ее соблюдения. Вы можете заставить членов группы использовать надежный пароль , выбрать время истечения срока действия пароля , отказаться от взломанных паролей и принудительно изменить пароли для всего сайта, чтобы все соблюдали вашу новую политику надежных паролей.

  • Принудительно использовать надежные пароли - заставить группу пользователей использовать надежные пароли.
  • Срок действия пароля - установите максимальное количество дней, в течение которых пароль может использоваться до истечения срока его действия.
  • Отказаться от взломанных паролей - заставьте пользователей использовать пароли, которые не появлялись ни при каких нарушениях пароля, отслеживаемых Have I Been Pwned.

Согласно отчету Verizon Data Breach Investigations Report, более 70% сотрудников повторно используют пароли на работе. Но наиболее важным показателем из отчета является то, что в 81% взломов использовались украденные или ненадежные пароли. Требования к паролю iThemes Security Pro помогут защитить ваш вход в WordPress от всех ошибок паролей, упомянутых в этом посте.

Кроме того, вы получаете дополнительный бонус в виде принудительного применения политики паролей одним нажатием кнопки. Как люди, мы запрограммированы на то, чтобы идти по пути наименьшего сопротивления. Убирая возможность использовать слабые или взломанные пароли, вы помогаете всем защитить свои учетные записи.

Как использовать требования к паролям в iThemes Security Pro

Чтобы начать работу с новой политикой паролей, перейдите к настройкам группы пользователей и установите флажок Выбрать несколько групп пользователей для совместного редактирования .

Теперь выберите группы пользователей, для которых вы хотите применить политику паролей, установите все флажки в разделе « Требования к паролю » и нажмите кнопку «Сохранить».

Одно небольшое замечание об истечении срока действия пароля: есть некоторые люди в сообществе безопасности, которые думают, что мы должны отказаться от политики истечения срока действия пароля. Они говорят, что если вы используете уникальный и надежный пароль, это никакое количество времени не сделает ваш пароль слабее.

Я бы рекомендовал включить это для всех пользователей вашего сайта. Это совершенно понятно и рекомендуется максимально упростить создание новой учетной записи. Однако ваш клиент может не знать, что используемый им пароль был найден в дампе данных. Вы окажете своим клиентам отличную услугу, предупредив их о том, что пароль, который они используют, был скомпрометирован. Если они используют этот пароль повсюду, вы можете избавить их от серьезных головных болей в будущем.

И, наконец, перейдите на панель управления безопасностью и нажмите кнопку « Принудительно изменить пароль» на карточке «Профили безопасности пользователей». Теперь все ваши пользователи будут вынуждены создать новый пароль при следующем входе в систему, который соответствует вашей новой политике паролей.

Заключение

Ваш логин WordPress - это наиболее атакуемая часть вашего веб-сайта, а надежный пароль - ваша первая линия защиты. Функция требований к паролю в iThemes Security Pro позволяет легко создавать и применять политику паролей для защиты и защиты вашего входа в WordPress.

Особенности