iThemes Security Pro 功能聚焦 – 密码要求

已发表: 2021-06-23

在 Feature Spotlight 帖子中,我们将重点介绍 iThemes Security Pro 中的一项功能,并分享一些有关我们开发该功能的原因、该功能适用​​于谁以及如何使用该功能的一些信息。

今天,我们将重点放在 iThemes Security Pro 中的密码要求功能上,这是一个保护 WordPress 登录安全的好工具。

为什么我们制定密码要求

我们知道让人们遵循安全最佳实践是多么困难。 强密码是 WordPress 登录安全的重要组成部分。 让我们谈谈一些可能使您的网站面临风险的常见密码陷阱。

1.弱密码仍然太普遍。

在 Splash Data 编制的列表中,所有数据转储中包含的最常见密码是 123456。数据转储是一个被黑的数据库,其中填充了在互联网上某处转储的用户密码。 如果 123456 是数据转储中最常见的密码,您能想象您网站上有多少人使用弱密码吗?

2. WordPress 登录是您网站中受攻击最多的部分。

WordPress 登录是 WordPress 网站中受攻击最多的部分,使用弱密码就像试图用胶带锁住前门。 默认情况下,每个 WordPress 站点的 WordPress 登录 URL 都是相同的,并且不需要任何特殊权限即可访问。 这就是为什么 WordPress 登录页面是任何 WordPress 站点中受攻击最多且可能易受攻击的部分。

3. 8位密码可即时破解。

黑客用蛮力通过弱密码进入网站从来没有花很长时间。 现在黑客在攻击中利用计算机显卡,破解密码所需的时间从未如此短。

例如,让我们看一下由高性能密码破解公司 Terahash 创建的图表。 他们的图表显示了使用 448x RTX 2080 的哈希堆栈集群破解密码所需的时间。

默认情况下,WordPress 使用 MD5 来散列存储在 WP 数据库中的用户密码。 因此,根据此图表,Terahash 几乎可以立即破解 8 个字符的密码。 这不仅令人印象深刻,而且非常可怕。

注意:了解双因素身份验证如何帮助保护您的 WordPress 登录免受此类攻击。

4. 太多人重复使用已泄露的密码。

在密码安全方面要记住的另一件事是,您的每个在线帐户都需要一个不同的强密码。 如果您对每个站点使用相同的密码,并且其中一个站点遭到破坏,那么您现在在每个网站上都使用了已泄露的密码。 黑客可以使用与您的电子邮件地址或用户名配对的已泄露密码的数据转储来访问您的帐户。 最好不要冒险。

尽管 91% 的人知道重复使用密码是不好的做法,但仍有 59% 的人在任何地方重复使用他们的密码! 这些人中的许多人仍在使用他们知道出现在数据库转储中的密码。

黑客使用一种称为字典攻击的蛮力攻击形式。 字典攻击是一种使用出现在数据库转储中的常用密码闯入 WordPress 网站的方法。 MEGA 托管的“Collection #1”数据泄露包括 1,160,253,228 个电子邮件地址和密码的独特组合。 那是一个 b 的十亿。 这种分数确实有助于字典攻击缩小最常用的 WordPress 密码的范围。

如您所见,拥有密码策略是我们 WordPress 安全策略的重要组成部分。 无论您的密码策略多么出色,如果您的管理员和编辑不遵循这些准则,它就毫无价值。

iThemes Security Pro 中的密码要求是什么?

iThemes Security Pro 中的密码要求功能不仅是您的密码策略,也是您的强制执行工具。 您可以强制用户组的成员使用强密码、选择密码过期时间、拒绝泄露密码以及强制更改整个站点的密码以使每个人都遵守您新的强密码策略。

  • 强制强密码– 强制一组用户使用强密码。
  • 密码过期– 设置密码过期前可以使用的最大天数。
  • 拒绝泄露的密码– 强制用户使用在 Have I Being Pwned 跟踪的任何密码泄露事件中未出现过的密码。

根据 Verizon 数据泄露调查报告,超过 70% 的员工在工作中重复使用密码。 但该报告中最重要的统计数据是,81% 的与黑客相关的违规行为利用了被盗密码或弱密码。 iThemes Security Pro 密码要求将有助于保护您的 WordPress 登录免受本文中提到的所有密码陷阱。

此外,您还可以通过单击按钮获得执行密码策略的额外好处。 作为人类,我们天生就走阻力最小的道路。 通过删除使用弱密码或泄露密码的选项,您可以帮助每个人保护他们的帐户。

如何在 iThemes Security Pro 中使用密码要求

要开始使用新密码策略,请导航到用户组设置选中选择多个用户组以一起编辑框。

现在选择要实施密码策略的用户组,选中密码要求部分中的所有框,然后单击保存按钮。

关于密码过期的快速说明,安全社区中有些人认为我们应该放弃密码过期策略。 他们说,如果您使用唯一且强大的密码,那么再多的时间也不会使您的密码变弱。

我建议为您网站上的所有用户启用此功能。 完全可以理解并鼓励尽可能轻松地创建新客户帐户。 但是,您的客户可能不知道他们使用的密码是在数据转储中找到的。 通过提醒客户他们使用的密码已被泄露这一事实,您将为您的客户提供出色的服务。 如果他们在任何地方都使用该密码,您就可以避免他们以后遇到一些重大的麻烦。

最后,导航到安全仪表板并单击用户安全配置文件卡上的强制更改密码按钮。 现在,您的所有用户在下次登录时都将被迫创建一个符合您的新密码策略的新密码。

包起来

您的 WordPress 登录名是您网站中受攻击最多的部分,而强密码是您的第一道防线。 iThemes Security Pro 中的密码要求功能使您可以轻松创建和实施密码策略来保护您的 WordPress 登录。

功能聚焦