iThemes Security Pro 功能聚焦 – 密碼要求

已發表: 2021-06-23

在 Feature Spotlight 帖子中,我們將重點介紹 iThemes Security Pro 中的一項功能,並分享一些有關我們開發該功能的原因、該功能適用於誰以及如何使用該功能的一些信息。

今天,我們將重點放在 iThemes Security Pro 中的密碼要求功能上,這是一個保護 WordPress 登錄安全的好工具。

為什麼我們制定密碼要求

我們知道讓人們遵循安全最佳實踐是多麼困難。 強密碼是 WordPress 登錄安全的重要組成部分。 讓我們談談一些可能使您的網站面臨風險的常見密碼陷阱。

1.弱密碼仍然太普遍。

在 Splash Data 編制的列表中,所有數據轉儲中包含的最常見密碼是 123456。數據轉儲是一個被黑的數據庫,其中填充了在互聯網上某處轉儲的用戶密碼。 如果 123456 是數據轉儲中最常見的密碼,您能想像您網站上有多少人使用弱密碼嗎?

2. WordPress 登錄是您網站中受攻擊最多的部分。

WordPress 登錄是 WordPress 網站中受攻擊最多的部分,使用弱密碼就像試圖用膠帶鎖住前門。 默認情況下,每個 WordPress 站點的 WordPress 登錄 URL 都是相同的,並且不需要任何特殊權限即可訪問。 這就是為什麼 WordPress 登錄頁面是任何 WordPress 站點中受攻擊最多且可能易受攻擊的部分。

3. 8位密碼可即時破解。

黑客用蠻力通過弱密碼進入網站從來沒有花很長時間。 現在黑客在攻擊中利用計算機顯卡,破解密碼所需的時間從未如此短。

例如,讓我們看一下由高性能密碼破解公司 Terahash 創建的圖表。 他們的圖表顯示了使用 448x RTX 2080 的哈希堆棧集群破解密碼所需的時間。

默認情況下,WordPress 使用 MD5 來散列存儲在 WP 數據庫中的用戶密碼。 因此,根據此圖表,Terahash 幾乎可以立即破解 8 個字符的密碼。 這不僅令人印象深刻,而且非常可怕。

注意:了解雙因素身份驗證如何幫助保護您的 WordPress 登錄免受此類攻擊。

4. 太多人重複使用已洩露的密碼。

在密碼安全方面要記住的另一件事是,您的每個在線帳戶都需要一個不同的強密碼。 如果您對每個站點使用相同的密碼,並且其中一個站點遭到破壞,那麼您現在在每個網站上都使用了已洩露的密碼。 黑客可以使用與您的電子郵件地址或用戶名配對的已洩露密碼的數據轉儲來訪問您的帳戶。 最好不要冒險。

儘管 91% 的人知道重複使用密碼是不好的做法,但仍有 59% 的人在任何地方重複使用他們的密碼! 這些人中的許多人仍在使用他們知道出現在數據庫轉儲中的密碼。

黑客使用一種稱為字典攻擊的蠻力攻擊形式。 字典攻擊是一種使用出現在數據庫轉儲中的常用密碼闖入 WordPress 網站的方法。 MEGA 託管的“Collection #1”數據洩露包括 1,160,253,228 個電子郵件地址和密碼的獨特組合。 那是一個 b 的十億。 這種分數確實有助於字典攻擊縮小最常用的 WordPress 密碼的範圍。

如您所見,擁有密碼策略是我們 WordPress 安全策略的重要組成部分。 無論您的密碼策略多麼出色,如果您的管理員和編輯不遵循這些準則,它就毫無價值。

iThemes Security Pro 中的密碼要求是什麼?

iThemes Security Pro 中的密碼要求功能不僅是您的密碼策略,也是您的強制執行工具。 您可以強制用戶組的成員使用強密碼、選擇密碼過期時間、拒絕洩露密碼以及強制更改整個站點的密碼以使每個人都遵守您新的強密碼策略。

  • 強制強密碼– 強制一組用戶使用強密碼。
  • 密碼過期– 設置密碼過期前可以使用的最大天數。
  • 拒絕洩露的密碼– 強制用戶使用在 Have I Being Pwned 跟踪的任何密碼洩露事件中未出現過的密碼。

根據 Verizon 數據洩露調查報告,超過 70% 的員工在工作中重複使用密碼。 但該報告中最重要的統計數據是,81% 的與黑客相關的違規行為利用了被盜密碼或弱密碼。 iThemes Security Pro 密碼要求將有助於保護您的 WordPress 登錄免受本文中提到的所有密碼陷阱。

此外,您還可以通過單擊按鈕獲得執行密碼策略的額外好處。 作為人類,我們天生就走阻力最小的道路。 通過刪除使用弱密碼或洩露密碼的選項,您可以幫助每個人保護他們的帳戶。

如何在 iThemes Security Pro 中使用密碼要求

要開始使用新密碼策略,請導航到用戶組設置選中選擇多個用戶組以一起編輯框。

現在選擇要實施密碼策略的用戶組,選中密碼要求部分中的所有框,然後單擊保存按鈕。

關於密碼過期的快速說明,安全社區中有些人認為我們應該放棄密碼過期策略。 他們說,如果您使用唯一且強大的密碼,那麼再多的時間也不會使您的密碼變弱。

我建議為您網站上的所有用戶啟用此功能。 完全可以理解並鼓勵盡可能輕鬆地創建新客戶帳戶。 但是,您的客戶可能不知道他們使用的密碼是在數據轉儲中找到的。 通過提醒客戶他們使用的密碼已被洩露這一事實,您將為您的客戶提供出色的服務。 如果他們在任何地方都使用該密碼,您就可以避免他們以後遇到一些重大的麻煩。

最後,導航到安全儀表板並單擊用戶安全配置文件卡上的強制更改密碼按鈕。 現在,您的所有用戶在下次登錄時都將被迫創建一個符合您的新密碼策略的新密碼。

包起來

您的 WordPress 登錄名是您網站中受攻擊最多的部分,而強密碼是您的第一道防線。 iThemes Security Pro 中的密碼要求功能使您可以輕鬆創建和實施密碼策略來保護您的 WordPress 登錄。

功能聚焦