Защита паролем WordPress — полное руководство

Защита паролем WordPress - полное руководство

Это исчерпывающее руководство по парольной защите WordPress для администраторов и владельцев бизнес-сайтов. Оно написано для тех, кто управляет веб-сайтами WordPress или является их администратором. Роли в стороне, следующим по уязвимости и легкости усиления защиты сайта WordPress является использование паролей, по мнению производителей WordPress и программного обеспечения безопасности. Вооружившись учетными данными для входа, кто-то потенциально может получить доступ к вашему сайту и всем конфигурациям и данным, доступным с приборной панели WordPress. Вошедший в систему пользователь может выдать себя за вас, добавить, изменить или удалить элементы, испортить ваш сайт и разрушить ваш бизнес. В этой статье блога приводится ряд рекомендаций по лучшей практике, которые помогут вам установить надежную парольную защиту WordPress в вашей организации и обучить пользователей ее использованию.

Оглавление статьи:

Установите надежную политику безопасности паролей

Будучи администратором сайта WordPress, вы имеете возможность и несете ответственность за внедрение политики надежных паролей для своих пользователей. Тем самым вы защитите свою организацию, ее веб-сайты, данные, персонал и других пользователей от различных атак.

 

Вашу рекламу скликивают конкуренты?

Подключите защиту по ссылке и экономьте ваш рекламный бюджет!

  • В случае компании и ее внутренних сотрудников, сотрудникам отдела маркетинга потребуется доступ к сайту WordPress для создания и редактирования страниц сайта и записей в блоге, в то время как другим потребуется доступ только для модерирования и ответа на комментарии. С другой стороны, сотрудникам по управлению клиентскими счетами или по обслуживанию клиентов потребуются различные уровни доступа к учетным записям клиентов для ответа на заявки в службу поддержки. В этом случае большинству внутренних пользователей не понадобится доступ к учетным записям клиентов, хотя некоторым он все же понадобится. Тем, кто работает в ИТ-поддержке, может понадобиться доступ к некоторым аспектам учетных записей клиентов, но не ко всем.
  • Давайте подумаем о другой точке зрения — о внешних пользователях сайта электронной коммерции WordPress. Им может понадобиться войти в систему, чтобы управлять своим счетом, совершить покупку, отследить статус доставки или возврата товара или связаться со службой поддержки. Этим же пользователям не следует предоставлять доступ, например, к созданию или удалению веб-страниц или к просмотру счетов и финансовых данных других клиентов. В некоторых случаях сайты электронной коммерции вообще не требуют от пользователей, являющихся клиентами, создавать учетную запись и входить в систему, поскольку иногда это может стать препятствием для совершения продажи.

Зачем вам нужны надежные политики паролей WordPress?

Почему необходимо все это рассматривать? Разве пользователи уже не знают, как создавать и использовать надежные пароли? Среднестатистический пользователь компьютера не очень хорошо осведомлен о защите паролем WordPress или о безопасности паролей WordPress в целом. Скорее всего, они небрежно относятся к своим собственным данным в Интернете и считают управление учетными данными для входа в систему стрессовым (все это мы обсудим позже), и они записывают их на липких записках и приклеивают к своим мониторам! Кроме того:

  • Боты для угадывания паролей становятся все более изощренными
  • Вредоносные хакеры по-прежнему используют атаки методом перебора и по словарю

Злонамеренным хакерам становится намного проще вести свою деятельность, если они уже располагают личной информацией, например, настоящими именами и фамилиями, которые могут стать частью слабого пароля.

Как выглядит надежный пароль?

  • Длинные пароли — Как правило, чем короче пароль, тем больше он подвержен атаке перебором или по словарю. Лучшая рекомендация на сегодняшний день — установить минимальную длину пароля в 16 символов и допускать пробелы. Некоторые генераторы паролей позволяют пользователям настраивать длину безопасного случайного пароля, который они создают.
  • Смешанные пароли — используйте случайную комбинацию символов (как верхнего, так и нижнего регистра), цифр и специальных знаков. Это защитит ваш пароль от атак по словарю. Избегайте словарных слов и шаблонов из букв и цифр, заменяя буквы цифрами (‘@’ вместо ‘a’, ‘0’ вместо ‘O’, включая клавиатурные последовательности (qwerty).
  • Случайные пароли — храните пароли, не связанные с вами. Не используйте часть своего имени или имени домашнего животного, ребенка или другого родственника. Не используйте дату рождения, почтовый адрес или любую другую публичную информацию, которую злоумышленник-хакер может легко связать с вами. Также не используйте информацию, которую может угадать коллега или знакомый, например, прозвища.
  • Смена паролей — регулярно (рекомендуется раз в три месяца) сбрасывайте пароли. Это позволяет перезапустить время при любых попытках перебора и опередить развитие неэтичных технологий взлома.
  • Разные пароли — Для каждого сайта свой пароль. Таким образом, если один из них будет взломан, остальные останутся в безопасности. Ежедневно используйте менеджер паролей для их хранения, обновления и использования.
  • Сохраненные пароли — Не используйте конфигурацию браузера, ноутбуки или общие папки для сохранения паролей на случай, если ваш компьютер взломают или украдут. Для этого нужен менеджер паролей!

Роли пользователей WordPress и их последствия для безопасности

Настройка ролей имеет огромное значение для безопасности сайта WordPress. Как правило, безопасность WordPress должна повышаться прямо пропорционально уровню конфиденциальной информации, которая содержится или обменивается на сайте. Сначала давайте рассмотрим роли администратора:

  • Супер администраторы — присваивается владельцам многосайтовых сетей, использующих WordPress Multisite Network, и дает вам точно такие же полномочия, как и роль администратора
  • Администратор — автоматически назначается владельцу/создателю сайта при установке, дает вам полный контроль над сайтом, включая удаление; они могут: устанавливать, редактировать и удалять темы и плагины; запускать обновления и апдейты; создавать, редактировать и удалять страницы и сообщения в блоге; добавлять, редактировать и удалять пользователей, включая других администраторов; добавлять, редактировать и удалять медиа.

Все остальные роли пользователей, перечисленные в порядке уменьшения диапазона полномочий, являются:

  • Редактор — может добавлять, редактировать и удалять новые страницы, сообщения блога и медиа; создавать категории и теги; публиковать контент, написанный им самим и другими, а также модерировать комментарии
  • Автор — может добавлять, редактировать и публиковать только свой собственный контент; загружать мультимедиа; присваивать существующие категории и теги постам блога
  • Соавтор — может добавлять и редактировать только свой собственный контент и присваивать существующие категории и теги своим собственным записям в блоге
  • Подписчик — может обновлять только свой профиль пользователя, читать чужие материалы и добавлять комментарии.

Используйте принцип наименьших привилегий

Следуя принципу наименьших привилегий, когда вы устанавливаете роли для делегирования задач в WordPress, избегайте предоставления кому-либо доступа (Супер) администратора, если ему не нужен такой уровень контроля над сайтом, его функциями и пользователями. Поскольку читатели могут видеть «posted by» (имя пользователя) на всем вашем сайте, администраторы — в качестве дополнительного уровня предосторожности — должны установить для себя дополнительного пользователя Editor и входить в систему под учетной записью (Super) Administrator только тогда, когда им необходимо выполнять эти задачи более высокого уровня. Это означает, что у злонамеренных хакеров будет еще меньше информации, на которую они смогут опираться при проведении атаки методом перебора.

Установите правильные инструменты и плагины для защиты паролей WordPress

Один из способов, с помощью которого вы можете обеспечить надежные пароли WordPress для своих пользователей, — это использование плагина WPassword:

  • Обеспечьте надежные пароли на своих сайтах WordPress за считанные секунды
  • Дать советы, которые помогут пользователям придумывать надежные пароли (а не угадывать их)
  • Настройка политик паролей для жизненно важных аспектов защиты паролей, таких как сложность, история и возраст пароля
  • Настройте политики паролей на основе роли пользователя, чтобы учесть индивидуальные, специализированные роли или исключить определенных пользователей из определенных политик.
  • Немедленно сбросьте все пароли при обнаружении атаки
  • Внедрение политики неактивных пользователей для устранения угрозы, исходящей от неактивных учетных записей пользователей, которые были созданы до введения политики в действие

Подайте хороший пример защиты паролем WordPress

Мы рекомендуем вам использовать безопасные учетные данные, а также помогать в этом своим пользователям.

  • Сочетайте надежный пароль (см. раздел «Как выглядит надежный пароль?») с надежным именем пользователя.
  • Как администратор, избегайте очевидных и слабых имен пользователей по умолчанию, таких как admin, default, password или guest.
  • Не упрощайте задачу злоумышленникам настолько, чтобы у них оставался только один мандат для обнаружения.

Помните, что если вы полагаетесь на меры безопасности паролей WordPress, вы также должны внедрить надежные пароли с помощью плагина. WordPress не имеет встроенных или стандартных средств защиты паролей.

Используйте менеджер паролей

Менеджер паролей — это онлайн-сервис или программный клиент, который надежно хранит и управляет учетными данными пользователя на нескольких веб-сайтах и сервисах. Доступ к этой информации осуществляется с помощью единого главного пароля и опций многофакторной аутентификации. Популярные примеры — 1Password и KeePass. Но, несмотря на то, что существует множество онлайн менеджеров паролей, это не заменит надежного резервного копирования и надежности.

Преимущества использования менеджера паролей

  • Им не придется запоминать пароли для каждого сайта. Одновременно, одна из самых больших болевых точек на рабочем месте «решается» ленивой и безумной практикой использования одних и тех же учетных данных во многих онлайн-сервисах.
  • У них не будет соблазна хранить учетные данные в письменном виде, что нарушает правила защиты данных, или в онлайн-файлах, которые могут быть скомпрометированы.
  • Это позволит пользователям использовать сложные и разнообразные пароли. Многие менеджеры паролей имеют встроенный генератор паролей с удобным и быстрым всплывающим предложением в браузере, который также мгновенно записывает новую запись.
  • Они не оставят свой аккаунт или сайт открытым для злоумышленников и автоматизированных ботов.
  • Менеджеры паролей часто отслеживают адреса электронной почты и предупреждают пользователей об их появлении в темной паутине. Они также могут рекомендовать изменить повторно используемые или другие слабые пароли.

Включить двухфакторную или многофакторную аутентификацию

Двухфакторная или многофакторная аутентификация — это дополнительный уровень учетных данных, которые необходимо ввести, прежде чем пользователь получит доступ к веб-сайту или приложению, в дополнение к традиционной комбинации имени пользователя и пароля. Она применяется, когда человек уже использует надежные пароли, поскольку многофакторный подход лучше всего подходит для безопасности WordPress. Сильные комбинации паролей и имен пользователей могут быть украдены. Приложение генерирует одноразовый код, который приходит по электронной почте или SMS, отправленному на персональное устройство пользователя, почтовый ящик или мобильный телефон, и злоумышленнику сложнее его обойти. Существует несколько альтернатив, претендующих на место лучших плагинов двухфакторной аутентификации для WordPress. Ознакомьтесь с ними. Но мы настоятельно рекомендуем наш собственный продукт — плагин WP 2FA. Он не только улучшит аутентификацию вашего сайта WordPress, но и разработан с учетом простоты использования и настройки. Он также позволяет сделать 2FA обязательным, с полностью настраиваемыми политиками 2FA для различных ролей пользователей. Сочетание плагинов WPassword и WP 2FA делает ваши сайты WordPress супер безопасными.

Обучите своих пользователей парольной защите WordPress

Пользователи вашего сайта уже смутно понимают необходимость надежной защиты паролей. Но они часто ничего не предпринимают для этого. Итак, о чем конкретно вам нужно их просветить?

Расскажите об известных случаях утечки данных

Слабые пароли — одна из самых больших угроз безопасности сайтов WordPress. Почему? Потому что слабые учетные данные — легко обходимые с помощью перебора или атаки по словарю — являются основной причиной утечек данных, о которых мы все читаем в новостях. Добавьте к этому потери данных, которым способствуют пароли по умолчанию или украденные пароли, или пароли, взятые с потерянных или украденных устройств, и проблема умножится. Что могут сделать злонамеренные хакеры и неавторизованные пользователи, получив доступ к вашему сайту?

  • На базовом уровне они могут изменять ваши конфигурации или вставлять вредоносные программы.
  • Они также могут перенаправить трафик с вашего сайта или использовать его для распространения пиратского программного обеспечения.
  • При наиболее серьезных атаках они могут похищать и неправомерно использовать конфиденциальные данные, создавать фиктивные банковские платежи или собирать финансовую и другую информацию для перепродажи в «темной паутине».
  • Помимо коммерческой деятельности, хактивисты могут политизировать или испортить ваш сайт

Осветить последствия утечки данных

Убедитесь, что ваши внутренние сотрудники-пользователи осведомлены о серьезных, общеорганизационных последствиях для внутренней информации компании и данных внешних клиентов, а также о штрафах или принудительном увольнении компании. Повторите те же самые сообщения клиентам вашего веб-сайта, чтобы убедиться, что они уделяют первостепенное внимание безопасности своих личных, финансовых, медицинских и других конфиденциальных данных. Негативные последствия, которые такие утечки данных могут иметь для вашей организации и вашего сайта, огромны:

  • Потеря репутации и доверия к вашей организации и веб-сайту
  • Существенные штрафы от регулирующих органов, а также другие штрафные санкции или отказ от партнеров и клиентов

Обеспечьте соблюдение политики надежных паролей

  1. Во-первых, ознакомьте своих пользователей со всеми элементами статей «Как выглядит надежный пароль?» и «Преимущества использования менеджера паролей». Например, убедитесь, что они знают о постоянных и крайне ненадежных формулировках паролей, таких как thisismypassword, 123456789, [mykidsname] или [mypetsname]. Вместо этого поощряйте использование надежных формулировок паролей (например, vqO&V13@H%fF или @iGOuqk%W0xY). Не распространяйте и не используйте эти конкретные примеры для своих служб или пользователей. Это просто примеры.
  2. Регулярно напоминайте внутренним сотрудникам о политике занятости и/или защиты данных, которую они подписали, и о личной юридической ответственности, которую они несут перед своим работодателем.
  3. Регулярно напоминайте внутреннему персоналу, что политика защиты данных и заявления, сделанные компанией для клиентов и заказчиков, зависят от соблюдения ими политики компании и что они имеют потенциально серьезные и постоянные юридические, финансовые, трудовые и правоохранительные последствия.
  4. Поощряйте пользователей к созданию собственных надежных паролей, используя менеджеры паролей с инструментами генератора паролей. Большинство менеджеров паролей также имеют свои собственные, что полезно при создании новых учетных записей для онлайн и других сервисов.

Действия администратора для обеспечения безопасности паролей WordPress

  1. Проверьте надежность паролей пользователей WordPress с помощью сканера, например, WPScan.
  2. Используйте инструменты, с помощью которых злоумышленники пытаются «угадать» пароли ваших пользователей. Планируйте атаки перебором и по словарю самостоятельно!
  3. Блокировка пользователей, имеющих слабые пароли, и отправка запроса на их сброс.
  4. Проводить семинары по использованию выбранного менеджера паролей.

Подчеркните преимущества использования менеджера паролей для снятия стресса и экономии времени

Многие из ваших пользователей могут видеть необходимость в надежных паролях, но не хотят их использовать из-за незнания. Они также могут воспринимать трудности или затраты на практике. Именно в этом случае вы можете подчеркнуть простоту и преимущества использования менеджера паролей, а также низкую стоимость, надежность и простоту хранения резервных копий учетных данных. Это огромное преимущество — помнить только один пароль, а не несколько. С точки зрения пользователя, основными моментами являются:

  • Они должны помнить только один пароль — блаженство!
  • Менеджер паролей будет действовать как генератор новых паролей и инструмент управления паролями. Он также предложит им ввести безопасные учетные данные на месте.

Подчеркните целесообразность инвестиций в надежную защиту паролей WordPress

Мы должны признать факты. Принуждение пользователей к использованию надежных паролей и их частой смене может оттолкнуть их. Эти процедуры требуют немного времени и усилий. Некоторые посчитают это хлопотами, которые им не нужны, а другие будут жаловаться, что это портит их впечатления от вашего сайта. Установление и обеспечение соблюдения строгой политики безопасности паролей WordPress, возможно, с использованием плагина, который дифференцирует политику паролей и уровни безопасности в зависимости от роли пользователя, сведет беспокойство пользователей к минимуму.

Установить другие меры

Как владелец сайта или администратор WordPress, вот несколько заключительных предложений по более важным вопросам, которые необходимо учитывать для обеспечения безопасности паролей WordPress:

  • Ознакомьтесь с общим укреплением безопасности WordPress и протоколами защиты WordPress. Хакеры часто проникают на сайты WordPress через одни и те же несколько каналов. Для вас, как администратора или владельца, будет полезно знать, что это за каналы и как с ними бороться. Да, слабые пароли являются основной проблемой, как и отсутствие 2FA и журналов активности. Но знаете ли вы, что использование устаревшего ядра WordPress, плагинов и другого программного обеспечения также является серьезной проблемой?
  • Используйте плагин журнала активности WordPress, который позволит вам узнать, получили ли неавторизованные пользователи доступ к вашей учетной записи и, если да, то какой ущерб они нанесли. Наш WP Activity Log поможет вам выявить подозрительное поведение на самой ранней стадии и предотвратить любые злонамеренные хакерские атаки на ваш сайт.
  • Установите политику неактивных или неактивных пользователей для вашего сайта WordPress. Неактивные учетные записи пользователей — это легкая точка входа для злонамеренных хакеров.
  • Ваш сайт может быть взломан, даже если вы используете надежные пароли и применяете строгие правила паролей к своим пользователям. Полезно сразу же узнать, если ваш сайт был взломан. Предлагаем вам ознакомиться с бесплатной услугой уведомления о нарушении данных.

У вас есть вопросы по защите паролем WordPress или по любому из продуктов, которые мы упомянули в этой статье? Сообщите нам об этом ниже! И помните слова Криса Пирилло: «Пароли — это как нижнее белье: вы не позволяете людям видеть его, вы должны менять его очень часто, и вы не должны делиться им с незнакомцами».

Наш проект поддержало государство в виде гранта на развитие алгоритмов!
This is default text for notification bar

Конкуренты скликивают рекламу?

Подключите защиту бесплатно и проверьте, сколько ботов кликают на вашу контекстную рекламу Яндекс.Директ и оцените потери вашего бюджета. Никаких финансовых обязательств.