8 советов, как сделать надежный пароль в WordPress

Обсудить

Как сделать надежный пароль в WordPressВ 2016 году компания Wordfence за 16-часовый период зафиксировала 6 611 909 брутфорс атак, направленных на 72 532 сайта. Атаки шли с 8 941 уникального IP-адреса.

Брутфорс (brute force) – метод взлома путем полного перебора всех возможных комбинаций пароля (или пары логин-пароль). Сейчас этот способ взлома сайта не считается эффективным (из-за слишком большого количества возможных комбинаций), но зачастую взломщики уже не подбирают пароль «вслепую», а используют готовые списки пары логин-пароль и просто списки популярных паролей пользователей.

Поэтому брутфорс атаки до сих пор представляют опасность – особенно для тех пользователей, которые «да кому надо меня взламывать», «придумаю сложный пароль – забуду», «поставлю легкий пароль на первое время, потом поменяю» и других подобных.

Эта статья – для всех, кто не знает, какой пароль лучше выбрать для своего сайта на WordPress. Ниже я остановлюсь на всех основных моментах, касающихся пароля для WordPress.

1. Совет WordPress

Надежный пароль в WordPressТребования к паролю могут показаться непростыми, но все они обусловлены желанием разработчиков обезопасить вас от возможного взлома.

2. Длина пароля

Пароль должен быть длиннее 6 символов. Но для того, чтобы он был взломоустойчивый, лучше придумывать пароль длиной в 10-30 символов.

3. Микс из чисел и букв

Иногда пользователи думают, что цифровая последовательность или длинная фраза (которую легко запомнить) – это хороший вариант для пароля, но – нет. Лучший пароль – это смесь букв разного регистра, цифр и символов.

4. Возвращение к прежнему паролю

Многие пользователи думают, что при очередной регулярной смене своего пароля можно вернуться к паролю, который был до этого: скажем, вы придумали новый пароль, а потом, когда пришло время вновь менять пароль, решили вернуться к тому, что стоял у вас в позапрошлый раз. Так делать не следует – ни в коем случае не используйте прошлые пароли, всегда придумывайте новые!

5. Регулярное обновление паролей

Даже если вы придумали самый сложный в мире (как вам кажется) пароль, нельзя оставлять его на веки вечные. Окончательно обезопасить себя от взлома можно лишь регулярной сменой пароля. Это должно войти в правило и для вас, и для других пользователей (если вы являетесь администратором сайта, скажем). Менять пароль необходимо хоть бы раз в пару-тройку месяцев.

6. Двухфакторная аутентификация

Двухфакторная аутентификация – способ аутентификации пользователя при помощи двух различных средств. Простой пример: когда вам нужно войти в Вконтакте, вы сначала вводите адрес электронной почты/номер телефона и пароль, а затем код из SMS-сообщения, присланного на номер телефона. Таким образом, даже если взломщик получит данные для входа, второй этап подтверждения аутентификации он провалит.Двухфакторная аутентификация

Двухфакторная аутентификация – это хороший способ обезопасить себя и других пользователей от взлома. На своем сайте вы можете добавить двухфакторную аутентификацию, и пользователям перед авторизацией в WordPress нужно будет подтвердить свою личность (скажем, при помощи Google Authenticator).

Примеры плагинов для установки двухфакторной аутентификации:

7. Плагины безопасности

Плагины безопасности можно использовать не только для того, чтобы мониторить состояние сайта и ставить новые плагины, если обнаружены какие-то уязвимости. Их можно использовать и для того, чтобы устанавливать количество неудачных попыток входа, - и использовать это как защиту от брутфорс атак.

Также некоторые плагины предлагают провести аудит паролей пользователей на вашем сайте, что очень удобно, особенно если до этой статьи вы не задумывались о безопасности вашего сайта и ваших пользователей. Например, таким функционалом обладает плагин Wordfence.

8. Менеджер паролей

Выше мы уже обсудили, что для того, чтобы пароль выполнял свою функцию - то есть защищал аккаунт от несанкционированного доступа - это должна быть случайная последовательность, состоящая из цифр, букв верхнего и нижнего регистра, а также символов.

Придумать такой пароль - это только полдела. Проблема будет заключаться в запоминании и вводе пароля, состоящего из пары десятков хаотично расположенных символов.

И поэтому для удобства лучше использовать менеджер паролей. Например:

Это специальные сервисы для хранения пар логин-пароль от любых сайтов и приложений. Вся информация будет храниться в одном месте. Также сервисы собирают и обеспечивают безопасность других данных, которые вы регулярно вводите онлайн (вроде информации о кредитной карте и т.д.).

Конечно, такие сервисы и сами позволяют генерировать совершенно новые надежные пароли.

Заключение

Существует множество разных методов взлома, и наша задача - не облегчать взломщикам задачу, а максимально защитить сайт от всех возможных путей проникновения.

Большинство пользователей знает, что наиболее надежны длинные пароли в виде случайных цифро-буквенных последовательностей, но запоминать и вводить их неудобно, да и стоит ли… Советы в этой статье должны, во-первых, убедить вас и ваших пользователей в том, что надежный пароль обязателен; а во-вторых, в том, что его использование можно значительно облегчить при помощи сторонних сервисов.

Timeweb предлагает готовое решение - хостинг с бесплатной предустановленной CMS WordPress: https://timeweb.com/ru/services/hosting/

Комментарии

С помощью соцсетей
У меня нет аккаунта Зарегистрироваться
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
С помощью соцсетей
У меня уже есть аккаунт Войти
Нажимая кнопку «Зарегистрироваться», я даю согласие на обработку своих персональных данных, указанных в форме регистрации.
Инструкции по восстановлению пароля высланы на Ваш адрес электронной почты.
Пожалуйста, укажите email, который Вы использовали для входа на сайт.