我知道我经常谈论确保 WordPress 网站安全是您的责任。 （因为它是。）也就是说，在某些情况下，您几乎无法控制其他用户向该站点引入的漏洞。 具体来说，我指的是不遵守智能和安全密码做法的用户。

公平地说，想想有多少名字、数字、生日、地址、事实、工作流程等等，你必须每天跟踪。 然后想想你登录和退出了多少应用程序。 您或其他任何人最不想做的事情就是必须为每个人记住一个独特而复杂的密码。

但是密码的存在是有原因的。 您不能仅仅因为您不想生成比五年前为 Gmail 创建的密码更好的密码，而在保护网站（或者，如果您是用户，您的私人信息）安全上吝啬。 您的所有用户也是如此。

那么，让我们来谈谈 WordPress 密码，以及为什么它们在加强 WordPress 网站的安全性方面发挥如此重要的作用。

继续阅读，或使用以下链接跳转：

• 密码和 WordPress 的历史
• 在 WordPress 中使用密码的正确方法
  • 听WordPress
  • 走多远
  • 混合起来
  • 拒绝旧的
  • 需要经常更新
  • 添加两因素身份验证
  • 使用安全插件
  • 获取密码管理器

密码和 WordPress 的历史

WordPress 一直建议开发人员负责确保有权访问其网站的每个人都使用强密码。 您也可以随时查看 WordPress 的密码最佳实践文档。 此外，为了遵守 OWASP 10，WordPress 多年来制定了许多安全措施，以更好地保护用户免受错误密码做法的影响。

多年来，WordPress 采取了许多措施来推进其密码安全实践：

• 2013 年，它在帐户设置过程中添加了密码强度指示器。
• 2014 年，一旦有人退出其网站，它就开始破坏现有会话。
• 2015 年，它推出了一项帮助用户生成强密码的功能。

NordPass 最近的一份报告揭示了 200 个最常见的密码以及它们被猜到的速度有多快（在大多数情况下，不到一秒）。 弱密码会对网站造成大量安全威胁，这就是 WordPress 安全团队实施各种密码强化功能的原因。

目前，WordPress 已启用以下密码强化功能：

• WordPress 在服务器端管理所有用户登录信息和身份验证 cookie。
• 核心软件通过加盐和拉伸技术为密码提供额外的保护。
• 还有一个 WordPress 权限系统，它限制谁可以访问私人用户信息，包括留下评论的用户的电子邮件地址以及已发布但标记为“私人”的内容。

为什么 WordPress 甚至会为此烦恼？ 嗯，这是因为弱密码可以打开网站，带来很多风险。 WordPress 安全团队可能无法完全自动更新核心或要求每个人都使用安全和备份插件，但他们确信可以尽其所能在注册和登录期间做出更明智的决定。

话虽如此，用户在创建密码时仍应遵循安全准则。

在 WordPress 中使用密码的正确方法

当 Wordfence 在 2016 年对网站进行为期 16 小时的监控时，他们发现：

“在此期间，我们共看到针对 72,532 个网站的 6,611,909 次攻击。 在此期间，我们看到来自 8,941 个唯一 IP 地址的攻击，每个受害网站的平均攻击次数为 6.26 次。”

如果没有额外的安全措施，一个特别弱的用户密码就会屈服于这种类型的暴力攻击。 那你会去哪里？ 您的站点、您的用户以及任何到达您站点的访问者都可能受到此漏洞的影响。

所以，我们不要让这种情况发生。 您可以执行以下 8 件事来强制在您的 WordPress 网站上创建更强的密码：

1.听WordPress

2. 做多

WordPress 建议密码长度超过六个字符。 但是，如果您想确保密码尽可能不可破解，则需要更长的时间。 10 到 50 个字符应该可以。

3.混合起来

您可能认为一长串数字或冗长的短语就足够了。 没有。 最好要求混合使用大写字母、小写字母、数字、 和 为您的网站创建密码的符号。

4.拒绝旧的

虽然许多用户可能觉得从两次或三次重置前恢复到密码是可以的，但您需要通过防止使用任何以前的密码来关闭它。

5. 需要经常更新

如果您在网站的密码生成过程中使用了上述每条规则，那就太好了。 然而，允许密码——不管它有多强——在你的服务器上坐下来溃烂，就像让一个网站的设计停滞不前：只是一个坏消息。 这就是为什么您应该要求所有用户经常更新他们的密码（例如，每隔几个月）。

6.添加双重身份验证

即使有最强的密码和安全最佳实践让用户负责保护这些密码的安全，但这并不能使他们完全不受黑客攻击。

要针对这种情况提供额外保护，您应该使用双因素身份验证。 基本上，它要求用户激活第二个设备或应用程序（如 Google Authenticator），然后他们必须使用这些设备或应用程序来确认他们的身份，然后才能允许他们登录 WordPress。

想知道如何为您的网站添加双重身份验证？ Defender 安全插件包括此功能以及其他登录安全增强功能。

7.使用安全插件

许多 WordPress 安全插件不仅会监控您的网站并为检测到的漏洞提供补丁。 您可以使用这些插件来限制失败的登录尝试次数，作为暴力攻击的权宜之计（同样，Defender 插件将对此有所帮助）。

一些高级安全插件还可以让您一举审核用户的密码。 如果您直到现在还没有严格执行密码安全，那么这种能力肯定会派上用场。 如果您有兴趣，Wordfence 已为其插件配备了此功能。

8. 获取密码管理器

正如 WordPress 在其密码指南中所建议的那样，“创建强密码的最佳方法是使用密码管理器生成长而随机的字母、数字和符号选择。”

虽然 WordPress 在保护登录和鼓励密码生成最佳实践方面取得了长足进步，但这里没有自动保存或填充功能——这是我们讨论这个问题的部分原因。 并不是说 WordPress 用户不能自己想出又长又复杂的密码。 问题在于记忆（和方便）方面。

这就是像 LastPass 或 1Password 这样的第三方密码管理器会派上用场的地方。

这些工具具有多种功能：

1. 它们用作主用户名和密码存储，因此您只需在一个地方查找所有站点和应用程序的登录信息。
2. 他们还收集和保护您经常在线输入的其他敏感信息，例如信用卡信息。
3. 密码管理器也可以帮助用户生成全新且强大的密码。
4. 激活后，密码管理器将自动填充您已保存站点的登录详细信息。 如果您在同一站点上管理多个用户帐户，这将变得更加方便。

虽然您不能要求进入您网站的每个人都使用密码管理器，但您可以将其添加到您自己的工作流程中，并且您可以鼓励所有团队成员也这样做。

包起来

至少可以说，确保您的 WordPress 网站免受安全漏洞的影响是困难的。 黑客可以通过多种不同的方式闯入，这就是为什么允许像密码这样简单的事情未经检查是愚蠢的。

到目前为止，每个人都知道更强的密码会带来更安全的在线体验。 它并不总是首选，因为它通常会导致更大的不便，因为它必须生成一个复杂的密码并为每个访问的新站点记住一个唯一的密码。 通过为您的用户提供更好地保护您的密码所需的工具，您可以授权他们帮助您更轻松地保护 WordPress 登录。

编者注：这篇文章已经更新，以确保准确性和相关性。
[Originally Published: December 2017 / Revised: March 2022]

• 密码
• 安全
• WordPress