在WordPress中強制用戶更改密碼是一個簡單但有效的安全措施。這將讓駭客更難以持續攻擊您的網站。
何時以及為何強制WordPress用戶更改密碼?
80%的數據外洩事件涉及弱或被偷取的密碼。定期更換密碼可以中斷駭客的攻擊企圖。駭客會持續一段時間內反覆嘗試進入您的帳號,因此強制更改密碼可以有效防止暴力攻擊。許多新用戶習慣使用簡單或其他帳號相同的密碼,這使得駭客一旦入侵您的WordPress站點,便能危及所有用戶的安全性。
強制密碼更改的對象不應僅限於管理員用戶,會員用戶和回頭客也是如此。例如,當顧客在您的WooCommerce商店或會員網站上註冊時,他們會通過電郵收到密碼。因此,定期強制更換密碼可以有效減少透過電郵進行的網釣攻擊。此外,如果您運行的是多用戶WordPress站點,也應要求用戶在一段時間後更新密碼。
如果您近期發現站點有異常活動,應立即讓所有現有用戶密碼失效並要求他們更改其密碼。接下來,我們將演示如何在WordPress中設置密碼過期並強制用戶更改密碼。
在WordPress中強制用戶更改密碼
使用Password Policy Manager插件是強制用戶更改密碼的最佳方法。這個插件能夠輕鬆創建並執行強密碼政策。
首先,您需要安裝並啟動Password Policy Manager插件。更多詳情可以參考我們的教學:如何安裝WordPress插件。然後,前往 Password Policy Manager » Password Policy Manager 頁面。在Policy Settings » For All Users選項卡下,您會看到多種密碼政策設置。
請確保打開「啟用所有設置」的大開關按鈕。底下,您可以勾選所有新用戶創建新密碼時需要遵守的密碼政策規則:
- 必須包含大小寫字母
- 必須包含數字
- 必須包含特殊字符
- 密碼長度介於8到25之間
我們建議您保留這些設置勾選,因為這些都是強密碼的最佳實踐。您還可能會想閱讀我們的指南:如何在WordPress中添加簡易用戶密碼生成器。
接下來,勾選「首次登錄強制重置密碼」選項。這有助於防止新用戶使用與其他在線賬戶相同的密碼,確保用戶在一開始就設置一個強密碼。然後,開啟「啟用密碼過期」選項,設置具體的過期時間,強制所有站點用戶更改密碼。在旁邊設置您想要實施強制更換密碼的週數。
最後,按下「保存設置」按鈕。
保存設置後,您會看到一個一鍵重置密碼的選項。如果您或用戶許久未重置密碼,建議按下「重置密碼」按鈕。這將自動終止所有用戶的登錄會話,並強制他們重置密碼。
所有用戶將收到帶有重置密碼鏈接的電子郵件。點擊電子郵件中的鏈接,您將被引導至WordPress登入頁面,在那裡輸入當前和新密碼。我們建議使用安全密碼生成器,而不是試圖記住密碼。然後,可以使用像1Password或LastPass之類的密碼管理器來儲存它。點擊「更改密碼」。
這樣,您會被帶回WordPress登錄頁面,輸入新的憑證即可。您還可以前往 Password Policy Manager » Reports 頁面,這裡顯示所有用戶的登錄嘗試。定期查看是否有可疑的登錄嘗試,若有,可以輕鬆進行剛才提到的一鍵重置。
要查看報表數據,需要打開「啟用報表條目」選項卡。
這就是全部啦!您現在已成功設置您的WordPress站點,強制所有用戶在密碼過期後更改密碼。
故障排除提示
用戶沒有收到重置密碼的電子郵件怎麼辦?
如果您的用戶沒有收到重置密碼的通知郵件,可能有多種原因。請參考我們的指南:如何修復WordPress不發送電子郵件問題。
如果無法進入WordPress管理區域重置密碼怎麼辦?
如果您無法進入WordPress管理區域,請參考我們的指南:當您被鎖定在WordPress管理區域外時該怎麼辦。
希望這篇文章能幫助您了解如何在WordPress中強制用戶更改密碼。您還可以閱覽我們的終極WordPress安全指南以進一步改進網站的安全性,或查看我們整理的最常見的WordPress錯誤及其解決方法。
如果喜歡這篇文章,請訂閱我們的YouTube頻道以獲取WordPress視頻教學。您也可以在Twitter和Facebook上找到我們。
