今天，WordPress大約有四分之一的網(wǎng)絡(luò)。它是一個很容易影響未來互聯(lián)網(wǎng)發(fā)展的發(fā)電站。這就是為什么我很興奮地聽到一個從WordPress 4.3開始的計劃來改進(jìn)密碼。

如果你還沒有聽說過，最新版本的WordPress現(xiàn)在包括了一個改進(jìn)的用戶體驗設(shè)置和重置密碼。雖然這看起來像是一個更大的更新的一個小功能，但它是一個小而重要的一步，以消除WordPress的最常見的安全問題:人們在創(chuàng)建和記住密碼方面很糟糕。例如，閱讀WPEngine對1000萬個密碼的分析。

自動生成的密碼

為了解決這個問題，WordPress現(xiàn)在為管理員創(chuàng)建的用戶或自注冊的用戶設(shè)置了強(qiáng)大的密碼。這反映了開發(fā)人員和站點(diǎn)管理員在創(chuàng)建新帳戶時的最佳實(shí)踐，并在管理員創(chuàng)建新帳戶時采取了步驟。

注冊使用WordPress和新生成的密碼

密碼分析和反饋

此外，在WordPress 3.6中發(fā)布的密碼分析器將通知用戶他們所選擇的密碼的強(qiáng)度，給他們提示，讓他們的密碼更強(qiáng)。在創(chuàng)建密碼時，這并不是一個嚴(yán)格的規(guī)則(正如一些人建議的那樣)，但它的效果與我們的人性一樣。用戶現(xiàn)在必須跳過更多的障礙來創(chuàng)建一個弱密碼。讓公眾了解密碼的強(qiáng)大之處在于，提供直接的反饋，可以比強(qiáng)制嚴(yán)格的密碼規(guī)則走得更遠(yuǎn)。

越來越強(qiáng)的密碼創(chuàng)建的WordPress

沒有更多的密碼通過電子郵件發(fā)送

最后，WordPress刪除了可以通過電子郵件發(fā)送密碼的功能，而是通過電子郵件在24小時內(nèi)將密碼與臨時密鑰連接起來。這就消除了未經(jīng)授權(quán)的用戶可以訪問你的WordPress站點(diǎn)的另一個來源，特別是由于許多通過電子郵件發(fā)送的密碼從未改變。要求用戶通過密碼重置過程將迫使用戶設(shè)置自己的密碼，而不是使用自動生成的密碼。這鼓勵用戶創(chuàng)建他們自己的密碼，并減少需要以不安全的方式保存密碼，例如文本文檔或便利貼。此外，當(dāng)你的密碼被更改時，WordPress會發(fā)送一封電子郵件，以告知你的賬戶有欺詐性的變化。

結(jié)束

新的密碼功能主要集中在實(shí)施最佳實(shí)踐和教育公眾。這只是在WordPress中改進(jìn)密碼安全性和用戶體驗的第一步。當(dāng)然，也有很多唱反調(diào)的人;我最喜歡的一件事是，“在紙墻上加上一扇鋼門。”不要說“安全”，我會打噴嚏。“我承認(rèn)，像這樣的陳述是有道理的。從安全的角度來看，WordPress仍然有很多改進(jìn)的機(jī)會，當(dāng)一個項目對外界的貢獻(xiàn)開放時，特別是當(dāng)使用各種各樣的插件時，就會有漏洞。盡管有這些事實(shí)，為提高WordPress的安全性和在WordPress中創(chuàng)建和管理密碼的過程所做的努力使互聯(lián)網(wǎng)成為一個更加安全的地方。

繼續(xù)閱讀在WordPress核心博客上的強(qiáng)密碼特性。

密碼改進(jìn)的下一步WordPress致力于提高密碼創(chuàng)建和存儲的密碼體驗和安全性。許多投稿者提出了更多的意見，其中許多都有可取之處。

下一個主要功能是添加2因素身份驗證，它提供了兩種不同的數(shù)據(jù)源來識別身份驗證用戶。許多主要站點(diǎn)和服務(wù)已經(jīng)使用了這種方法，通常通過使用文本消息發(fā)送生成的密鑰。與Twitter或Github等服務(wù)不同，WordPress在世界各地都被廣泛使用，因此依賴單一服務(wù)進(jìn)行2因素身份驗證是一個問題。我們能做的最好的事情是依靠電子郵件提供第二個來源來驗證用戶。

雖然有各種各樣的插件提供2因素身份驗證，但它們都以不同的方式實(shí)現(xiàn)了目標(biāo)。WordPress核心功能將嘗試標(biāo)準(zhǔn)化用戶體驗，為開發(fā)人員提供用于創(chuàng)建新服務(wù)的方法。這正是George Stephanis和Derek Herman試圖通過Github上的雙因素功能來完成的。我鼓勵你們閱讀并做出貢獻(xiàn)，因為這將是WordPress安全的未來。

本文由重慶網(wǎng)站建設(shè)公司派臣科技收集于網(wǎng)絡(luò)并整理發(fā)布。