אבטחה 7 במאי 2026

מדיניות סיסמאות ב-WordPress: למה מד החוזק לא מספיק

WordPress מציג מד חוזק אבל לא אוכף - משתמש יכול לסמן 'אישור סיסמה חלשה' ולהמשיך. מדריך לאכיפה אמיתית.

WordPress מציג מד חוזק סיסמה ירוק/אדום בעת יצירת חשבון או שינוי סיסמה - אבל לא אוכף אותו. משתמש יכול לסמן את התיבה 'Confirm use of weak password' ולהמשיך עם הסיסמה '123456'. בלי תוסף שאוכף, רק האדמין שטוף ההיגיון משתמש בסיסמה חזקה.

למה זה משנה

נקודת התורפה הקריטית היא שגם אם המנהל בחר סיסמה חזקה של 24 תווים, כל author/contributor/subscriber שנרשם הוא נקודת תורפה - אם המשתמש החלש נפרץ והרשאותיו עלו (בעקבות פגיעות בתוסף שמאפשר privilege escalation, או אפילו אם הוא רק משמש כ-pivot ל-XSS באתר שלך), כל האתר נופל. בנוסף, סטטיסטיקות פריצה: 81% מהפריצות לאפליקציות web בשנת 2023 כללו סיסמאות חלשות או דלוף. אכיפת מורכבות מינימלית עוצרת את רוב התקפות ה-credential stuffing וה-brute force לפני שהן מתחילות. ערך נוסף: סיסמאות חזקות מעודדות את המשתמשים להשתמש ב-password manager, ובכך מקטינות גם את הסיכון של reuse של אותה סיסמה במספר אתרים.

איך לזהות

הבדיקה סורקת את רשימת התוספים הפעילים ומחפשת חתימות של תוספי enforcement: 'Password Policy Manager', 'Force Strong Passwords', WPVivid Password Policy, Wordfence Login Security (חלק מההגנה כולל אכיפה). אם אף אחד לא מותקן - הבדיקה אדומה. ידנית: צור משתמש בדיקה עם סיסמה '123456'. אם WordPress מקבל את זה (גם אם דורש לסמן 'confirm weak') - אין אכיפה.

איך לתקן

  1. התקן Password Policy Manager או Force Strong Passwords (שניהם חינמיים).
  2. הגדר מינימום: 12 תווים, אותיות גדולות וקטנות, ספרה אחת, תו מיוחד אחד.
  3. אם משתמשים ב-Wordfence: גש ל-Wordfence > Login Security > Settings, והפעל 'Enforce strong passwords for'. בחר 'Administrators' לפחות, מומלץ גם editors ו-shop managers.
  4. הפעל בדיקה מול 'Have I Been Pwned': Wordfence Premium עושה זאת אוטומטית, חוסם סיסמאות שדלפו במאגרים ידועים. החלופה החינמית: 'WP Password Policy Manager' עם plugin משלים.
  5. הגדר תפוגת סיסמה: דרך התוסף, חייב משתמשי admin/editor להחליף סיסמה כל 90-180 יום. אזהרה: כפיית שינוי תכוף מדי גורמת לסיסמאות חלשות יותר - משתמשים מוסיפים '1', '2', '3' לסוף הסיסמה. NIST המליץ ב-2017 לבטל תפוגה תקופתית למעט במקרי חשד פריצה.
  6. סמן את כל המנהלים והעורכים כ-'Force password reset on next login' כדי לכפות מעבר לסיסמה חדשה שתעמוד במדיניות.
  7. הפעל 2FA לכל החשבונות עם הרשאות ניהול - זוהי ההגנה החזקה ביותר אם הסיסמה דלפה.
  8. תעד את המדיניות ב-mu-plugin או בעמוד פנימי, כדי שמפתחים שיגיעו אחר כך ידעו את הכללים.

טעויות נפוצות

אל תאכוף סיסמאות מורכבות מדי בלי password manager - משתמשים שלא משתמשים ב-password manager ירשמו את הסיסמה על דף liczba על המסך. עדיף לאכוף אורך מינימלי גבוה (16+) ולוותר על דרישת תווים מיוחדים. אל תפעיל תפוגת סיסמה כל 30 יום - זה מוביל ל-'Sisma1!' > 'Sisma2!' > 'Sisma3!'. אל תניח שמד החוזק של WordPress מספיק - הוא לא אוכף, רק מציג. אל תפעיל את האכיפה לפני שהודעת למשתמשים - אתה תתקבל מבול מיילים מתסכלים.

בדיקה לאחר תיקון

צור משתמש בדיקה עם סיסמה חלשה ('password123') - אמור להיכשל עם הודעה ברורה. נסה גם סיסמה שדלפה ידועה (מ-haveibeenpwned). הרץ שוב את האודיט. אחרי שבועיים, בדוק כמה משתמשים נדרשו לאפס סיסמה ועברו - אם הרוב לא, ייתכן שצריך להזכיר במייל.

טיפ: סיסמה ארוכה (16+ תווים) חזקה מסיסמה קצרה ומורכבת. עדיף לאכוף אורך מינימלי גבוה מאשר חוקי תווים מסובכים שדוחפים משתמשים לכתוב את הסיסמה על פתק. ב-NIST SP 800-63 ההמלצה היא 'passphrases' של 4-5 מילים אקראיות.
עוד בקטגוריה זו ← חזרה לכל המדריכים