密码最佳实践

保护你的WordPress始于一个强大的密码。一个强大的密码是复杂而精密的。它不容易被猜到，因为它不包含可识别的单词、名字、日期或数字。你不应该选择少于20个字符的密码。然而，记住一串随机的字母、数字和特殊字符可能很困难。但一般来说，字符越多，复杂性越高，就越好。

以下是创建强大密码的一些建议准则

• 至少20个字符（最好更多）
• 使用小写字母和大写字母
• 包含数字
• 包含特殊字符，例如 `!"#$%&'()*+,-./:;<=>?@[]^_{}|~``

关于特殊字符的更多信息

• 不允许使用反斜杠 \
• 许多印刷字符，如优雅的引号、连字、带重音的字母和数学符号，在密码中是允许的（由WordPress），但不推荐。有些字符难以识别。许多字符在设备上输入起来更困难，有时甚至不可能。这些字符不能被更简单的版本替代，它必须是完全相同的字符。
• 允许有空格，但不建议作为密码的开头

示例

一个符合上述所有准则的良好密码可以是

As32!KoP43??@ZkI??L0d

你应该绝对避免的事情

容易与你关联的姓名或词语

• 你的伴侣或孩子的名字
• 你的宠物的名字
• 你的公司名称
• 你最喜欢的运动队或汽车品牌名称
• 你的出生年份
• 你的生日

所有这些信息都是个人信息（大多公开），因此是社会工程的潜在风险。所以务必避免使用这些信息！

示例

• 如果你的名字是John Rogers，出生于1976年，那么 JohnRogers1976 作为密码将是一个非常糟糕的主意。

通用密码元素

• 数字序列，如“123”或“54321”
• 使用通用词语，如“admin”、“administrator”、“pass”、“password”、“blue”、“house”……

这些元素通常是恶意人员或软件在尝试暴力破解你的密码时首先使用的术语，因此应该避免！

示例

显然，以下密码示例是糟糕的密码，并且不安全

• MattMullenweg2018
• admin123
• Password1!

你还应该避免在多个网站或账户上使用相同的密码。

WordPress中自动生成的密码

当你为你的网站创建新账户或重置密码时，系统会为你建议一个密码（或者你可以使用“生成密码”按钮）。这些强大密码包含24个字符、数字、字母、大写字母和特殊字符。

管理你的密码

鉴于复杂密码在当今的必要性，记住每一个密码可能是一个真正的负担。幸运的是，密码管理器可以帮助用户管理他们的不同密码，而无需在多个网站上使用相同的密码。密码管理器充当你的密码保险库，由一个（复杂）主密码保护。许多密码管理器还具有通过浏览器扩展或桌面应用程序自动（或根据你的命令）为你输入存储密码的功能。使用密码管理器意味着你只需记住你的一个主密码即可访问所有其他密码。

密码管理器及其功能的列表可在 https://en.wikipedia.org/wiki/List_of_password_managers 找到。大多数浏览器可以存储和同步你的账户和密码。

其他安全建议

双重认证

另一种提高WordPress访问安全性的好方法是设置双重认证（2FA）。目前，这需要安装第三方插件。要设置2FA，请在插件目录中查找带有“2FA”、“two factor authentication”或“two step”等标签的插件。

用户名

一种常见的暴力破解方法是使用常见用户名和密码组合的“字典”。因此，通常建议避免使用“admin”等常见用户名。