9.5. ZABEZPIECZAMY – niezgadywalne hasła do stron i menadżery haseł

Stronę sobie robię – darmowy kurs WordPress 9.5. ZABEZPIECZAMY – niezgadywalne hasła do stron i menadżery haseł

wordpress bezpieczenstwo hasla menadzer hasel

To jeden z tych elementów, które warto od początku wdrażać dobrze, a nie biegać potem i zmieniać wszystkie po kolei (bo o którymś na pewno się zapomni).

Zwłaszcza, że niektórych elementów, które powinniśmy traktować jak hasła, nie będzie się dało zbyt łatwo zmienić 😊 (np. nazwy użytkownika czy prefiksu tabel bazy danych – to już wiadomo z poprzedniej lekcji)

Jeśli działacie z kursidłem od początku, lekcja po lekcji, i nie przewracaliście oczami gdy mówiłam, że hasła mają być przeciwatomowe 😃, no to w zasadzie macie wszystko OK i tę lekcję możecie sobie przeczytać czysto rekreacyjnie aż do momentu, gdy będę robić turbo marketing menadżerom haseł 😉

A jeśli w sprawach haseł są u Was jakieś zaniedbanka, to warto się za to zabrać, bo żadne zmyślne i zaawansowane zabezpieczenia nic nie dadzą, jeśli się okaże, że wasze hasła to admin, qwerty albo imięcórki123 😃

❓ To jakie powinno być hasło?

Generalnie zasada jest taka, że dobre (trudne) hasło powinno być:

❤️ długie – to znaczy przynajmniej kilkanaście znaków, a najlepiej ponad 20 albo i więcej; za znaki płacić nie każą, więc nie ma się co ograniczać 😉

❤️ bez słów – niesłownikowe, to znaczy hasło ma nie być żadnym istniejącym słowem – nawet wymyślonym imieniem chomika córki ani ksywką z podstawówki; kojarzycie te wszystkie zabawy fejsowe w stylu Podaj kolor pierwszej rzeczy, którą masz w lodówce i imię pierwszego zwierzaka i podaj, jaka ksywka Ci wyszła? Marchewkowy Pimpuś, ahaha, faktycznie zabawne… 😉

Jeśli myślicie, że te zabawy służą niewinnym śmieszkom tylko, a nie wyciąganiu danych, które trudno znaleźć w metryczkach, no to Was zaskoczę 🤓

Ludziom często się wydaje, że podają absurdalne słowa w hasłach, nikt takich słów nie zna, a potem w ferworze zabawy sami je wypisują publicznie 😊

Osobiście uważam, że w takich zabawach nie warto brać udziału, albo brać, ale zmyślać 😉

❤️ z zawartością dużych oraz małych literek, a nie tylko dużych albo tylko małych

❤️ z przypadkowymi liczbami – nie żadne daty urodzenia! 😃

❤️ z przypadkowymi znakami specjalnymi, czyli !@#$%^&*(), ale niekoniecznie tylko na końcu hasła – także w środku 😊

Dla mnie przykładem idealnego hasła jest pochodzące z generatora haseł (np. generatora od Eseta):

s^EAXCVdHh&.%bfQo2&m*6:hGl>AU%

albo:

&%–RZVn1^:m3vh*qLB0t$IHS#N%:zd

Ja takich właśnie używam 😊

I naprawdę – to są hasła, które trudno zgadnąć.

Pamiętajcie, że nie ma co szacować szans na zgadniecie Waszego hasła na zasadzie, że nikomu by się nie chciało tyle strzelać.

Bardzo rzadko włam wygląda tak, że siedzi jakiś Stefek i wpisuje hasła, które mu przyjdą do głowy. Tak to się do Was będą włamywać tylko porzuceni chłopcy oraz zdradzone kochanki 😉

Hakerzy korzystają najczęściej z botów, które próbują po prostu kolejnych słów, potem kombinacji słów i tak dalej, po kolei, aż w końcu kombinują z pojedynczymi znakami składanymi w losowe ciągi. W godzinę są w stanie sprawdzić naprawdę tysiące możliwości, zwłaszcza że są opcje, aby sprawdzać na przykład po tysiąc za jednym zamachem.

Także tak.

Nie ma się co szczypać i trzeba przywalić takie hasło, które będzie jak dobry schron – nie do sforsowania 😃

❓ Ale jak to potem zapamiętać?

Nie trzeba pamiętać 😊

Ja, jeśli macie problem z zapamiętywaniem tego typu haseł, polecam Wam korzystanie z menadżerów haseł.

KeePass, 1Password, LastPass – to są dość proste programiki, które zapamiętają i zapiszą w zaszyfrowanej formie Wasze najdłuższe nawet hasła.

Wtedy wystarczy, że będziecie pamiętać jedno jedyne mocne hasło do menadżera haseł, a menadżer w bezpieczny sposób zapamięta resztę i będzie za Was uzupełniał i na stronach, i w programach 😊

Ja sama korzystam z darmowego menadżera KeePass i mogę polecić. Jeśli potrzebujecie i chcecie – dajcie znać w komentarzach, to zrobię bonusową lekcję z tego, jak go ustawić i używać 💪

❓ Gdzie używać tych mocnych haseł?

Wszędzie gdzie się da!

Ale też w kilku nieoczekiwanych miejscach 😃

Mocarne powinno być:

❤️ hasło do cPanelu, czyli panelu administracyjnego hostingu

❤️ hasło do WordPressa (ustalane przy instalacji)

❤️ ale też nazwa użytkownika! Niby to nie hasło, ale to jedna ze składowych danych do logowania, więc nie warto ujawniać jej światu i ustawiać czegoś w stylu admin. Generalnie nazwę użytkownika powinno się ustalać taką, jakby była hasłem 😊 (tyle, że w nazwie użytkownika na WordPressie nie będzie można użyć części znaków specjalnych, ale można i nawet powinno się użyć takich jak @, _ (podkreślnik), . (kropka), – (myślnik/minus) i/lub spacja)

❤️ hasło do bazy danych (w procesie instalacji za pomocą Softaculousa hasło jest generowane bez naszego udziału, ale jest w miarę OK: losowe znaki, cyfry i ta cała reszta)

❤️ ale też nazwa bazy danych i prefiks tabel w bazie danych (tu może być mniej znaków, ale też warto zadbać, aby były losowe) oraz nazwa użytkownika bazy danych; jak pamiętacie, to są rzeczy, które ustawialiśmy przy instalacji WordPressa, więc jeśli wtedy ustawiliście je właściwie, zgodnie z moimi sugestiami, to doskonale 😊 Teraz możecie czuć dumę 😉

❤️ hasło do poczty (znając e-mail administratora lub nazwę użytkownika z uprawnieniami administratora ktoś może wszak skorzystać z opcji przywracania hasła i z dostępem do poczty przejmie całego WordPressa…)

❤️ hasło do panelu Klienta hostingu – tego na Smarthost.pl na przykład. To się często zaniedbuje, ale trzeba pamiętać, że tam są nie tylko nasze faktury, ale też dostęp do wszystkiego co mamy – można się stamtąd przeklikać do cPanelu, a więc mieć dostęp do baz danych, poczty, menadżera plików, Softaculousa, czyli dokładnie do wszystkiego 😊