Cómo forzar a los usuarios a cambiar las contraseñas en WordPress

Una buena práctica de seguridad en tu WordPress es cambiar las contraseñas de los usuarios cada cierto tiempo. Hoy, en WordPress Directo, te enseñamos cómo forzar a los usuarios a cambiar las contraseñas en WordPress para potenciar la seguridad de tu sitio web.

Muchas organizaciones gubernamentales, grandes corporaciones e instituciones educativas obligan a los usuarios de sus aplicaciones a cambiar la contraseña cada cierto tiempo. Esto, que puede parecer a priori una molestia más que otra cosa, es una práctica que incrementa la seguridad de la plataforma donde se ejecuta. Al cambiar las contraseñas, el riesgo a un hackeo en la aplicación se reduce bastante. Y es que si guardamos datos sensibles en nuestra plataforma, una de las mejores medidas que puedes tomar para incrementar la seguridad es la de forzar a los usuarios a que cambien las contraseñas pasado el periodo de tiempo establecido.

En WordPress, y más si almacenamos información delicada, también se puede llevar a cabo esta práctica de seguridad. Así mismo, incrementaremos la seguridad de nuestro sitio web si obligamos a nuestros usuarios a cambiar la contraseña cuando nosotros estipulemos. ¿Cómo podemos transportar esta acción en nuestro WordPress? Pues muy sencillo, ¿no os lo imagináis? Pues con el plugin que os mostraremos a continuación.

Cómo forzar a los usuarios a cambiar las contraseñas en WordPress - Candado
Fuente: Nicky Mannix

El plugin WP Password Policy Manager

El plugin WP Password Policy Manager te brinda la posibilidad de hacer lo que hemos comentado antes, forzar a los usuarios a cambiar la contraseña de WordPress pasado un tiempo que nosotros mismos estipulemos. Para ello, vete a la sección de Plugins dentro del backoffice de tu WordPress y haz clic en la opción de Añadir nuevo. Una vez dentro busca el texto «WP Password Policy Manager» y te tendrá que aparecer como el primero en los resultados de búsqueda de plugins para WordPress. Pincha en instalar y actívalo, sino no podremos utilizarlo.

Una vez instalado, en el menú lateral de nuestro backoffice nos tendrá que aparecer una nueva opción dentro de la sección Ajustes llamada Políticas de Contraseñas. Para configurar el plugin que acabamos de instalar en 5 minutos, debemos entrar ahí. Una vez dentro podremos definir las políticas de seguridad tanto de las contraseñas como del reseteo de las mismas. A continuación vamos a explicaros campo por campo para que entendáis perfectamente su funcionamiento y no haya ningún malentendido a la hora de cambiar las contraseñas de WordPress.

Cómo forzar a los usuarios a cambiar las contraseñas en WordPress - Candado en puerta
Fuente: Sarah Joy

¿Cómo configurar WP Password Policy Manager?

En primer lugar tenemos el campo Política de expiración de contraseña con el que podremos definir cada cuánto tiempo ha de pedir el sistema al usuario de nuestro WordPress que ingrese una contraseña nueva. Este campo debemos completarlo siguiendo el patrón que nos aparece un poco más abajo. Imaginemos pues, que queremos forzar el reseteo de contraseñas cada mes. En el campo de Política de expiración de contraseña tendremos que poner el valor 30 days o 4 weeks, dependiendo de si lo queremos por semanas o por días. En el caso de que no queramos forzar las contraseñas en nuestro WordPress basta con dejarlo en blanco.

Después tenemos el campo Política de longitud de contraseña con el que podremos establecer el número mínimo de caracteres que tendrán las contraseñas que los usuarios ingresen en nuestro sitio. Con el campo Política de mayúsculas o minúsculas definiremos si queremos que el sistema distinga entre los caracteres con mayúsculas o minúsculas dentro de la contraseña que establezcan los usuarios. La Política de números y la de caracteres especiales sirven para forzar al usuario, a la hora de establecer su nueva contraseña, a que ingrese un password que obligatoriamente tenga o números o caracteres especiales como los guiones, barras, arrobas…

Con la Política de contraseña actual definiremos que, para que el usuario pueda cambiar su contraseña, tiene que introducir la contraseña que tenía antes establecida en el sistema. El plugin WP Password Policy Manager cuenta también con un histórico de contraseña con el cual no es posible establecer una nueva contraseña si el usuario la ha usado anteriormente. Con el campo Política de historial de contraseñas podemos establecer qué número de contraseñas queremos que recuerde. Además, otra función muy útil de este plugin es la posibilidad de excluir grupos de usuarios a los que no afectará el cambio de contraseña. Mediante el campo Usuarios y roles excluidos de las políticas podremos indicar, por ejemplo, que los administradores están excluidos de esta política de reseteo de contraseñas, o por ejemplo también, que el usuario Mengano no tiene porqué cambiar su contraseña.

Cómo forzar a los usuarios a cambiar las contraseñas en WordPress - Seguridad
Fuente: GotCredit

Lo que está claro es que cuantas más políticas activemos, más seguro será nuestro sitio. Pero ojo, el hecho de establecer un sitio tan restrictivo alejará a tus futuros usuarios. Busca la combinación perfecta entre ambas partes para que tu WordPress siga atrayendo gente y sea un sitio con una seguridad de hierro.

Y nada más. Esperamos que este tutorial te haya gustado y que tu WordPress sea, a partir de ahora, una fortaleza impenetrable. Y hablando de contraseñas, ¿eres de los que ponen contraseñas difíciles en las cuentas de las distintas plataformas donde estés dado de alta? ¿Distingues entre mayúscula y minúscula? Cuéntanoslo…

Scroll al inicio