Forzar el uso de contraseñas seguras en WordPress

Cuando se habla de seguridad en WordPress (o en internet en general) se suele comentar que uno de los mayores bugs de seguridad se encuentra entre el respaldo de la silla y la pantalla del ordenador.

Efectivamente: el mayor bug de seguridad es el usuario. Ya sea por desconocimiento, desidia, dejadez… el factor humano puede ser clave en la seguridad de nuestro sitio.

Y en lo que a seguridad se refiere, una de las cosas más importantes a proteger es nuestro usuario y contraseña. Ya he hablado en alguna ocasión sobre seguridad, pero antes de seguir voy a rescatar un par de enlaces para arraigar la importancia del uso de contraseñas seguras:

Lista de las peores contraseñas más utilizadas (actualizado a 2016)
¿Cómo de segura es mi contraseña?

En el primer enlace vemos que año tras año las contraseñas más utilizadas siguen siendo 123456, abc123, qwerty, password… Un bot podría acceder a un sitio simplemente probando contra un diccionario de contraseñas y si utilizas una clave de este tipo te expones a ser hackeado fácilmente.

En el segundo enlace podemos testear cuanto tardaría un bot en hackear nuestra contraseña, ¿asustado/a?

Si tu contraseña está en el primer listado o el medidor de contraseña segura te dice que un bot la sacaría en pocos minutos, te aconsejo que leas el post que escribí hace tiempo sobre porqué cambiar el usuario y contraseña periódicamente.

Cómo forzar a los usuarios a utilizar contraseñas seguras en WordPress

Desde hace un tiempo WordPress incorporó un medidor de la fuerza de nuestra contraseña y un generador de contraseña segura.

Esta característica está muy bien pero no te obliga a utilizar una contraseña segura. Simplemente marcando la casilla Confirma el uso de una contraseña débil podremos guardar una contraseña poco segura.

Vamos a agregar a nuestro functions.php o plugin de utilidades una función para comprobar que nuestra contraseña cumpla con una serie de normas:

<?php

function force_strong_passwords( $errors, $update, $user_data ) {
    $user_login = $user_data->user_login;
    $user_pass = $user_data->user_pass;

    if ( !is_null( $user_pass ) ) {
        if ( strtolower( $user_login ) === strtolower( $user_pass ) ) {
            $errors->add( 'my_distinct_user_pass', __( 'Username and password must be different', 'your_textdomain' ) );
        }
        if ( strlen( $user_pass ) < 8 ) {
            $errors->add( 'my_pass_length', __( 'Password must be at least 8 characters', 'your_textdomain' ) );
        }
        if ( ! preg_match( '/[0-9]/', $user_pass ) ) {
            $errors->add( 'my_pass_numeric', __( 'Password must have at least 1 numeric character', 'your_textdomain' ) );
        }
        if ( ! preg_match( '/[a-z]/', $user_pass ) ) {
            $errors->add( 'my_pass_lowercase', __( 'Password must have at least 1 lower case character', 'your_textdomain' ) );
        }
        if ( ! preg_match( '/[A-Z]/', $user_pass ) ) {
            $errors->add( 'my_pass_uppercase', __( 'Password must have at least 1 upper case character', 'your_textdomain' ) );
        }
    }
}
add_action( 'user_profile_update_errors', 'force_strong_passwords', 0, 3 );

Lo que hacemos es simplemente comprobar que:

El usuario y la contraseña no coincidan
Que tenga como mínimo 8 caracteres
Que al menos contenga 1 caracter numérico [0-9]
Que al menos contenga 1 caracter alfabético en minúsculas [a-z]
Que al menos contenga 1 caracter alfabético en mayúsculas [A-Z]
Si no se cumple alguna de estas condiciones arrojamos un error y no dejamos actualizar la contraseña

Si alguno de estos puntos no se cumple, añadimos un error que se nos mostrará en la pantalla de administración.

Eliminar la opción que permite a usuario la elección de una contraseña débil

También podemos añadir un fichero JS en la administración de nuestro WordPress que elimine el input que nos deja confirmar el uso de una contraseña débil. Bastará que este archivo contenga las siguientes líneas:

jQuery(document).ready(function ($) {
    $( ".pw-weak" ).closest('tr').remove();
});

Como puede observarse, simplemente eliminamos la fila tr que tiene la clase pw-weak. De este modo el usuario no puede confirmar el uso de contraseña débil y no se activará el botón de guardar cambios hasta que la contraseña elegida sea al menos de nivel medio.

Comentarios

5 comentarios en Forzar el uso de contraseñas seguras en WordPress

Hammer dice:

31 julio, 2017 a las 01:36

Muy buen articulo Pablo, muy completo.

Responder
Susana Languidey dice:

28 septiembre, 2017 a las 07:01

¡Gracias! Muy útil.

Responder
Susana Languidey dice:

28 septiembre, 2017 a las 09:02

Gracias. Me surge una duda, ¿cuál sería la ruta donde colocar el .js?

Responder
1. Pablo López dice:
  
  29 septiembre, 2017 a las 09:39
  
  Hola Susana.
  
  Depende, si estás creando el tema a medida puedes meterlo dentro de una carpeta assets ó js. O si es un tema hijo lo mismo. O si prefieres hacerte un plugin, dentro de una carpeta assets ó js de tu plugin
  
  Saludos
  
  Responder
  1. Susana Languidey dice:
    
    29 septiembre, 2017 a las 18:09
    
    Gracias… lo intentaré.
    
    Responder

Cómo forzar a los usuarios a utilizar contraseñas seguras en WordPress

Eliminar la opción que permite a usuario la elección de una contraseña débil

¿Te ha resultado útil esta información? ☕ 🍺

Puede que también te interese