WordPress强密码强制使用

1. WordPress这玩意儿搞网站是方便，但密码太弱就像把家门钥匙塞在脚垫底下——随便来个脚本小子都能给你扬了。我见过太多用"admin123"或者"qwerty"硬撑的站点，被暴力破解工具轮询到数据库裸奔。其实从根子上解决很简单：别让用户设置弱智密码。

2. 核心思路就是挂钩子到注册和密码重置环节。拿wp_authenticate_user过滤器当哨卡，接到验证请求时先检查密码强度。这里有个骚操作：直接调用WordPress内置的check_password()函数可能不够带劲，得自己写个强度校验器。

add_filter('wp_authenticate_user', function($user, $password) {
    $strength = calculate_password_strength($password);
    if ($strength < 3) {
        return new WP_Error('weak_password', '密码强度至少需要包含大小写字母、数字和特殊符号');
    }
    return $user;
}, 10, 2);

3. 上面代码里的calculate_password_strength是个虚拟函数，实际得用正则表达式当筛子。比如要求至少8个字符，同时包含四类字符（大写字母、小写字母、数字、符号）。这里推荐用preg_match搞组合验证：

function validate_strong_password($password) {
    $patterns = [
        '/[A-Z]/',  // 至少一个大写字母
        '/[a-z]/',  // 至少一个小写字母
        '/[0-9]/',  // 至少一个数字
        '/[^a-zA-Z0-9]/'  // 至少一个特殊符号
    ];

    $score = 0;
    foreach ($patterns as $pattern) {
        if (preg_match($pattern, $password)) $score++;
    }

    return ($score >= 3) && (strlen($password) >= 8);
}

4. 光后台验证不够，用户注册时前端就得用密码强度计实时提醒。WordPress自带的密码强度计其实藏在user-profile.js里，我们可以用jQuery把它激活到注册表单上。注意要钩住password-strength-meter的action：

jQuery(document).ready(function($) {
    $('#pass1').on('input', function() {
        var strength = wp.passwordStrength.meter($(this).val(), $('#user_login').val());
        $('#pass-strength-result').removeClass('short bad good strong').addClass(strength[1]).html(strength[0]);
    });
});

5. 对于已经存在的弱密码用户，最好在下次登录时强制要求重置。在主题的functions.php里加个重定向逻辑：当检测到用户密码哈希值符合弱密码特征（比如用wp_check_password验证常见弱密码库），就跳转到重置页面：

add_action('wp_login', function($user_login, $user) {
    $common_weak_passwords = ['123456', 'password', 'welcome', 'admin'];
    foreach ($common_weak_passwords as $weak_pwd) {
        if (wp_check_password($weak_pwd, $user->user_pass, $user->ID)) {
            wp_redirect('/wp-login.php?action=lostpassword');
            exit;
        }
    }
}, 10, 2);

6. 最后记得给密码策略加个白名单——有些自动化工具需要直接操作数据库，比如XML-RPC调用或者REST API请求。这时候可以用wp_doing_ajax和wp_doing_cron判断当前操作类型，跳过密码强度检查：

if (!wp_doing_ajax() && !wp_doing_cron() && !defined('XMLRPC_REQUEST')) {
    add_filter('wp_authenticate_user', 'enforce_strong_password');
}

7. 其实最狠的一招是直接修改密码哈希策略。WordPress默认用Portable Hash虽然兼容性好，但可以考虑用bcrypt增强安全性。用wp_hash_password过滤器替换哈希算法：

add_filter('wp_hash_password', function($hash, $password, $user_id) {
    return password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
}, 10, 3);

8. 千万别忘了在密码重置邮件模板里加强提示。修改wp-retrieve-password.php里的邮件内容，加入醒目的警告语："系统要求密码包含大小写字母、数字和符号，长度至少8位"，最好用红色粗体标出来。

9. 实际部署前一定要先模拟测试。用wp_set_password函数给测试账号设置不同强度密码，然后尝试用wp_authenticate登录。记得测试边缘情况：比如全角符号密码、超长密码（超过64字符）、以及包含SQL注入特殊字符的密码。

10. 最后提醒：强制密码策略后肯定会增加用户支持压力。最好在注册页、登录页和用户后台三处放置明显的密码规则说明，甚至可以考虑用密码生成器工具链接降低用户操作成本——安全性和用户体验得找个平衡点。

说到底，密码强度就像刷牙——每天顺手做一次能避免以后痛苦的根管治疗。WordPress给了这么多扩展点不就是让咱们把安全漏洞堵上嘛。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。