Pregunta sobre Everything else WordPress de Wordpress:

Restablecer la conexión de contraseña

Un usuario preguntó 👇

Estoy configurando un sitio de WordPress en mi servidor (por lo tanto, no en WordPress.com) para un nuevo cliente. Plantearon algunos problemas de seguridad con respecto a los enlaces de restablecimiento de contraseña que WordPress envía cuando un usuario olvida su contraseña:

1. ¿Caducarán estos enlaces y, de ser así, cuánto tiempo serán válidos?

2. Si se supone que alguien que no sea el destinatario previsto tuvo acceso al enlace (y aún no se ha utilizado), ¿hay algo que impida que esa persona utilice el enlace para restablecer una contraseña?

(@jdembowski)

Moderador del foro y Bruto Squad

Hace 2 años, 10 meses

1. ¿Caducarán estos enlaces y, de ser así, cuánto tiempo seguirán siendo válidos?

Estoy 99% seguro de que el enlace no caducará. Intentaré confirmarlo más tarde.

2. Si se supone que alguien que no sea el destinatario previsto tuvo acceso al enlace (y aún no se ha utilizado), ¿hay algo que impida que esa persona utilice el enlace para restablecer una contraseña?

Si no puede controlar su correo electrónico, no se preocupe por los enlaces de restablecimiento de contraseña de WordPress: tiene más problemas de los que preocuparse.

He aquí por qué digo eso. Los mensajes de texto SMS y correos electrónicos ocasionales (no es una función de WordPress, acabo de terminar) son para restablecer la contraseña. Si no puede controlar esas copias de seguridad, muchas otras cosas además de WordPress son justas en términos de seguridad.

Esa revocación es un feo compromiso. Quiere tener seguridad en la cuenta, pero también quiere asegurarse de que sus usuarios no estén bloqueados en la revocación.

Si está realmente preocupado por eso, y eso es bueno, considere los tres plugins 2FA.

https://wordpress.org/plugins/search/2FA/

Yo personalmente uso este.

Two-Factor

No lo uso para usuarios habituales, solo cuentas privilegiadas. Si una cuenta de usuario normal se ve comprometida, puedo solucionarlo. Si eso sucede con una cuenta de nivel de administración, se necesitará mucho más trabajo.

(@jdembowski)

Moderador del foro y Bruto Squad

Hace 2 años, 10 meses

Corrección: el enlace de correo electrónico caducará en 24 horas. Utiliza nonce.


$expiration_duration = apply_filters( 'password_reset_expiration', DAY_IN_SECONDS );

Lo que significa que el enlace no será válido un día después.

(@stevenaive)

Hace 2 años, 10 meses

Gracias por la información de enero. Revisaré esos dos plugins.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *