这真的与wordpress无关,但既然它已经有了一个经过投票的答案,我不妨添加我的答案。。。。
对于大多数人来说,不需要强密码。我对许多我不太关心的服务使用软密码,到目前为止我的帐户还没有被黑客入侵(当然是AFAIK;)。需要强大的密码来抵御有针对性的攻击,但如果您只有中等强度的密码,则可能不需要它们来抵御随机登录尝试。为了避免随机登录尝试,最好是对登录速度进行限制,可能是每秒一次,时间足够长,可以减慢攻击速度,但时间足够短,让人根本不会注意到。
然后,您需要问问自己,是否唯一的攻击向量是通过随机登录尝试到服务器。如果这是一个非常强的密码,但您没有SSL,那么什么会阻止星巴克(替换为任何其他免费wifi的地方)管理员在流量日志中找到它?
换言之,密码的强度应该反映出对其被攻击的可能性以及如果被发现可能造成的损害的某种风险评估。与其要求用户拥有强大的密码,不如咨询他们感知到的风险,或者让他们自己决定,而不是强迫他们。
wordpress的经验法则应该是,只有一个管理员用户拥有强大的密码,用户永远不应该以管理员身份登录,除非他们必须真正弄乱代码或全局设置,所有其他用户的能力都应该受到限制,因此即使他们被黑客攻击,可能造成的损害也是非常局部的(编辑内容,但没有修改代码的能力),可能是某种审计过程,比如向用户显示他登录的最后一个IP。