Jak poprawić bezpieczeństwo hasła WordPress za pomocą algorytmu mieszania bcrypt.
Kiedy mówimy o bezpieczeństwie haseł, często odnosimy się do siły hasła i tego, czy hakerzy mogą je łatwo odgadnąć. Jednak jednym z aspektów bezpieczeństwa haseł, o którym mówi niewiele osób, jest sposób przechowywania hasła w bazie danych. W WordPress każde hasło jest zwykle solone i przepuszczane przez mieszanie MD5, zanim zostanie zapisane w bazie danych. Wydaje się to w porządku i bezpieczne, dopóki nie dowiesz się, że algorytm MD5 jest znany z wielu luk w zabezpieczeniach. Według CMU Software Engineering Institute, MD5 jest zasadniczo „złamany kryptograficznie i nie nadaje się do dalszego użytku”.
Co więc możesz zrobić, aby poprawić bezpieczeństwo hasła WordPress? Odpowiedzią jest użycie algorytmu byrpt, szczególnie z wtyczką wp-password-bcrypt.
bcrypt jest oparty na szyfrze Blowfish i jest funkcją adaptacyjną. Oznacza to, że z czasem liczbę iteracji można zwiększyć, aby spowolnić działanie, dzięki czemu pozostaje ono odporne na ataki typu brute-force, nawet przy rosnącej mocy obliczeniowej.
Na szczęście, nawet jeśli nie jesteś kompetentny technicznie, możesz łatwo zaktualizować swój system WordPress, aby zastąpić haszowanie MD5 algorytmem bcrypt.
1. Przejdź do strony Github wp-password-bcrypt i kliknij przycisk „Klonuj lub pobierz”, aby pobrać plik ZIP na pulpit.
2. Rozpakuj plik zip i otwórz wyodrębniony folder. Wszystko, czego potrzebujesz, to plik „wp-password-bcrypt.php”.
3. Za pomocą programu FTP (lub cPanel) połącz się z serwerem WordPress i utwórz folder „mu-plugins” w folderze „wp-content”. Jest to również znane jako folder „Must Use Plugins”, a wszystkie wtyczki umieszczone w tym folderze są automatycznie aktywowane. Jeśli folder „mu-plugins” już istnieje, zignoruj ten krok.
4. Prześlij plik „wp-password-bcrypt.php” do tego folderu „mu-plugins” i gotowe.
To, co robi wtyczka „wp-password-bcrypt”, polega na ponownym haszowaniu hasła za pomocą bcrypt i przechowywaniu go w bazie danych za każdym razem, gdy użytkownik loguje się do systemu. Nie jest wymagana żadna konfiguracja, a wszystko po prostu działa w tle. Pamiętaj również, że jeśli Twoja witryna ma wielu nieaktywnych użytkowników, którzy nie logowali się przez długi czas, ich hasła nadal będą używać skrótu MD5.
Na koniec, aby odinstalować wtyczkę, wystarczy usunąć ją z folderu „mu-plugins”. Nie ma żadnych negatywnych konsekwencji i wszystko będzie działać jak zwykle.
Wniosek
Jest całkowicie bezużyteczne, aby użytkownicy robili wszystko, co w ich mocy, aby się chronić, jeśli system jest przede wszystkim niepewny. Przełączając się na algorytm bcrypt, możesz szybko i łatwo poprawić bezpieczeństwo hasła WordPress i zapobiec łatwemu złamaniu konta użytkownika (zakładając, że używa on również silnego hasła).
Źródło obrazu: plik haseł systemu Linux
Nigdy nie przegap
Otrzymuj aktualizacje naszych najnowszych samouczków.
Zapisz się na wszystkie newslettery.
Chcę otrzymywać newslettery pocztą elektroniczną. Nie udostępnimy Twoich danych i w każdej chwili możesz zrezygnować z subskrypcji.
Subskrybuj
Rejestrując się, wyrażasz zgodę na naszą Politykę prywatności, a użytkownicy europejscy zgadzają się na zasady przesyłania danych.
