Когда мы говорим о безопасности пароля, мы часто имеем в виду надежность вашего пароля и возможность легкого его подбора хакерами. Однако один аспект безопасности паролей, о котором мало кто говорит, — это то, как пароль хранится в базе данных. В WordPress каждый пароль обычно равен соленый и перед сохранением в базе данных проходит хеширование MD5. Кажется, все в порядке и безопасно, пока вы не обнаружите, что Алгоритм MD5 имеет множество уязвимостей. По данным Института программной инженерии CMU, MD5 по сути «криптографически взломан и непригоден для дальнейшего использования»
Итак, что вы можете сделать, чтобы улучшить безопасность паролей WordPress? Ответ — использование алгоритма bycrpt, особенно с плагином wp-пароль-bcrypt .
bcrypt основан на шифре Blowfish и является адаптивной функцией. Это означает, что со временем количество итераций может быть увеличено, чтобы сделать его медленнее, поэтому он остается устойчивым к атакам методом перебора даже при увеличении вычислительной мощности.
К счастью, даже если вы не обладаете техническими знаниями, вы можете легко обновить свою систему WordPress, заменив хеширование MD5 алгоритмом bcrypt.
1. Перейдите к Страница на Гитхабе wp-password-bcrypt и нажмите кнопку «Клонировать или загрузить», чтобы загрузить ZIP-файл на рабочий стол.
2. Распакуйте zip-файл и откройте извлеченную папку. Все, что вам нужно, это файл «wp-password-bcrypt.php».
3. С помощью FTP-программы (или cPanel) подключитесь к серверу WordPress и создайте папку «mu-plugins» в папке «wp-content». Она также известна как папка «Необходимо использовать плагины», и все плагины, помещенные в эту папку, автоматически активируются. Если папка «mu-plugins» уже существует, проигнорируйте этот шаг.
4. Загрузите файл «wp-password-bcrypt.php» в папку «mu-plugins», и все готово.
Плагин «wp-password-bcrypt» повторно хэширует пароль с помощью bcrypt и сохраняет его в базе данных всякий раз, когда пользователь входит в систему. Никакой настройки не требуется, все просто работает в фоновом режиме. Также обратите внимание: если на вашем сайте много неактивных пользователей, которые долгое время не заходили в систему, их пароли по-прежнему будут использовать хеш MD5.
Наконец, чтобы удалить плагин, все, что вам нужно сделать, это удалить его из папки «mu-plugins». Негативных последствий нет, и все продолжит работать в обычном режиме.
Заключение
Пользователям совершенно бесполезно делать все возможное, чтобы защитить себя, если система изначально небезопасна. Переключившись на использование алгоритма bcrypt, вы можете быстро и легко повысить безопасность пароля WordPress и предотвратить взлом вашей учетной записи пользователя (при условии, что они также используют надежный пароль).
Изображение предоставлено: Файл паролей Linux
