Όταν μιλάμε για την ασφάλεια των κωδικών πρόσβασης, συχνά αναφέρουμε τη δύναμη του κωδικού πρόσβασής σας και αν μπορεί εύκολα να υποτιμηθεί από τους χάκερς. Ωστόσο, μια πτυχή της ασφάλειας κωδικού πρόσβασης, για την οποία μιλούν λίγοι, είναι ο τρόπος με τον οποίο αποθηκεύεται ο κωδικός πρόσβασης στη βάση δεδομένων. Στο WordPress, κάθε κωδικός πρόσβασης είναι συνήθως αλατισμένος και περνά μέσα από το hash του MD5 προτού αποθηκευτεί στη βάση δεδομένων. Φαίνεται καλό και ασφαλές μέχρι να διαπιστώσετε ότι ο αλγόριθμος MD5 είναι γνωστός ότι υποφέρει από εκτεταμένες ευπάθειες. Σύμφωνα με το Ινστιτούτο Τεχνολογίας Λογισμικού της CMU, το MD5 είναι ουσιαστικά " κρυπτογραφικά σπασμένο και ακατάλληλο για περαιτέρω χρήση. "

Τι μπορείτε να κάνετε για να βελτιώσετε την ασφάλεια του κωδικού σας στο WordPress; Η απάντηση χρησιμοποιεί αλγόριθμο bycrpt, ιδιαίτερα με το plugin wp-password-bcrypt.

Το bcrypt βασίζεται στον κρυπτογραφικό κώδικα Blowfish και είναι μια προσαρμοστική λειτουργία. Αυτό σημαίνει ότι με την πάροδο του χρόνου ο αριθμός επανάληψης μπορεί να αυξηθεί για να γίνει πιο αργός, έτσι ώστε να παραμείνει ανθεκτικός στις επιθέσεις αναζήτησης βίαιων δυνάμεων ακόμη και με αυξανόμενη ισχύ υπολογισμών.

Ευτυχώς, ακόμη και αν δεν είστε τεχνικά ικανός, μπορείτε εύκολα να αναβαθμίσετε το σύστημα WordPress σας για να αντικαταστήσετε το MD5 hashing με τον αλγόριθμο bcrypt.

1. Πήρε τη σελίδα Github του wp-password-bcrypt και κάντε κλικ στο κουμπί "Κλωνοποίηση ή λήψη" για να κατεβάσετε το αρχείο ZIP στην επιφάνεια εργασίας σας.

2. Εξαγάγετε το αρχείο zip και ανοίξτε το φάκελο που εξάγεται. Το μόνο που χρειάζεστε είναι το αρχείο "wp-password-bcrypt.php".

3. Με το πρόγραμμα FTP (ή το cPanel) συνδεθείτε στο διακομιστή σας WordPress και δημιουργήστε ένα φάκελο "mu-plugins" στο φάκελο "wp-content". Αυτό είναι επίσης γνωστό ως φάκελος "Πρέπει να χρησιμοποιείτε πρόσθετα" και όλα τα plugins που τοποθετούνται σε αυτόν τον φάκελο ενεργοποιούνται αυτόματα. Αν ο φάκελος "mu-plugins" υπάρχει ήδη, αγνοήστε αυτό το βήμα.

4. Μεταφορτώστε το αρχείο "wp-password-bcrypt.php" σε αυτό το φάκελο "mu-plugins" και τελειώσατε.

Αυτό που κάνει το plugin "wp-password-bcrypt" είναι η επανακαταχώριση του κωδικού πρόσβασης χρησιμοποιώντας το bcrypt και η αποθήκευση του στη βάση δεδομένων κάθε φορά που κάποιος χρήστης συνδεθεί στο σύστημα. Δεν απαιτείται διαμόρφωση και όλα λειτουργούν απλά στο παρασκήνιο. Σημειώστε επίσης ότι αν ο ιστότοπός σας έχει πολλούς ανενεργούς χρήστες που δεν έχουν συνδεθεί για μεγάλο χρονικό διάστημα, οι κωδικοί πρόσβασης θα εξακολουθούν να χρησιμοποιούν το hash MD5.

Τέλος, για να απεγκαταστήσετε το plugin, το μόνο που έχετε να κάνετε είναι να το διαγράψετε από το φάκελο "mu-plugins". Δεν υπάρχουν αρνητικές συνέπειες και όλα θα συνεχίσουν να λειτουργούν ως συνήθως.

συμπέρασμα

Είναι εντελώς άχρηστο για τους χρήστες να κάνουν ό, τι μπορούν για να προστατεύσουν τον εαυτό τους, αν το σύστημα είναι ανασφαλές κατά πρώτο λόγο. Με την εναλλαγή στον αλγόριθμο bcrypt, μπορείτε γρήγορα και εύκολα να βελτιώσετε την ασφάλεια του κωδικού πρόσβασης του WordPress και να αποτρέψετε την εύκολη εκκίνηση του λογαριασμού χρήστη σας (αν υποτεθεί ότι χρησιμοποιούν ισχυρό κωδικό πρόσβασης).

Πιστοποίηση εικόνας: αρχείο κωδικού πρόσβασης Linux