Ядро WordPress является безопасным, но вы можете дополнительно защитить пароли, резервные копии которых хранятся в базе данных, сложив хэш формата MD5 в формате bcrypt.

Если несколько человек скажут, что ядро ​​WordPress является безопасным и что нетрудно избавить свой блог от наиболее распространенных атак, используя надежное имя пользователя и пароль, регулярно обновляя свой блог. в актуальном состоянии, используя плагины и темы от авторитетных авторов, а также регулярно обновляя их и используя плагин безопасности.

Внедрение некоторых мер безопасности позволит вам обезопасить свой блог, это факт. Однако, если ваш веб-сайт требует входа пользователя в систему, вам следует реализовать дополнительную меру безопасности. Вам нужно подумать о защите паролей.

Как началась огненная буря в Твиттере

1 Mars 2016, агентство по разработке WordPress под названием Roots, анонсировало новую версию плагина WP Пароль Bcrypt. Статья, анонсирующая новую версию плагина, была написана на WPTavern и была действительно критичной по отношению к команде разработчиков WordPress, которая отвечает за управление безопасностью паролей. Результатом стал неистовство между авторами статьи и участниками, ответственными за разработку WordPress.

Thread-твиттер-Bcrypt-хау закрепляет-слова к проходу WordPress

Источник проблемы проистекает из того факта, что некоторые члены сообщества WordPress, такие как команда Roots, считали, что хеш MD5 следует немедленно отказаться в пользу bcryp, и что отказ сделать это продемонстрировал отсутствие участия в Безопасность. Однако команда, которая занимается управлением функцией wp_hash_password, остается на своем месте, утверждая, что полученный результат безопасен.

Как хэш пароля на WordPress?

Все назад и просто задать этот вопрос: Как хэширования паролей работает на WordPress?

Команда, отвечающая за разработку функции wp_hash_password, использует фреймворк паролей phpass, который проходит через 8-проходный хеш MD5. Если хеш-код MD5 считается недостаточным, значит, хеш-функция WordPress не просто использует MD5. Функция wp_hash_password использует платформу для объединения 8-проходных ключей MD5 для создания алгоритма, который работает так же хорошо. Однако это не означает, что его нельзя улучшить.

При использовании phpass может быть реализован один из трех методов: bcrypt, DES и MD5. Разработчики phpass рекомендуют использовать bcrypt, поскольку это один из самых мощных из трех методов, тогда он может вернуться к DES или хешу MD5, только если bcrypt не поддерживается. Однако, реализуя хэш MD5, WordPress может поддерживать совместимость с популярными платформами.Hébergement наследницы

Phpass обеспечивает надежное шифрование, не учитывающее реализованный метод. Однако, когда реализован bcrypt, это занимает намного больше времени, чем другие. Выбор метода хеширования не влияет на работу с веб-сайтами пользователей, и если человек запускает грубую силу, он столкнется с базой данных с хешированными паролями, и это займет больше времени. для расшифровки паролей, если вместо MD5 используется bcrypt.

Наконец, Рутс признает, что хеширование паролей в WordPress является более мощным, чем то, что предлагает релиз WPTavern, но использование bcrypt больше будет дополнительной безопасностью.

Использование Bcrypt для хэширования паролей на WordPress

На самом деле очень легко переключиться со стандартной функции на хеширование с помощью bcrypt. Хеш-функция WordPress принимает плагины, что означает, что плагины могут управлять этой частью.

В дополнение к плагину, разработанному Roots, есть и другие плагины, которые уже доступны в официальном каталоге WordPress плагины и которые также способствуют повышению безопасности WordPress.

1. сор-Bcrypt

WordPress-плагин-сор-Bcrypt

WP-Bcrypt был создан независимым разработчиком плагинов harrym, управляющим директором dxm, работающим в лондонской компании, использующей WordPress и Ruby on Rails для веб-приложений.

Для этого плагина вам нужно будет использовать PH 5.3+. Чтобы установить его, вам просто нужно загрузить его с WordPress.org и установить.

Как установить (добавить) плагин на WordPress

2. WP Password Hash

плагин-WordPress к отбивной-зе-слова к миновать-сор-хэш-пароль

WP Password Hash это еще один плагин, который вы также найдете в каталоге WordPress плагины. Этот плагин был создан независимым разработчиком также в Германии. Его зовут Нинос Эго. Вы можете скачать плагин из каталога Плагин Wordpress и установите его, следуя той же процедуре.

Для использования плагина вам также понадобится среда PHP 5.3.

3. WP Пароль Bcrypt

плагин-WordPress-сор-паролем Bcrypt к хэш-в-слово-байпас

Le плагин bcrypt от команды Roots немного отличается от других плагинов, доступных в каталоге WordPress плагины. Оба плагина, доступные в каталоге плагинов WordPress, используют инфраструктуру phpass, как и ядро ​​WordPress, но используют метод bcrypt вместо MD5.

Плагин команды Roots не использует phpass. Вместо этого он использует функции password_hash и password_verify, доступные в PHP версии 5.5. Поэтому становится нормальным, что вам нужно запустить версию PHP 5.5, чтобы использовать плагин.

Как установить плагин

Разработчик рекомендует установить плагин в обязательный каталог «mu-plugins», чтобы пользователи не могли его деактивировать. Если вы никогда не работали с "обязательными" плагинами (плагины должны работать в любой ситуации), вам нужно будет создать папку. Для этого вы можете использовать FTP-клиент. Даже FTP-клиент Windows 10 сделает свое дело.

Как пользоваться FTP на Windows, 10

Все, что вам нужно сделать, это загрузить плагин на Github.

GitHub-скачать-Bcrypt-плагин-WordPress к хэш-в-слово-байпас

После извлечения содержимого файла вы можете использовать FTP-клиент, чтобы отправить его в папку mu-plugins.

FTP-отправка-плагин-Bcrypt-в-мю-плагинов папки

Вы увидите, что плагин появляется в списке «обязательных» плагинов и не может быть деактивирован.

плагины-должны потребительной на WordPress

На этом урок по усложнению хеширования паролей в WordPress. Если у вас есть вопросы, вы можете оставить комментарий ниже.