Hvordan forbedre WordPress Password Security med bcrypt Hashing Algorithm
Når vi snakker om passordsikkerhet, refererer vi ofte til styrken på passordet ditt, og om det lett kan gjettes av hackere. Imidlertid er et aspekt av passordsikkerhet som få folk snakker om, hvordan passordet lagres i databasen. I WordPress er hvert passord vanligvis saltet og sendt gjennom MD5 hashing før det er lagret i databasen. Det virker fint og sikkert før du finner ut at MD5-algoritmen er kjent for å lide av omfattende sårbarheter. Ifølge CMU Software Engineering Institute er MD5 i hovedsak " kryptografisk ødelagt og uegnet til videre bruk. ”
Så hva kan du gjøre for å forbedre WordPress-passordet ditt? Svaret bruker bycrpt-algoritmen, spesielt med wp-password-bcrypt-plugin.
bcrypt er basert på Blowfish-krypteringen og er en adaptiv funksjon. Dette betyr at over tid kan iterasjonstallet økes for å gjøre det langsommere, så det er fortsatt motstandsdyktig mot brute force søkeangrep, selv med økende beregningskraft.
Heldigvis, selv om du ikke er teknisk kompetent, kan du enkelt oppgradere ditt WordPress-system for å erstatte MD5 hashing med bcrypt-algoritmen.
1. Komme til wp-password-bcrypts Github-side og klikk "Klone eller nedlastning" -knappen for å laste ned ZIP-filen til skrivebordet.
2. Trekk ut zip-filen og åpne den ekstraherte mappen. Alt du trenger er filen "wp-password-bcrypt.php".
3. Koble til din WordPress-server med FTP-programmet (eller cPanel) og opprett en mappe med "mu-plugins" under "wp-content" -mappen. Dette kalles også "Must Use Plugins" -mappen, og alle plugins plassert i denne mappen aktiveres automatisk. Hvis mappen "mu-plugins" allerede eksisterer, ignorer dette trinnet.
4. Last opp filen "wp-password-bcrypt.php" til denne mappen "mu-plugins", og du er ferdig.
Hva "wp-password-bcrypt" -pluggen gjør er å gjenta passordet med bcrypt og lagre det i databasen når en bruker logger på systemet. Det er ingen konfigurasjon nødvendig, og alt fungerer bare i bakgrunnen. Vær også oppmerksom på at hvis nettstedet ditt har mange inaktive brukere som ikke har logget på lenge, vil deres passord fortsatt bruke MD5-hasen.
Til slutt, for å avinstallere pluginet, er alt du trenger å slette det fra mappen "mu-plugins". Det er ingen negative konsekvenser, og alt vil fortsette å virke som vanlig.
Konklusjon
Det er helt ubrukelig for brukerne å gjøre alt de kan for å beskytte seg selv hvis systemet er usikkert i utgangspunktet. Ved å bytte til bruk av bcrypt-algoritmen, kan du raskt og enkelt forbedre WordPress-passordets sikkerhet og forhindre at brukerkontoen din blir lett sprekkbar (forutsatt at de også bruker et sterkt passord).
Bilde kreditt: Linux passordfil