Wenn wir über die Passwortsicherheit sprechen, verweisen wir oft auf die Stärke Ihres Passworts und darauf, ob es von Hackern leicht zu erraten ist. Ein Aspekt der Kennwortsicherheit, über den nur wenige sprechen, ist jedoch, wie das Kennwort in der Datenbank gespeichert wird. In WordPress wird jedes Passwort normalerweise gesalzen und durch MD5-Hashing weitergegeben, bevor es in der Datenbank gespeichert wird. Es scheint gut und sicher zu sein, bis Sie feststellen, dass der MD5-Algorithmus bekanntermaßen an umfangreichen Schwachstellen leidet. Laut CMU Software Engineering Institute ist MD5 im Wesentlichen " kryptographisch zerbrochen und für die weitere Verwendung ungeeignet. "

Was können Sie tun, um Ihre WordPress Passwort-Sicherheit zu verbessern? Die Antwort ist der bycrypt-Algorithmus, insbesondere mit dem wp-password-bcrypt-Plugin.

bcrypt basiert auf der Blowfish-Chiffre und ist eine adaptive Funktion. Dies bedeutet, dass die Anzahl der Iterationen im Laufe der Zeit erhöht werden kann, um sie langsamer zu machen, so dass sie auch mit zunehmender Rechenleistung resistent gegen Brute-Force-Suchangriffe bleibt.

Zum Glück, auch wenn Sie nicht technisch kompetent sind, können Sie problemlos Ihr WordPress-System aktualisieren, um MD5-Hashing durch den bcrypt-Algorithmus zu ersetzen.

1. Gehen Sie auf die Github-Seite von wp-password-bcrypt und klicken Sie auf "Clone or download", um die ZIP-Datei auf Ihren Desktop herunterzuladen.

2. Extrahieren Sie die Zip-Datei und öffnen Sie den extrahierten Ordner. Sie benötigen lediglich die Datei "wp-password-bcrypt.php".

3. Stellen Sie mit Ihrem FTP-Programm (oder cPanel) eine Verbindung zu Ihrem WordPress-Server her und erstellen Sie einen "mu-plugins" -Ordner unter dem Ordner "wp-content". Dies wird auch als "Must Use Plugins" -Ordner bezeichnet, und alle in diesem Ordner platzierten Plugins werden automatisch aktiviert. Wenn der Ordner "mu-plugins" bereits existiert, ignorieren Sie diesen Schritt.

4. Laden Sie die Datei "wp-password-bcrypt.php" in diesen "mu-plugins" -Ordner und Sie sind fertig.

Was das Plugin "wp-password-bcrypt" tut, ist, das Passwort mit bcrypt erneut zu hashen und es in der Datenbank zu speichern, wenn sich ein Benutzer am System anmeldet. Es ist keine Konfiguration erforderlich und alles funktioniert einfach im Hintergrund. Beachten Sie außerdem, dass Ihre Kennwörter immer noch den MD5-Hash verwenden, wenn auf Ihrer Website viele inaktive Benutzer vorhanden sind, die sich längere Zeit nicht angemeldet haben.

Schließlich, um das Plugin zu deinstallieren, müssen Sie es nur aus dem "mu-plugins" -Ordner löschen. Es gibt keine negativen Folgen, und alles wird wie gewohnt funktionieren.

Fazit

Es ist völlig nutzlos für Benutzer, alles zu tun, um sich zu schützen, wenn das System überhaupt unsicher ist. Durch die Umstellung auf den bcrypt-Algorithmus können Sie schnell und einfach Ihre WordPress-Passwortsicherheit verbessern und verhindern, dass Ihr Benutzerkonto leicht geknackt werden kann (vorausgesetzt, Sie verwenden ein starkes Passwort).

Bildquelle: Linux Passwortdatei