När vi pratar om lösenordsäkerhet hänvisar vi ofta till ditt lösenords styrka och om det enkelt kan gissas av hackare. Men en aspekt av lösenordsäkerhet som få personer talar om är hur lösenordet lagras i databasen. I WordPress är varje lösenord vanligtvis saltat och skickat genom MD5 hash innan det lagras i databasen. Det verkar bra och säkert tills du upptäcker att MD5-algoritmen är känd för att drabbas av omfattande sårbarheter. Enligt CMU Software Engineering Institute är MD5 väsentligen " kryptografiskt bruten och olämplig för vidare användning.

Så vad kan du göra för att förbättra ditt WordPress lösenordssäkerhet? Svaret använder bycrpt-algoritmen, särskilt med wp-password-bcrypt-plugin.

bcrypt bygger på Blowfish-krypteringen och är en adaptiv funktion. Det innebär att det med tiden kan iterationstalet ökas för att göra det långsammare, så det är fortfarande motståndskraftigt mot brutna kraft sökningsattacker, även med ökande beräkningskraft.

Lyckligtvis kan du, även om du inte är tekniskt kompetent, enkelt uppgradera ditt WordPress-system för att ersätta MD5 hashing med bcrypt-algoritmen.

1. Fick wp-password-bcrypts Github-sida och klicka på "Klon eller ladda ner" -knappen för att ladda ner ZIP-filen till skrivbordet.

2. Ta ut zip-filen och öppna den extraherade mappen. Allt du behöver är filen "wp-password-bcrypt.php".

3. Anslut till din WordPress-server med ditt FTP-program (eller cPanel) och skapa en mapp "mu-plugins" under mappen "wp-content". Detta är också känt som "Must Use Plugins" -mappen, och alla plugins placerade i den här mappen aktiveras automatiskt. Om mappen "mu-plugins" redan existerar ignorerar du det här steget.

4. Ladda upp filen "wp-password-bcrypt.php" till den här mappen "mu-plugins", och du är klar.

Vad pluginprogrammet "wp-password-bcrypt" gör återställer lösenordet med bcrypt och lagrar det i databasen när en användare loggar in på systemet. Det krävs ingen konfiguration, och allt fungerar helt enkelt i bakgrunden. Observera också att om din webbplats har många inaktiva användare som inte har loggat in länge, kommer deras lösenord fortfarande att använda MD5-hash.

Slutligen, för att avinstallera plugin, allt du behöver göra är att ta bort det från mappen "mu-plugins". Det finns inga negativa konsekvenser, och allt kommer att fortsätta att fungera som vanligt.

Slutsats

Det är helt värdelöst för användarna att göra allt de kan för att skydda sig om systemet är osäkert i första hand. Genom att växla till bcrypt-algoritmen kan du snabbt och enkelt förbättra din WordPress-lösenordsäkerhet och förhindra att ditt användarkonto blir lätt sprickbart (förutsatt att de också använder ett starkt lösenord).

Bildkredit: Linux lösenord fil