Come migliorare la vostra password WordPress sicurezza con bcrypt algoritmo di hashing

Quando si parla di sicurezza delle password, spesso ci si riferisce alla forza della propria password e se può essere facilmente intuibile da parte di hacker. Tuttavia, un aspetto della sicurezza delle password che poche persone parlano è come la password viene memorizzata nel database. In WordPress ogni password è di solito salato e passato attraverso MD5 hash prima di essere memorizzati nel database. Sembra bello e sicuro fino a scoprire che l'algoritmo MD5 è noto a soffrire di estese vulnerabilità. Secondo CMU Software Engineering Institute, MD5 è essenzialmente "crittograficamente rotto e inutilizzabile."

Che cosa si può fare per migliorare la vostra sicurezza delle password di WordPress? La risposta sta utilizzando l'algoritmo bycrpt, in particolare con il plugin wp-password bcrypt.

bcrypt è basato sul cifrario Blowfish ed è una funzione adattativa. Ciò significa che nel tempo il numero di iterazioni può essere aumentata per rendere più lento, così rimane resistente alla forza bruta attacchi ricerca anche con l'aumento di potenza di calcolo.

Per fortuna, anche se non si è tecnicamente competente, si può facilmente aggiornare il sistema di WordPress per sostituire MD5 hash con l'algoritmo bcrypt.

1. avuto modo di wp-password bcrypt pagina Github di e clicca su "Clone o scaricare" per scaricare il file ZIP sul desktop.

2. Estrarre il file zip e aprire la cartella estratta. Tutto ciò che serve è il file "wp-password bcrypt.php".

3. Con il vostro programma FTP (o cPanel) connettersi al server di WordPress e creare una cartella "mu-plugins" nella cartella "wp-content". Questo è anche conosciuto come la cartella "è necessario utilizzare Plugins", e tutti i plugin inseriti in questa cartella vengono automaticamente attivati. Se la cartella "Mu-plugins" esiste già, ignorare questo punto.

4. Carica il file "wp-password bcrypt.php" in questa cartella "Mu-plugins", e si è fatto.

Quello che il plug-in "wp-password bcrypt" fa è ri-hash della password utilizzando bcrypt e conservarla nella base di dati ogni volta che un utente accede al sistema. Non vi è alcuna configurazione richiesta, e tutto semplicemente lavora in background. Fare Si noti inoltre che se il sito ha un sacco di utenti inattivi che non hanno effettuato l'accesso per un lungo periodo di tempo, le password saranno ancora utilizzando l'hash MD5.

Infine, per disinstallare il plugin, tutto quello che dovete fare è eliminare dalla cartella "Mu-plugins". Non ci sono conseguenze negative, e tutto continuerà a funzionare come al solito.

Conclusione
E 'del tutto inutile per gli utenti di fare tutto il possibile per proteggere se stessi se il sistema è insicuro, in primo luogo. Passando a utilizzando l'algoritmo bcrypt, è possibile migliorare rapidamente e facilmente la tua password di sicurezza di WordPress ed evitare che il vostro account utente da essere facilmente violabile (ammesso che stanno utilizzando una password complessa, come pure).

Image credit: Linux password file