O kernel do WordPress é seguro, mas você pode proteger ainda mais as senhas que são copiadas em backup no banco de dados complexando o hash do formato MD5 no formato bcrypt.

Se várias pessoas disserem que o núcleo do WordPress é seguro e que não é difícil poupar o seu blog dos ataques mais comuns usando um nome de usuário e uma senha fortes, atualizando regularmente o seu blog atualizado, usando plugins e temas de autores conceituados, também atualizando-os regularmente e usando um plugin de segurança.

A implementação de algumas medidas de segurança permitirá que você proteja seu blog, isso é um fato. No entanto, se o seu site precisa de um login de usuário, há uma medida de segurança adicional que você deve implementar. Você precisa pensar em proteger senhas.

Como a tempestade de fogo do Twitter começou

A 1 Mars 2016, uma agência de desenvolvimento WordPress chamada Roots anunciou uma nova versão do plugin WP senha bcrypt. O artigo que anuncia a nova versão do plugin foi feito no WPTavern e foi muito crítico para a equipe de desenvolvimento do WordPress, que é responsável por gerenciar a segurança das senhas. O resultado foi uma confusão entre os autores do artigo e os membros responsáveis ​​pelo desenvolvimento do WordPress.

Thread-twitter-bcrypt-how assegura que as palavras-passe-a wordpress

A fonte do problema vem do fato de que alguns membros da comunidade WordPress, como a equipe do Roots, acreditavam que o hash MD5 deveria ser descartado imediatamente em favor do bcryp e que a recusa em fazê-lo demonstrava uma falta de engajamento no Segurança. No entanto, a equipe que cuida do gerenciamento da função wp_hash_password permanece em sua posição, afirmando que o resultado produzido é seguro.

Como o hash de senha no WordPress?

Tudo para trás e apenas para fazer esta pergunta: Como as senhas hash funciona no WordPress?

A equipe responsável pelo desenvolvimento da função wp_hash_password usa a estrutura de senha phpass e esta passa por um hash MD8 de 5 passagens. Se o hash MD5 for considerado insuficiente, a função hash do WordPress não está apenas usando MD5. A função wp_hash_password usa a estrutura para combinar chaves MD8 de 5 passagens para produzir um algoritmo que funciona tão bem. No entanto, isso não significa que não possa ser melhorado.

Quando phpass é usado, um dos três métodos pode ser implementado: bcrypt, DES e MD5. A recomendação dos desenvolvedores do phpass é usar o bcrypt, pois é um dos mais poderosos dos três métodos, então ele pode recorrer ao DES ou a um hash MD5 somente se o bcrypt não for suportado. No entanto, ao implementar um hash MD5, o WordPress é capaz de manter a compatibilidade entre plataformas.alojamento herdeiras

Phpass fornece criptografia forte que não leva em consideração o método implementado. No entanto, quando o bcrypt é implementado, ele leva muito mais tempo do que os outros. A escolha do método de hashing não afeta a experiência nos sites dos usuários, e se uma pessoa lançar força bruta, ela se deparará com um banco de dados com senhas com hash e isso levará mais tempo. para descriptografar senhas se bcrypt for usado em vez de MD5.

Finalmente, Roots admite que o hash de senha no WordPress é mais poderoso do que o sugerido pelo WPTavern, mas o uso de bcrypt mais será uma segurança extra.

Usando bcrypt para hash senhas em WordPress

Na verdade, é muito fácil mudar da função padrão para o hash com o bcrypt. A função hash do WordPress aceita plug-ins, o que significa que os plug-ins podem assumir o controle dessa parte.

Além do plugin desenvolvido pela Roots, existem também outros plugins que já estão disponíveis no diretório oficial do WordPress plugins e que também contribuem para melhorar a segurança do WordPress.

1. wp-bcrypt

wordpress-plugin-wp-bcrypt

WP-bcrypt foi criado por um desenvolvedor de plugins independente harrym, o Managing Director da dxm trabalha com uma empresa sediada em Londres usando WordPress e Ruby on Rails para aplicativos da web.

Você precisará usar o PH 5.3+ para este plugin. Para instalá-lo basta fazer o download do WordPress.org e instalá-lo.

Como instalar (adicionar) um plugin no WordPress

2. WP senha Hash

plugin-wordpress-a-pique-a passar-wp-hash de senha-palavras-to-

WP senha Hash é outro plugin que você também encontrará no diretório de WordPress plugins. Este plugin foi criado por um desenvolvedor independente também na Alemanha. Seu nome é Ninos Ego. Você pode baixar o plugin do diretório de WordPress Plugin e instale-o seguindo o mesmo procedimento.

Você também precisa de um ambiente PHP 5.3 para usar o plugin.

3. WP senha bcrypt

plugin-wordpress-wp-password-bcrypt-to-Hash-de-boca-a-pass

Le Plugin bcrypt da equipe do Roots é um pouco diferente dos outros plugins disponíveis no diretório WordPress plugins. Ambos os plug-ins disponíveis no diretório de plug-ins do WordPress usam a estrutura phpass como o núcleo do WordPress, mas usam o método bcrypt em vez de MD5.

O plugin da equipe Roots não usa phpass. Em vez disso, ele usa as funções password_hash e password_verify disponíveis no PHP versão 5.5. Portanto, torna-se normal que você precise executar uma versão do PHP 5.5 para usar o plugin.

Como instalar o plugin

O desenvolvedor recomenda instalar o plugin no diretório obrigatório "mu-plugins" para que os usuários não possam desativá-lo. Se você nunca trabalhou com plug-ins "obrigatórios" (plugins deve funcionar em qualquer situação), você precisará criar a pasta. Você pode usar um cliente FTP para isso. Mesmo o cliente FTP do Windows 10 fará o truque.

Como usar o FTP no Windows 10

Tudo que você precisa fazer a seguir é baixar o plugin no Github.

github-download-bcrypt--plugin wordpress-se de hash-de-boca-a-pass

Depois de extrair o conteúdo do arquivo, você pode usar o cliente FTP para enviá-lo para a pasta mu-plugins.

-Ftp enviando-plugin-bcrypt-in-the-plugins-mu pasta

Você verá que o plug-in aparece nos plug-ins "obrigatórios" e não pode ser desativado.

plugins-must-use-on-wordpress

É isso neste tutorial sobre como tornar o hashing de senha no WordPress mais complexo. Se você tiver alguma dúvida, pode deixar um comentário abaixo.