WordPress Core est sécurisé, mais en passant du hachage de mot de passe basé sur MD5 à bcrypt, pouvez rendre les mots de passe stockés dans la base de données du site plus sûrs. Bien que certains puissent dire que WordPress Core est vraiment sûr, il n’est pas difficile de protéger votre site WordPress des attaques les plus courantes en utilisant un nom d’utilisateur administrateur unique et un mot de passe complexe, tout en gardant le logiciel de base à jour, Utilisez les plug ins et les sujets fournis par les auteurs de confiance, gardez les à jour et utilisez de bons plug ins de sécurité.
La mise en œuvre de mesures de sécurité supplémentaires garantira que la sécurité de votre site sera orientée vers le Haut de la courbe de la cloche de sécurité. Cependant, si votre site nécessite lamp;rsquoouverture damp;rsquoune session utilisateur, un autre problème de sécurité du site doit être envisagé: le chiffrement par mot de passe. Comment démarrer firestorm sur Twitter Le 1er mars 2016, l’agence de développement WordPress roots a annoncé la sortie du plugin bcrypt pour le mot de passe WP. WP Tavern a fait état de l’annonce de la publication du plugin et a critiqué les principales équipes de développement de WordPress responsables de la gestion de la fonction de hachage de mot de passe. En conséquence, une petite tempête de Twitter a éclaté entre les auteurs de cet article et les principaux membres de l’équipe de développement de WordPress.
Swalkinshaw @ retlehs @ tw2113 @ themesurgeon @ helenhousandi Oui, votre message du 1er mars est malheureusement alarmiste et faux Andrew nacin (@ nacin) 19 03 2016 le cœur du problème est que certains membres de la communauté WordPress, tels que Roots, pensent que le hachage MD5 devrait être abandonné immédiatement pour soutenir bcrypt, et ne pas le faire indique un manque d’engagement envers la sécurité des mots de passe. Cependant, lamp;rsquoéquipe qui gère la fonction WP _ Hash password prétend que la fonction a
Résultat de la sécurité du produit, car camp;rsquoest le cas. Comment fonctionne WordPress password Hash? Tout cela soulève une question récurrente: comment WordPress crypte t il les mots de passe?
Les principales fonctions WordPress WP _ Hash password utilisent le cadre de hachage de mot de passe phpass et huit étapes de hachage basées sur MD5. Bien qu’il soit fondamentalement inutile de considérer le hachage MD5 seul, les fonctions de hachage WordPress password ne sont pas des fonctions de hachage MD5 simples et normales. La fonction WP _ Hash password utilise le cadre phpass pour combiner lamp;rsquoétirement des clés avec huit étapes MD5 pour générer un très bon algorithme de hachage. Toutefois, cela ne signifie pas quamp;rsquoil ne peut et ne doit pas être amélioré. Lorsque utilisez phpass, pouvez implémenter lamp;rsquoune des trois méthodes de hachage: bcrypt, des et MD5. Les développeurs de phpass recommandent damp;rsquoutiliser bcrypt, car camp;rsquoest la méthode la plus puissante des trois, et damp;rsquoutiliser un hachage basé sur des ou MD5 seulement si bcrypt namp;rsquoest pas pris en charge. Cependant, en implémentant un hachage basé sur MD5, WordPress est capable de maintenir la compatibilité avec les plateformes d’hébergement traditionnelles.
Phpass fournit un cryptage cryptographique Puissant indépendamment des méthodes de hachage mises en œuvre. Cependant, lorsque bcrypt est implémenté, le temps de calcul du hachage est beaucoup plus long que lorsque damp;rsquoautres méthodes sont implémentées. Le choix damp;rsquoune méthode de hachage namp;rsquoaffecte pas lamp;rsquoexpérience des utilisateurs du site. quelquamp;rsquoun essaie de hacher la base de données des mots de passe, il faut plus de temps pour déchiffrer le mot de passe en utilisant le hachage bcrypt quamp;rsquoen utilisant le hachage MD5. Enfin, l’équipe roots reconnaît que le hachage de mot de passe WordPress est plus puissant que ce que leur post original suggérait, mais estime que le hachage avec bcrypt est beaucoup plus sûr que la fonctionnalité de hachage implémentée
Ces deux messages permettront damp;rsquoaccéder aux comptes de médias sociaux, aux comptes de courriel et à damp;rsquoautres comptes en ligne de tous les utilisateurs qui ont utilisé le même mot de passe plusieurs fois.
En utilisant le hachage cryptographique bcrypt, il est en fait facile de passer damp;rsquoune fonction de hachage standard à bcrypt. La fonction de hachage WordPress est connectable, ce qui signifie que le plug in peut prendre en charge la fonction de hachage de mot de passe. En plus des plug ins développés et publiés par Roots, il y a deux plug ins dans le Catalogue officiel des plug ins WordPress qui remplacent le hachage bcrypt par une méthode de hachage standard. WP bcrypt a été créé par le développeur de plug ins indépendant Harry M, alias Harry Metcalfe, qui est PDG de dxw Works et Ruby on rails, les développeurs web WordPress basés à Londres.
Vous devez exécuter PHP 5.3 + pour exécuter ce plug in. Pour l’installer, téléchargez le dossier plugins depuis WordPress. Organisez et installez manuellement, ou recherchez dans le plugin amp;gt Ajouter nouveau contenu dans la zone de gestion WordPress. Une autre option dans le répertoire des plug ins WordPress est le mot de passe de hachage WP. Le plug in a été créé par ninos ego, un développeur de plug in indépendant damp;rsquoAllemagne. Vous pouvez le fichier plug in depuis WordPress. Organisez et installez manuellement, ou recherchez dans le plugin amp;gt Ajouter nouveau contenu dans la zone de gestion WordPress. Les mêmes restrictions samp;rsquoappliquent à la version PHP du plug in WP bcrypt. Vous devez ensuite exécuter PHP 5.3 ou plus tard pour lamp;rsquoutiliser.
Le plug in bcrypt de roots est légèrement différent de celui du Répertoire plug in WordPress. Les deux plug ins du Répertoire des plug ins WordPress utilisent le même cadre phpass que le noyau WordPress, mais ils ont tous deux été mis à jour du hachage basé sur MD5 au hachage bcrypt. Roo plug in
Ts namp;rsquoest pas basé sur phpass. Utilisez plutôt les fonctions mot de passe _ Hash et mot de passe verify intégrées dans PHP 5.5 +. Par conséquent, devez exécuter PHP 5.5 ou plus tard pour utiliser ce plug in. Le plug in peut être utilisé comme bibliothèque de compositeurs. avez déjà utilisé composer, charger le plug in en utilisant composer est la façon la plus simple de commencer. n’utilisez pas composer pour gérer l’installation de WordPress (ce que la plupart de nos lecteurs pourraient ne pas faire), pouvez installer le plugin manuellement. Étape 1: Assurez damp;rsquoavoir un dossier plug in disponible. Le développeur recommande damp;rsquoinstaller le plug in dans le répertoire Mu plugins afin que lamp;rsquoutilisateur ne puisse pas le désactiver. namp;rsquoavez jamais utilisé le plug in must use auparavant, devez créer un répertoire. Il suffit damp;rsquoutiliser le client FTP pour accéder au Répertoire de contenu WP et créer un nouveau répertoire appelé plug in Mu. avez besoin d’instructions plus détaillées, Notre manuel WordPress aidera. Étape 2: il n’y a pas de plug ins dans le répertoire WordPress plug ins pour le fichier plug in depuis github. Il est plutôt hébergé sur github et peut être téléchargé gratuitement. Allez à la page plug in sur github et cliquez sur zip. Le plug in sera téléchargé sur votre ordinateur sous forme de fichier zip. Étape 3: installez damp;rsquoabord le plug in et localisez le dossier zip où avez téléchargé le plug in sur votre ordinateur. Ensuite, récupérez les fichiers localement sur votre ordinateur. Ensuite, utilisez le client FTP pour copier un fichier appelé mot de passe WP bcrypt. Php dans le répertoire des plugins Mu sur le serveur Web. Remarque: contrairement à la plupart des plug ins installés manuellement, ne voulez pas copier lamp;rsquoensemble du dossier plug in sur le serveur. Assurez que seuls les fichiers nommés WP password bcrypt sont copiés. Et assurez de le copier directement dans le répertoire des plugins Mu. Le plug in samp;rsquoactivera automatiquement. accédez au plug in amp;gt plug in installé et faites ce qui suit
Cliquez pour utiliser et verrez que le plug in WP password bcrypt est maintenant actif. ce débat pourrait être une bonne chose que les petits conflits entre les développeurs root et WordPress mettent en évidence le problème du hachage de mot de passe. Maintenant que la poussière s’est apaisée, nous savons deux choses: la fonctionnalité de hachage contenue dans le noyau WordPress est excellente. La mise à jour vers le hachage bcrypt est facile et permet un meilleur hachage de mot de passe dans WordPress. Quamp;rsquoen penses tu? Vaut il la peine de passer au hachage par mot de passe bcrypt ou à la fonction standard WP _ Hash password WP Hash password? Veuillez nous faire part de vos réflexions dans les commentaires ci dessous. Étiquettes: mot de passe sécurisé pour WordPress
Pour le rendre plus fort Hachage de mot de passe WordPress et bcrypt
