BCrypt ile WordPress şifrenizi daha güçlü hale getirin

Core WordPress güvenlidir, ancak MD5 tabanlı şifrelerin BCrypt’e karmaşasından güncellenerek Site Veritabanınızda depolanan bir şifre daha güvenli yapabilirsiniz.Bazı insanlar tam tersini söyleyebilirken, çekirdek WordPress gerçekten güvenlidir ve WordPress web sitenizi benzersiz bir yönetici kullanıcı adı ve güçlü bir şifre kullanarak en yaygın saldırıdan güvende tutmak, çekirdek yazılımı tutarak, eklentileri ve eklentileri kullanarak ve Önde gelen bir yazarın teması ve güncellemeye devam ediyor ve iyi bir güvenlik eklentisi kullanıyor.Sadece birkaç ek güvenlik adımı uygulamak, sitenizin güvenliğinin güvenlik çan eğrisinin üst ucuna yol açmasını sağlayacaktır.Ancak, web sitenizin bir kullanıcı girişine ihtiyacı varsa, düşünmeniz gereken bir web sitesi güvenlik sorunu vardır: şifre şifrelemesi.
Twitter Firestorm Nasıl Başlatılır … 1 Mart 2016’da WordPress Roots geliştirme ajanı BCrypt WP şifre eklentisinin yayınlandığını duyurdu. Eklentinin piyasaya sürüldüğünü açıklayan yazı WP Tavern tarafından kapsandı ve şifre karma işlevini yönetmekle görevlendirilen WordPress Core geliştirme ekibini çok eleştirdi. Sonuç, Post’un yazarı ile WordPress Core geliştirme ekibinin bir üyesi arasında küçük bir Twitter alev fırtınasıdır. @swalkinshaw @retlehs @tw2113 @Themesurgeon @Helenh Finli Yani, 1 Mart’tan itibaren yazınız maalesef endişeleniyor ve yanlış. – Andrew Nacin (@NACIN) 19 Mart 2016 Sorunun özü, WordPress topluluğunun kökler gibi bazı üyelerinin, MD5’in BCrypt uğruna hemen silinmesi gerektiğine inanıyor ve bunun yapılmaması bir Parola güvenliğine bağlılık eksikliği. Ancak, WP_HASH_PASSWORD’un işlevini yöneten ekip, işlevin olduğu gibi güvenli sonuçlar ürettiğini korur. Hashing WordPress şifresi nasıl çalışır? Bütün bunlar ileri geri şu soruyu gündeme getiriyor: WordPress şifreyi nasıl şifreliyor? Çekirdek işlevi WordPress wp_hash_password, Phpass şifre karma çerçevesini ve sekiz MD5 tabanlı karma parçasını kullanır. Yalnız düşünülen karma MD5 temel olarak işe yaramaz olsa da, WordPress şifresi karma işlevi sıradan bir MD5 vanila karma değildir. WP_HASH_PASSWORD işlevi, gerçekten oldukça iyi bir karma algoritması üretmek için anahtar esnemeyi sekiz MD5 geçişiyle birleştirmek için bir phpas çerçevesi kullanır. Ancak bu, geliştirilemeyeceği ve geliştirilmeyeceği anlamına gelmez.
Phpass kullanıldığında, üç karma yönteminden biri uygulanabilir: BCrypt, Des ve MD5.PHPass geliştiricileri tarafından yapılan öneriler BCrypt kullanıyor çünkü bu üçünün en güçlüsüdür ve yalnızca BCrypt desteklenmezse DES veya MD5’e dayalı karma için geri çekilir.Bununla birlikte, MD5 tabanlı karma uygulayarak WordPress, eski barındırma platformlarıyla uyumluluğu koruyabilir.Phpass, uygulanan karma yöntemine bakılmaksızın sağlam bir şifre şifrelemesi sağlar.Bununla birlikte, BCrypt uygulandığında, karma hesaplanması diğer yöntemlerin uygulandığından daha uzun sürer.Hashing yönteminin seçimi, web sitesi kullanıcılarının deneyimini etkilemez ve birisi karma şifre veritabanını girmeye zorlamaya çalışırsa, karma bcrypt kullanılırsa, karma MD5 kullanılırsa parolayı deşifre etmek daha uzun sürer.Kullanılmış.
Sonunda, Roots ekibi WordPress şifresi karma işleminin orijinal yayınları tarafından önerilenden daha güçlü olduğunu kabul etti, ancak BCrypt ile karma işlemin WordPress Core ekibi tarafından uygulanan karma işlevinden önemli ölçüde daha güvenli olduğunu iddia ediyor – araştırmam tarafından desteklenen iddialar problemlerde. Hashhing’in şifresi neden önemlidir WordPress hakkında duyduğunuz tüm güvenlik önerileri, WordPress kurulumunun sızmasını zorlaştırmak için sertleşmesi ile ilgilidir. Bununla birlikte, özellikle paylaşılan bir sunucuda yayınlanan WordPress web siteleri için çok farklı bir tehdit türü de vardır. Sunucunun kendisi sızdıysa ve WordPress veritabanınız kopyalanırsa ne olur? WordPress’inizi yüklemek sağlam olabilir, ancak ana bilgisayar güvenlik adımlarınızdan kaçınılırsa, veritabanınız web siteniz olmadan kopyalanabilir. Ev sahibi güvenliğiniz. Yalnızca veriler, kullanıcı şifreniz gibi, korunan kalacak sıradan metinde saklanmaz. Şifrelenmiş şifre güvenliği, parolayı şifrelemek için kullanılan karma yönteminin gücüne bağlı olacaktır. WordPress’te inşa edilen standart karma yöntemi oldukça iyi olsa da, BCrypt daha iyidir. Veritabanınıza sızdığında şifre karma ile ilgili endişeler önemsiz görünebilir. Açıkçası, eğer bu olsaydı, karma yöntemi aklınızdaki son şey olabilir. Ancak, bilgisayar korsanlarının elinde olduktan sonra bile kullanıcının şifresinin güvenliğini korumak çok önemlidir.
İnternet kullanıcılarının yarısından fazlası, çoğu veya tüm hesapları için aynı şifreyi kullanır. Dolayısıyla, birisi web sitesi veritabanınızı biliyor ve şifreyi tanımlayabiliyorsa, en az iki önemli bilgiye sahip olacaktır: bu kullanıcılar tarafından web sitenizde hesaplarını oluşturmak için kullanıcı e -posta adresi ve şifre. Bu iki bilgiyle donatılmış olarak, BCrypt’e aynı şifre tekrarlanan standartları kullanarak hata yapan her kullanıcıdan sosyal medya hesaplarına, e -posta hesaplarına ve diğer çevrimiçi hesaplara erişebileceklerdir. WordPress karma işlevi takılabilir, yani eklentinin şifrenin geçmesini devralabilir. Kökler tarafından geliştirilen ve duyurulan eklentiye ek olarak, resmi WordPress eklenti dizininde, standart karma yöntemi için BCrypt karma işleminin yerini alan iki eklenti de vardır.
WP-BCrypt, Londra merkezli Ruby On Rails Geliştirme Ajansı’nda bir WordPress ve Ruby On Ruby Dxw Works Genel Müdürü olan bağımsız Harrym eklentisi geliştiricisi, yani Harry Metcalfe tarafından yapıldı.
Bu eklentiyi çalıştırmak için PHP 5.3+ çalıştırmanız gerekir. Yüklemek için, eklenti klasörünü wordpress.org adresinden indirin ve manuel olarak yükleyin veya WordPress yönetici alanında Eklentiler> Yeni Ekle’yi arayın.
WordPress eklentisi dizininin bir başka seçeneği de WP karma şifresidir. Bu eklenti, Almanya’dan Ninos Ego adlı bağımsız bir eklenti geliştiricisi tarafından yapıldı. Eklenti dosyasını wordpress.org adresinden indirebilir ve manuel olarak yükleyebilir veya WordPress yönetici alanına yeni eklentiler> yeni ekleyin. BCrypt WP eklentisi için geçerli olan aynı PHP sürüm sınırı da bu eklenti için de geçerlidir. Bu nedenle, kullanmak için PHP 5.3 veya daha üstünü çalıştırmanız gerekir. Roots’tan BCrypt eklentisi, WordPress eklentisinden elde edilen eklentilerden biraz farklıdır. WordPress eklentisi dizinindeki her iki eklenti, WordPress çekirdeği ile aynı phpas çerçevesini kullanır, ancak MD5 tabanlı karma işlemden bcrypt’e yükselir. Kökler eklentisi Phppass’a bağlı değildir. Bunun yerine, PHP 5.5+ içinde yerleşik olan Passseso_hash ve Password_Verify işlevlerini kullanır. Sonuç olarak, bu eklentiyi kullanmak için PHP 5.5 veya daha yüksek çalıştırmanız gerekir. Bu eklenti besteci kitaplığı olarak kullanılabilir. Zaten bir besteci kullanıyorsanız, bir besteci ile eklentileri yüklemek, başlayıp çalıştırmanın en kolay yoludur. WordPress kurulumunuzu yönetmek için bir besteci kullanmıyorsanız (ve okuyucularımızın çoğu olmayabilir), eklentileri manuel olarak yükleyebilirsiniz.