Springe zum Hauptinhalt

Wie kompliziert Passwörter mit Wordpress bcrypt Hashing

Divi: das am einfachsten zu verwendende WordPress-Theme

Divi: Das beste WordPress-Theme aller Zeiten!

Mehr 901.000 Downloads, Divi ist das beliebteste WordPress-Theme der Welt. Es ist vollständig, einfach zu bedienen und enthält mehr als 62-freie Vorlagen. [Empfohlen]

Der Kernel von WordPress ist sicher, aber Sie können die in der Datenbank gesicherten Kennwörter weiter schützen, indem Sie den Hash des MD5-Formats in das bcrypt-Format komplexieren.

Wenn mehrere Leute sagen, dass der Kern von WordPress sicher ist und es nicht schwierig ist, Ihr Blog vor den häufigsten Angriffen zu schützen, indem Sie einen starken Benutzernamen und ein Kennwort verwenden und Ihr Blog regelmäßig aktualisieren aktualisiert, unter Verwendung von Plugins und Themen von seriösen Autoren, regelmäßig aktualisiert und unter Verwendung eines Sicherheits-Plugins.

Durch die Implementierung einiger Sicherheitsmaßnahmen können Sie Ihr Blog sichern. Dies ist eine Tatsache. Wenn für Ihre Website jedoch eine Benutzeranmeldung erforderlich ist, sollten Sie eine zusätzliche Sicherheitsmaßnahme implementieren. Sie müssen über den Schutz von Passwörtern nachdenken.

Wie der Twitter-Feuersturm begann

Die 1 Mars 2016, eine WordPress-Entwicklungsagentur namens Roots, hat eine neue Version des Plugins angekündigt WP Passwort bcrypt. Der Artikel, in dem die neue Version des Plugins angekündigt wurde, wurde bei WPTavern veröffentlicht und stand dem WordPress-Entwicklungsteam, das für die Verwaltung der Passwortsicherheit verantwortlich ist, sehr kritisch gegenüber. Das Ergebnis war ein Amoklauf zwischen den Autoren des Artikels und den Mitgliedern, die für die Entwicklung von WordPress verantwortlich sind.

Gewinde-twitter-bcrypt-how securiser-the-Wörter-of-Pass für Wordpress

Die Ursache des Problems liegt in der Tatsache, dass einige Mitglieder der WordPress-Community, wie das Roots-Team, der Ansicht waren, dass der MD5-Hash sofort zugunsten von bcryp gelöscht werden sollte, und dass die Weigerung, dies zu tun, ein mangelndes Engagement zeigte Sicherheit. Das Team, das sich um die Verwaltung der Funktion wp_hash_password kümmert, bleibt jedoch in seiner Position, indem es behauptet, dass das erzielte Ergebnis sicher ist.

Wie die Hash-Passwörter auf Wordpress?

Alles zurück und nur diese Frage zu stellen: Wie Hashing Passwörter funktioniert auf Wordpress?

Das Team, das für die Entwicklung der Funktion wp_hash_password verantwortlich ist, verwendet das phpass password-Framework. Letzteres durchläuft einen MD8-Hash mit 5 Durchgängen. Wenn der MD5-Hash als unzureichend angesehen wird, verwendet die WordPress-Hash-Funktion nicht nur MD5. Die Funktion wp_hash_password verwendet das Framework, um MD8-Schlüssel mit 5 Durchgängen zu kombinieren und einen Algorithmus zu erstellen, der genauso gut funktioniert. Dies würde jedoch nicht bedeuten, dass es nicht verbessert werden kann.

Wenn phpass verwendet wird, kann eine der folgenden drei Methoden implementiert werden: bcrypt, DES und MD5. Die Entwickler von phpass empfehlen, bcrypt zu verwenden, da es eine der leistungsstärksten der drei Methoden ist. Dann kann nur dann auf DES- oder MD5-Hash zurückgegriffen werden, wenn bcrypt nicht unterstützt wird. aufladen. Durch die Implementierung eines MD5-Hashs kann WordPress jedoch die Kompatibilität mit älteren Hosting-Plattformen aufrechterhalten.

Phpass bietet eine starke Verschlüsselung, die die implementierte Methode nicht berücksichtigt. Wenn bcrypt implementiert ist, dauert es jedoch viel länger als die anderen. Die Wahl der Hashing-Methode hat keinen Einfluss auf die Benutzererfahrung auf den Websites der Benutzer. Wenn eine Person Brute Force startet, wird sie mit einer Datenbank mit Hash-Passwörtern konfrontiert und es dauert länger. Entschlüsseln Sie Passwörter, wenn bcrypt anstelle von MD5 verwendet wird.

Erstellen Sie ganz einfach Ihre Website mit Elementor

Mit Elementor können Sie auf einfache Weise jedes Website-Design mit einem professionellen Look erstellen. Zahlen Sie nicht mehr teuer für das, was Sie selbst tun können. [Kostenlos]

Schließlich räumt Roots ein, dass das Hashing von Passwörtern in WordPress leistungsfähiger ist als in der WPTavern-Version vorgeschlagen, aber die Verwendung von bcrypt erhöht die Sicherheit zusätzlich.

Mit bcrypt Hash-Passwörter auf Wordpress

Es ist eigentlich sehr einfach, mit bcrypt von der Standardfunktion zum Hashing zu wechseln. Die WordPress-Hash-Funktion akzeptiert Plugins, was bedeutet, dass Plugins die Kontrolle über diesen Teil übernehmen können.

Neben dem von Roots entwickelten Plugin gibt es noch weitere Plugins, die bereits im offiziellen WordPress-Plugin-Verzeichnis verfügbar sind und zur Verbesserung der Sicherheit von WordPress beitragen.

1. wp-bcrypt

Wordpress-Plugin-wp-bcrypt

WP-bcrypt wurde von einem unabhängigen Plugin-Entwickler harrym entwickelt. Der Geschäftsführer von dxm arbeitet in London und verwendet WordPress und Ruby on Rails für Webanwendungen.

Sie müssen PH 5.3+ für dieses Plugin verwenden. Um es zu installieren, müssen Sie es nur von WordPress.org herunterladen und installieren.

So installieren (fügen) Sie ein Plugin in WordPress hinzu

2. WP Passwort-Hash

plugin-Wordpress-to-Chop-the-Wörter-to-pass-wp-Hash-Passwort

Suchst du nach den besten WordPress Themes und Plugins?

Laden Sie die besten Plugins und WordPress-Themes auf Envato herunter und erstellen Sie ganz einfach Ihre Website. Schon mehr als 49.720.000 Downloads. [EXCLUSIVE]

WP Passwort-Hash ist ein weiteres Plugin, das Sie auch im Verzeichnis der WordPress-Plugins finden. Dieses Plugin wurde von einem unabhängigen Entwickler auch in Deutschland erstellt. Er heißt Ninos Ego. Sie können das Plugin aus dem WordPress-Plugin-Verzeichnis herunterladen und auf die gleiche Weise installieren.

Sie benötigen außerdem eine PHP 5.3-Umgebung, um das Plugin verwenden zu können.

3. WP Passwort bcrypt

plugin-Wordpress-wp-Passwort-bcrypt-to-Hash-of-word-of-Pass

Le bcrypt Plugin vom Roots Team unterscheidet sich ein wenig von den anderen Plugins, die im WordPress-Plugins-Verzeichnis verfügbar sind. Die beiden im WordPress-Plugins-Verzeichnis verfügbaren Plugins verwenden das phpass-Framework wie auch den WordPress-Kernel, verwenden jedoch die bcrypt-Methode anstelle von MD5.

Das Roots-Team-Plugin verwendet kein Phpass. Stattdessen werden die Funktionen password_hash und password_verify verwendet, die in PHP Version 5.5 verfügbar sind. Es wird daher normal, dass Sie eine PHP-Version 5.5 ausführen müssen, um das Plugin zu verwenden.

Wie das Plugin zu installieren

Der Entwickler empfiehlt, das Plugin im unverzichtbaren Verzeichnis "mu-plugins" zu installieren, damit Benutzer es nicht deaktivieren können. Wenn Sie noch nie mit "must-use" -Plugins gearbeitet haben (Plugins sollte in jeder Situation arbeiten) müssen Sie den Ordner erstellen. Sie können hierfür einen FTP-Client verwenden. Sogar der FTP-Client von Windows 10 wird es schaffen.

So verwenden Sie FTP auf Windows 10

Alles was Sie als nächstes tun müssen, ist das herunterzuladen Plugin auf Github.

Github-Download-bcrypt-plugin-Wordpress-to-Hash-of-word-of-Pass

Nachdem Sie den Inhalt der Datei extrahiert haben, können Sie ihn mit dem FTP-Client an den Ordner mu-plugins senden.

Erstellen Sie einfach Ihren Online-Shop

Laden Sie kostenlos WooCommerce herunter, die besten E-Commerce-Plugins, um Ihre physischen und digitalen Produkte auf WordPress zu verkaufen. [Empfohlen]

ftp-Senden-plugin-bcrypt-in-the-mu-plugins-Ordner

Sie werden sehen, dass das Plugin in "Must-Use" -Plugins angezeigt wird und nicht deaktiviert werden kann.

plugins-Must-use-on-Wordpress

Das war's für dieses Tutorial, wie man Passwort-Hashing in WordPress komplexer macht. Wenn Sie Fragen haben, können Sie unten einen Kommentar hinterlassen.

Dieser Artikel enthält Kommentare 0

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Diese Website verwendet Akismet, um unerwünschte Inhalte zu reduzieren. Erfahren Sie mehr darüber, wie Ihre Kommentardaten verwendet werden.

Zurück nach oben
3 Aktien
Aktie2
tweet
Registrieren1