Giới Thiệu, Hướng Dẫn, Tài Liệu

Bảo mật thêm wordpress với Wp-password-bcrypt

Đăng vào bởi superadmin
mat khau

wp-password-bcrypt là một dự án mã nguồn mở và hoàn toàn miễn phí sử dụng.

Tổng quan

wp-password-bcrypt là một plugin WordPress để thay thế hàm băm mật khẩu dựa trên MD5 lỗi thời và không an toàn của WP bằng bcrypt hiện đại và an toàn.

Plugin này yêu cầu PHP >= 5.5.0, được tích hợp các hàm password_hash và password_verify sẵn trong wordpress.

Vấn đề

WordPress vẫn sử dụng một chương trình băm mật khẩu dựa trên MD5. Điều này làm cho 25% các trang web trở nên kém an toàn hơn vì họ từ chối tăng yêu cầu PHP tối thiểu của họ. Bằng cách tiếp tục cho phép các phiên bản PHP EOL trở lại 5.2, họ không thể sử dụng các chức năng mới hơn như password_hash.

Đây là một vấn đề đã biết mà WordPress đã bỏ qua trong hơn 4 năm nay. WordPress không chỉ đặt mặc định không an toàn là MD5 mà còn không thực hiện bất kỳ hành động nào sau đây:

Giải pháp

WordPress đã làm được ít nhất một điều tốt: họ tạo ra các hàm wp_check_passwordcó wp_hash_password thể cắm được . Điều này có nghĩa là chúng ta có thể định nghĩa các hàm này trong một plugin và “ghi đè” các hàm mặc định.

Plugin này bổ sung 3 chức năng:

wp_check_password
wp_hash_password
wp_set_password
wp_hash_password
Chức năng này là đơn giản nhất. Plugin này chỉ gọi password_hashthay cho hàm băm mật khẩu mặc định của WP. wp_hash_password_options Bộ lọc có sẵn để thiết lập các tùy chọn có password_hash thể chấp nhận.

wp_check_password
Về cơ bản, hàm này chỉ gọi password_verify thay vì hàm mặc định. Tuy nhiên, nó cũng kiểm tra xem mật khẩu của người dùng đã được băm trước đó bằng hàm băm dựa trên MD5 cũ hay chưa và băm lại bằng bcrypt. Điều này có nghĩa là bạn vẫn có thể cài đặt plugin này trên một trang web hiện có và mọi thứ sẽ hoạt động liền mạch.

Bộ check_password lọc có sẵn giống như chức năng mặc định của WP.

wp_set_password
Hàm này được bao gồm ở đây theo đúng nghĩa đen nhưng có thêm chức năng trả về hàm băm. Hàm WP mặc định không trả về bất kỳ thứ gì, nghĩa là bạn sẽ băm nó hai lần mà không có lý do gì.

Hành động này wp_set_password có sẵn giống như chức năng WP mặc định.

superadmin

Bài Viết Liên Quan

Redis từ cài đặt đến vận hành: Hướng dẫn đầy đủ và cách xử lý lỗi “Failed listening on port 6379 (tcp)”

Kiểm tra vps bị tấn công sử dụng tài nguyên bất thường

CSF, tường lửa mạnh mẽ và dễ kiểm soát cho server Linux

Lá chắn thầm lặng cho máy chủ trong thời đại bão tấn công mạng

VPS WordPress Bị “Sập” Khi Kết Hợp AI JetBrains + GitHub Copilot — Làm Sao Để “Fix Rẹt Rẹt” Và Ngăn Mã Độc Tấn Công?

WordPress 6.9.1: Bản cập nhật bảo trì quan trọng củng cố nền tảng của nền tảng xuất bản web phổ biến nhất hành tinh

Bài Viết Cùng thể loại

WordPress cập nhật từ 6.9.3 lên 6.9.4 chỉ trong một ngày: Điều gì đã xảy ra và có đáng lo ngại không?

VPS WordPress Bị “Sập” Khi Kết Hợp AI JetBrains + GitHub Copilot — Làm Sao Để “Fix Rẹt Rẹt” Và Ngăn Mã Độc Tấn Công?

WordPress 6.9.1: Bản cập nhật bảo trì quan trọng củng cố nền tảng của nền tảng xuất bản web phổ biến nhất hành tinh

WooCommerce và những hồi chuông cảnh báo bảo mật: Bài học đắt giá cho thương mại điện tử WordPress

Giới thiệu đầy đủ về W3 Total Cache

Giới thiệu WP Super Cache