Улучшение безопасности Wordpress с помощью плагина Wp-Password-Bcrypt

На этой неделе, команда разработчиков Roots выпустила плагин Wp-Password-Bcrypt, использующий Bcrypt хеширование паролей, вместо MD5. Известные эксплуатационные слабости MD5 делают его не пригодным для дальнейшего использования.

Использовать функции MD5 хеширования с добавлением «соли» небезопасно. MD5 имеет не только некоторые уязвимости, но и фундаментальные проблемы: в нем слишком легко и быстро вычислить хеш.

Bcrypt, с другой стороны, гораздо медленнее, чем MD5, что делает его расчеты более дорогими. Этот сильный метод хеширования паролей встроен в PHP 5.5, но Wordpress поддерживает 5.2.4 в качестве минимально требуемой версии. Это не позволяет использовать в Wordpress новую функцию ‘password_hash’.

Если вы хотите реализовать безопасный метод хеширования пароле Bcrypt на своем Wordpress сайте, вы можете воспользоваться плагином Wp-Password-Bcrypt. Он будет надежно защищать вашу базу данных. Если она попадет в чужие руки, злоумышленникам понадобиться гораздо больше времени и сил, чтобы подобрать пароль, хешированный Bcrypt.

Плагин автоматически меняет хеш паролей на Bcrypt, каждый раз, когда пользователь входит в систему. Если пользователь никогда не входит, то пароль остается хешированным MD5. Плагин работает в фоновом режиме, поэтому может быть удален без негативных последствий.