Wanneer we het hebben over wachtwoordbeveiliging, verwijzen we vaak naar de sterkte van uw wachtwoord en of dit gemakkelijk kan worden geraden door hackers. Een aspect van wachtwoordbeveiliging waar weinig mensen over praten, is hoe het wachtwoord in de database wordt opgeslagen. In WordPress wordt elk wachtwoord gewoonlijk gezouten en door MD5-hashen gehaald voordat het in de database wordt opgeslagen. Het lijkt prima en veilig totdat u erachter komt dat bekend is dat het MD5-algoritme grote kwetsbaarheden heeft. Volgens CMU Software Engineering Institute is MD5 in wezen " cryptografisch verbroken en ongeschikt voor verder gebruik.

Dus wat kunt u doen om uw WordPress-wachtwoordbeveiliging te verbeteren? Het antwoord is bycrpt-algoritme gebruiken, met name met de plug-in wp-wachtwoord-bcrypt.

bcrypt is gebaseerd op het Blowfish-cijfer en is een adaptieve functie. Dit betekent dat in de loop van de tijd de iteratietelling kan worden verhoogd om deze langzamer te maken, zodat deze ondanks het toenemende rekenvermogen nog steeds bestand is tegen brute force search-aanvallen.

Gelukkig, zelfs als je technisch niet competent bent, kun je eenvoudig je WordPress-systeem upgraden om MD5-hashing te vervangen door het bcrypt-algoritme.

1. Ga naar de Github-pagina van wp-wachtwoord-bcrypt en klik op de knop "Kloon of download" om het ZIP-bestand naar uw bureaublad te downloaden.

2. Pak het zipbestand uit en open de uitgepakte map. Het enige dat u nodig hebt, is het bestand "wp-password-bcrypt.php".

3. Maak met uw FTP-programma (of cPanel) verbinding met uw WordPress-server en maak een map "mu-plugins" aan in de map "wp-content". Dit staat ook bekend als de map "Must Use Plugins" en alle plug-ins die in deze map worden geplaatst, worden automatisch geactiveerd. Als de map "mu-plugins" al bestaat, negeert u deze stap.

4. Upload het bestand "wp-password-bcrypt.php" naar deze map "mu-plugins" en u bent klaar.

Wat de plug-in "wp-wachtwoord-bcrypt" doet, is het wachtwoord opnieuw versleutelen met bcrypt en het in de database opslaan wanneer een gebruiker zich aanmeldt bij het systeem. Er is geen configuratie vereist en alles werkt gewoon op de achtergrond. Houd er ook rekening mee dat als uw site veel inactieve gebruikers heeft die nog lang niet hebben ingelogd, hun wachtwoorden nog steeds de MD5-hash gebruiken.

Ten slotte, om de plug-in te deïnstalleren, alles wat je hoeft te doen is het te verwijderen uit de map "mu-plugins". Dit heeft geen negatieve gevolgen en alles blijft gewoon werken.

Conclusie

Het is volkomen nutteloos voor gebruikers om alles te doen wat ze kunnen om zichzelf te beschermen als het systeem in de eerste plaats onveilig is. Door over te schakelen op het gebruik van bcrypt-algoritme, kunt u uw WordPress-wachtwoordbeveiliging snel en gemakkelijk verbeteren en voorkomen dat uw gebruikersaccount gemakkelijk kraakbaar is (ervan uitgaande dat ze ook een sterk wachtwoord gebruiken).

Afbeelding credit: Linux wachtwoordbestand