homefinance blog
El núcleo de WordPress es seguro, pero puede hacer las contraseñas almacenadas en la base de datos de su sitio y más segura actualizando desde el hash de contraseña basado en MD5. Aunque algunos podrían decir lo contrario, el núcleo de WordPress es realmente seguro y no es tan difícil mantener su sitio de WordPress a salvo de los ataques más comunes, utilizando un nombre de usuario de administrador único y una contraseña segura, manteniendo el software básico actualizado, utilizando complementos y temas de autores reputados y mantenerlos actualizados y utilizando un buen complemento de seguridad. La implementación de solo unas pocas medidas de seguridad adicionales garantizará que la seguridad de su sitio tienda a la extremidad superior de la curva de campana de seguridad. Sin embargo, si su sitio requiere la autenticación del usuario, hay un problema de seguridad adicional del sitio en el que debe pensar: encriptar contraseña.
Cómo iniciar una tormenta de Firestorm de Twitter … El 1 de marzo de 2016, la Agencia de Desarrollo de Roots de WordPress anunció el lanzamiento del complemento BCRYPT WP Password. La publicación que anunció el lanzamiento del complemento fue cubierto por WP Tavern y fue muy crítico con el equipo de desarrollo básico de WordPress con la administración de la función de hash de contraseña. El resultado fue una pequeña tormenta de Twitter a escala entre el autor de la publicación y el equipo de desarrollo básico de WordPress. @Swalkinshaw @retlehs @tw2113 @themesurgeon @helenoh mili, así que sí, su publicación del 1 de marzo es, desafortunadamente, alarmista y mal.
– Andrew Nacin (@nacin) 19 de marzo de 2016 La esencia del problema era que algunos miembros de la comunidad de WordPress, como las raíces, creían que el hashing MD5 debería abandonarse inmediatamente a favor de BCrypt y que el no complemento con esto ha mostró una falta de compromiso con la seguridad de la contraseña. Sin embargo, el equipo que administra la función wp_hash_password afirmó que la función ha producido resultados que han sido seguros como son. ¿Cómo funciona la contraseña de WordPress? Todo esto va y respalda la pregunta: ¿Cómo encrypt WordPress contraseñas? La función básica básica de WordPress WP_HASH_PASSDORD utiliza el hash de contraseña de Phppass y ocho hashing basado en MD5. Si bien el hashing MD5 en sí es prácticamente inútil, la función de hash de la contraseña de WordPress no es un simple hashing MD5. La función wp_hash_password utiliza la trama PhPass para combinar la extensión de los ocho pases MD5 para producir un algoritmo de hash que es realmente lo suficientemente bueno. Sin embargo, eso no significa que no pueda ni debe mejorarse.
Al usar PHPPass, se puede implementar uno de los tres métodos de hash: BCrypt, DES y MD5. La recomendación hecha por el desarrollador de PhPass es usar BCRYPT, porque es el más fuerte de los tres y recurre al hashing basado en DES o MD5 solo si no se acepta BCRYPT. Sin embargo, al implementar el hash basado en MD5, WordPress puede mantener la compatibilidad con las antiguas plataformas de alojamiento. PhPass proporciona un cifrado de contraseña sólida, independientemente del método de hashing implementado. Sin embargo, cuando se implementa BCRYPT, se necesita mucho más para calcular un hash que cuando se implementan otros métodos. Elegir el método de Hashing no afecta la experiencia de los usuarios del sitio web y, si alguien intenta abrirse camino a través de una base de datos de contraseña, llevará mucho más tiempo descifrar las contraseñas si se ha utilizado BCRYPT que si se trataba de hashm. usó.
Finalmente, el equipo de Roots reconoció que el hash de la contraseña de WordPress era más fuerte que sugerir su publicación original, pero afirmó que el hash de Bcrypt era significativamente más seguro que el equipo base de WordPress, una declaración que está respaldada por mi investigación en el problema.¿Por qué el hashing de Hashing importa casi todas las recomendaciones de seguridad que escuche sobre WordPress tiene para fortalecer una instalación de WordPress para dificultar la infiltración?Sin embargo, hay un tipo de amenaza muy diferente, especialmente para los sitios web de WordPress alojados en servidores compartidos.¿Qué sucede si el servidor en sí está comprometido y la base de datos de WordPress está copiada?Su instalación de WordPress puede ser sólida, pero si se omiten las medidas de seguridad de su host, la base de datos podría copiarse sin su sitio nunca.
Si esto sucede, todos los datos de texto simples en su base de datos serán leídos fácilmente por cualquier persona que haya pasado por alto sus medidas de seguridad de host. Solo los datos que no se almacenan en el texto simple, como las contraseñas de sus usuarios, aún estarán protegidos. La seguridad de esas contraseñas encriptadas dependería de la potencia del método de hash utilizado para cifrar las contraseñas. Si bien el método de hashing estándar incorporado en WordPress es bastante bueno, BCrypt es mejor. Puede parecer trivial preocuparse por el hash de contraseña cuando la base de datos se vio comprometida. Obviamente, si esto sucede, el método de hashing puede ser lo último que tiene en mente. Sin embargo, mantener las contraseñas de los usuarios seguras incluso una vez que están en manos de los piratas informáticos es extremadamente importante. Más de la mitad de los usuarios de Internet reutilizan la misma contraseña para la mayoría o para todas sus cuentas. Entonces, si alguien llega a la base de datos de su sitio web y puede descifrar contraseñas, tendrá al menos dos información importante: las direcciones de correo electrónico de los usuarios y las contraseñas que usaron para crear sus cuentas en su sitio. Armados con estas dos información, podrán obtener acceso a cuentas de redes sociales, cuentas de correo electrónico y otras cuentas en línea de cualquier usuario que haya cometido el error de reutilizar la misma contraseña una y otra vez.
El uso del hash de la contraseña BCrypt es realmente fácil de mover de la función de hashing estándar a BCRYPT. La función Hashing WordPress está conectada, lo que significa que los complementos pueden hacerse cargo de la función de hashing de contraseña. Además del complemento desarrollado y anunciado por Roots, ya hay dos complementos en los complementos oficiales de WordPress que reemplazan el método de hashing estándar con BCRYPT Hashing.wp-BCrypt han sido creados por el desarrollador de complementos Harrym, alias Harry Metcalfe, gerente general de DXW de DXW Obras, una agencia de desarrollo web de WordPress y Ruby on Rails en Londres.
Deberá ejecutar PHP 5.3+ para ejecutar este complemento. Para instalarlo, descargue la carpeta Plugins de WordPress.org e instálela manualmente, o busque desde los complementos> Agregar nuevo al área de administración de WordPress.
Otra opción en WordPress Plugin Director es la contraseña de hash WP. Este complemento fue creado por un desarrollador independiente de complementos en Alemania, llamado Ninos Ego. Puede descargar el archivo de complemento de wordpress.org e instalarlo manualmente, o buscarlo desde complementos> Agregar nuevo al área de administración de WordPress. La misma limitación de la versión PHP que se aplica al complemento WP BCRYPT también se aplica a este complemento. Por lo tanto, deberá ejecutar PHP 5.3 o una versión posterior para usarla.
El complemento BCrypt de Roots es un poco diferente de los complementos disponibles en los complementos de WordPress. Ambos complementos del director de complementos de WordPress usan el mismo marco de phpass que el núcleo de WordPress, pero la actualización del hashing en función de MD5 a BCRYPT. Roots Plugin no se basa en Phppass. En su lugar, utiliza las funciones Password_hash y Password_verify incorporadas en PHP 5.5+. Como resultado, debe ejecutar PHP 5.5 o una versión más alta para usar este complemento. El complemento está disponible como una biblioteca de compositor. Si ya está utilizando el compositor, cargar el complemento con el compositor es la forma más sencilla de comenzar a ejecutar. Si no usa el compositor para administrar su instalación de WordPress (y la gran mayoría de nuestros lectores probablemente no lo usan), puede instalar el complemento manual. Complementos para que los usuarios no puedan deshabilitarlo. Si nunca ha trabajado con complementos obligatorios, deberá crear el director. Use solo un cliente FTP para acceder al director de contenido WP y cree un nuevo director llamado MU-Plugins. Si desea instrucciones más detalladas, nuestro manual de WordPress lo cubrirá. Paso 2: Descargue el archivo de complemento del complemento GitHub no está disponible en WordPress Plugin Director. En cambio, está alojado en GitHub y está disponible para descarga gratuita. Vaya a la página del complemento en GitHub y haga clic en Descargar zip. El complemento se descargará como un archivo en formato zip en su computadora.
Paso 3: Instale el complemento primero, busque la carpeta del complemento ZIP descargada en su computadora. Luego extraiga el archivo local a su computadora. Luego use un cliente FTP para copiar el archivo llamado WP-Password-BcRypt.php en el directorio MU-Plugins en el servidor web. Nota: A diferencia de la mayoría de los complementos hechos a mano, no desea copiar la carpeta completa en el servidor. Asegúrese de copiar solo el archivo llamado WP-Password-Bcrypt.php y asegúrese de copiarlo directamente a Mu-Plugins. La placa se activará automáticamente. Si visita complementos> Plugins instalados y hace clic en Must-Reuse, verá que el complemento BCRYPT BCRYPT WP ahora está activado.
La controversia puede ser una buena confrontación entre los desarrolladores básicos de Roots y WordPress ha sacado a la luz el tema del hash de contraseña. Ahora que el polvo se ha asentado, sabemos dos cosas:
La función de hash incluida en el núcleo de WordPress es muy buena.
La actualización en Hashing BCrypt es fácil y hace que el hashing de contraseña en WordPress sea aún mejor.
¿Qué piensas? ¿Vale la pena actualizar a BCRYPT Password Hashing o permanecerá con la función estándar wp_hash_password? Cuéntanos lo que piensas en los comentarios a continuación. Etiquetas:
clave
Seguridad de WordPress
Mejorar el hashing de contraseña de WordPress con BCRPT
Tags Mejorar el hashing de contraseña de WordPress con BCRPT
