เมื่อเราพูดถึงความปลอดภัยของรหัสผ่าน เรามักจะอ้างถึงความเข้มงวดของรหัสผ่านของคุณและไม่ว่าแฮกเกอร์จะเดาได้ง่ายหรือไม่ อย่างไรก็ตาม แง่มุมหนึ่งของความปลอดภัยของรหัสผ่านที่ไม่ค่อยมีคนพูดถึงคือวิธีที่รหัสผ่านถูกจัดเก็บไว้ในฐานข้อมูล ใน WordPress แต่ละรหัสผ่านมักจะถูกใส่เกลือและส่งต่อผ่านการแฮช MD5 ก่อนที่จะถูกจัดเก็บไว้ในฐานข้อมูล ดูเหมือนว่าจะดีและปลอดภัยจนกว่าคุณจะพบว่าอัลกอริทึม MD5 นั้นเป็นที่รู้จักว่ามีช่องโหว่มากมาย ตามที่ CMU Software Engineering Institute ระบุว่า MD5 นั้น “ใช้งานไม่ได้ในเชิงการเข้ารหัสและไม่เหมาะสำหรับการใช้งานต่อไป ”
คุณทำอะไรได้บ้างเพื่อปรับปรุงความปลอดภัยของรหัสผ่าน WordPress? คำตอบคือใช้อัลกอริทึม bycrpt โดยเฉพาะกับปลั๊กอิน wp-password-bcrypt
bcrypt อิงตามรหัส Blowfish และเป็นฟังก์ชันที่ปรับเปลี่ยนได้ ซึ่งหมายความว่าเมื่อเวลาผ่านไป จำนวนการวนซ้ำจะเพิ่มขึ้นเพื่อทำให้ช้าลง ดังนั้นจึงยังคงต้านทานการโจมตีด้วยการค้นหาด้วยกำลังดุร้าย แม้จะมีพลังในการคำนวณเพิ่มขึ้น
โชคดีที่แม้ว่าคุณจะไม่มีความสามารถทางเทคนิค แต่คุณสามารถอัพเกรดระบบ WordPress ของคุณได้อย่างง่ายดายเพื่อแทนที่การแฮช MD5 ด้วยอัลกอริธึม bcrypt
1. ไปที่หน้า Github ของ wp-password-bcrypt แล้วคลิกปุ่ม “โคลนหรือดาวน์โหลด” เพื่อดาวน์โหลดไฟล์ ZIP ไปยังเดสก์ท็อปของคุณ
2. แตกไฟล์ zip และเปิดโฟลเดอร์ที่แยกออกมา สิ่งที่คุณต้องมีคือไฟล์ “wp-password-bcrypt.php”
3. ด้วยโปรแกรม FTP (หรือ cPanel) ให้เชื่อมต่อกับเซิร์ฟเวอร์ WordPress และสร้างโฟลเดอร์ "mu-plugins" ใต้โฟลเดอร์ "wp-content" สิ่งนี้เรียกอีกอย่างว่าโฟลเดอร์ “ต้องใช้ปลั๊กอิน” และปลั๊กอินทั้งหมดที่อยู่ในโฟลเดอร์นี้จะเปิดใช้งานโดยอัตโนมัติ หากมีโฟลเดอร์ “mu-plugins” อยู่แล้ว ไม่ต้องสนใจขั้นตอนนี้
4. อัปโหลดไฟล์ “wp-password-bcrypt.php” ไปยังโฟลเดอร์ “mu-plugins” เท่านี้ก็เสร็จเรียบร้อย
สิ่งที่ปลั๊กอิน "wp-password-bcrypt" ทำคือการแฮชรหัสผ่านอีกครั้งโดยใช้ bcrypt และจัดเก็บไว้ในฐานข้อมูลทุกครั้งที่ผู้ใช้เข้าสู่ระบบ ไม่จำเป็นต้องมีการกำหนดค่าใดๆ และทุกอย่างก็ทำงานในพื้นหลังได้ง่ายๆ โปรดทราบว่าหากไซต์ของคุณมีผู้ใช้ที่ไม่ได้ใช้งานจำนวนมากที่ไม่ได้เข้าสู่ระบบเป็นเวลานาน รหัสผ่านของพวกเขาจะยังคงใช้แฮช MD5
สุดท้าย หากต้องการถอนการติดตั้งปลั๊กอิน สิ่งที่คุณต้องทำคือลบออกจากโฟลเดอร์ "mu-plugins" ไม่มีผลเสียใดๆ และทุกอย่างจะยังคงทำงานตามปกติ
บทสรุป
มันไม่มีประโยชน์เลยสำหรับผู้ใช้ที่จะทำทุกวิถีทางเพื่อป้องกันตัวเองหากระบบไม่ปลอดภัยตั้งแต่แรก เมื่อเปลี่ยนไปใช้อัลกอริธึม bcrypt คุณจะสามารถปรับปรุงความปลอดภัยของรหัสผ่าน WordPress ได้อย่างรวดเร็วและง่ายดาย และป้องกันไม่ให้บัญชีผู้ใช้ของคุณถูกถอดรหัสได้ง่าย (สมมติว่าพวกเขาใช้รหัสผ่านที่คาดเดายากเช่นกัน)
