Khi chúng ta nói về bảo mật mật khẩu, chúng ta thường đề cập đến độ mạnh của mật khẩu của bạn và liệu nó có thể dễ dàng bị tin tặc đoán ra hay không. Tuy nhiên, một khía cạnh của bảo mật mật khẩu mà ít người nói đến là cách mật khẩu được lưu trữ trong cơ sở dữ liệu. Trong WordPress, mỗi mật khẩu thường được ướp muối và chuyển qua băm MD5 trước khi nó được lưu trữ trong cơ sở dữ liệu. Nó có vẻ ổn và an toàn cho đến khi bạn phát hiện ra rằng thuật toán MD5 được biết là có nhiều lỗ hổng bảo mật. Theo Viện Kỹ thuật Phần mềm CMU, MD5 về cơ bản là “ bị hỏng về mặt mật mã và không thích hợp để sử dụng thêm. ”
Vậy bạn có thể làm gì để cải thiện bảo mật mật khẩu WordPress của mình? Câu trả lời là sử dụng thuật toán bycrpt, đặc biệt là với plugin wp-password-bcrypt.
bcrypt dựa trên mật mã Blowfish và là một hàm thích ứng. Điều này có nghĩa là theo thời gian, số lần lặp lại có thể được tăng lên để làm cho nó chậm hơn, do đó, nó vẫn có khả năng chống lại các cuộc tấn công tìm kiếm thô bạo ngay cả khi sức mạnh tính toán ngày càng tăng.
May mắn thay, ngay cả khi bạn không có kỹ thuật, bạn có thể dễ dàng nâng cấp hệ thống WordPress của mình để thay thế băm MD5 bằng thuật toán bcrypt.
1. Phải truy cập trang Github của wp-password-bcrypt và nhấp vào nút “Sao chép hoặc tải xuống” để tải tệp ZIP xuống màn hình của bạn.
2. Giải nén tệp zip và mở thư mục đã giải nén. Tất cả những gì bạn cần là tệp “wp-password-bcrypt.php”.
3. Với chương trình FTP (hoặc cPanel) của bạn, hãy kết nối với máy chủ WordPress của bạn và tạo một thư mục “mu-plugins” trong thư mục “wp-content”. Đây còn được gọi là thư mục “Phải sử dụng plugin” và tất cả các plugin được đặt trong thư mục này sẽ tự động được kích hoạt. Nếu thư mục “mu-plugins” đã tồn tại, hãy bỏ qua bước này.
4. Tải tệp “wp-password-bcrypt.php” lên thư mục “mu-plugins” này và bạn đã hoàn tất.
Những gì plugin “wp-password-bcrypt” thực hiện là băm lại mật khẩu bằng bcrypt và lưu trữ nó trong cơ sở dữ liệu bất cứ khi nào người dùng đăng nhập vào hệ thống. Không yêu cầu cấu hình và mọi thứ chỉ hoạt động ở chế độ nền. Cũng xin lưu ý rằng nếu trang web của bạn có nhiều người dùng không hoạt động, những người đã không đăng nhập trong một thời gian dài, mật khẩu của họ sẽ vẫn sử dụng hàm băm MD5.
Cuối cùng, để gỡ cài đặt plugin, tất cả những gì bạn phải làm là xóa nó khỏi thư mục “mu-plugins”. Không có hậu quả tiêu cực và mọi thứ sẽ tiếp tục hoạt động như bình thường.
Kết luận
Người dùng hoàn toàn vô ích khi làm mọi cách để tự bảo vệ mình nếu hệ thống không an toàn ngay từ đầu. Bằng cách chuyển sang sử dụng thuật toán bcrypt, bạn có thể nhanh chóng và dễ dàng cải thiện bảo mật mật khẩu WordPress của mình và ngăn tài khoản người dùng của bạn dễ bị bẻ khóa (giả sử họ cũng đang sử dụng mật khẩu mạnh).