Khi chúng ta nói về bảo mật mật khẩu, chúng ta thường đề cập đến sức mạnh của mật khẩu của bạn và liệu nó có thể dễ dàng đoán được bởi tin tặc hay không. Tuy nhiên, một khía cạnh của bảo mật mật khẩu mà ít người nói đến là cách mật khẩu được lưu trữ trong cơ sở dữ liệu. Trong WordPress mỗi mật khẩu thường được ướp muối và vượt qua băm MD5 trước khi nó được lưu trữ trong cơ sở dữ liệu. Nó có vẻ tốt và an toàn cho đến khi bạn phát hiện ra rằng thuật toán MD5 được biết là bị lỗ hổng mở rộng. Theo CMU Software Engineering Institute, MD5 về cơ bản là “ bị phá vỡ về mặt mã hóa và không phù hợp để sử dụng tiếp.

Vậy bạn có thể làm gì để cải thiện bảo mật mật khẩu WordPress của mình? Câu trả lời là sử dụng thuật toán bycrpt, đặc biệt với plugin wp-password-bcrypt.

bcrypt dựa trên mật mã Blowfish và là một chức năng thích ứng. Điều này có nghĩa rằng theo thời gian, số lần lặp lại có thể tăng lên để làm cho nó chậm hơn, do đó nó vẫn có khả năng chống lại các cuộc tấn công tìm kiếm vũ phu ngay cả khi tăng sức mạnh tính toán.

May mắn thay, ngay cả khi bạn không có khả năng về mặt kỹ thuật, bạn có thể dễ dàng nâng cấp hệ thống WordPress của mình để thay thế băm MD5 bằng thuật toán bcrypt.

1. Đã đến trang Github của wp-password-bcrypt và nhấp vào nút “Sao chép hoặc tải xuống” để tải xuống tệp ZIP vào màn hình của bạn.

2. Giải nén tập tin zip và mở thư mục đã giải nén. Tất cả những gì bạn cần là tệp “wp-password-bcrypt.php”.

3. Với chương trình FTP của bạn (hoặc cPanel) kết nối với máy chủ WordPress của bạn và tạo một thư mục "mu-plugins" trong thư mục "wp-content". Thư mục này còn được gọi là thư mục “Phải sử dụng plugin” và tất cả các plugin được đặt trong thư mục này sẽ được kích hoạt tự động. Nếu thư mục "mu-plugins" đã tồn tại, hãy bỏ qua bước này.

4. Tải tập tin “wp-password-bcrypt.php” lên thư mục “mu-plugins” và bạn đã hoàn thành.

Plugin “wp-password-bcrypt” làm gì là băm mật khẩu bằng bcrypt và lưu nó vào cơ sở dữ liệu bất cứ khi nào người dùng đăng nhập vào hệ thống. Không có cấu hình cần thiết, và tất cả mọi thứ chỉ đơn giản là làm việc trong nền. Cũng lưu ý rằng nếu trang web của bạn có nhiều người dùng không hoạt động đã không đăng nhập trong một thời gian dài, mật khẩu của họ sẽ vẫn sử dụng hàm băm MD5.

Cuối cùng, để gỡ cài đặt plugin, tất cả những gì bạn phải làm là xóa nó khỏi thư mục "mu-plugins". Không có hậu quả tiêu cực, và mọi thứ sẽ tiếp tục hoạt động như bình thường.

Phần kết luận

Hoàn toàn vô dụng khi người dùng làm mọi thứ có thể để tự bảo vệ mình nếu hệ thống không an toàn ngay từ đầu. Bằng cách chuyển sang sử dụng thuật toán bcrypt, bạn có thể nhanh chóng và dễ dàng cải thiện bảo mật mật khẩu WordPress của mình và ngăn tài khoản người dùng của bạn dễ bị bẻ khóa (giả sử họ đang sử dụng mật khẩu mạnh).

Tín dụng hình ảnh: Tệp mật khẩu Linux