網(wǎng)站所有者喜歡 WordPress。以至于大約 40%的人選擇它作為他們在線項目的基礎(chǔ)。然而，您可能會驚訝地發(fā)現(xiàn)，有些人不太了解世界上最流行的內(nèi)容管理系統(tǒng)(CMS) 的工作原理。也許更令人擔(dān)憂的是，他們擔(dān)心 WP 安全性的某些方面，更具體地說，是散列用戶密碼的機制。讓我們更詳細地探索該領(lǐng)域，看看批評是否成立。

什么是哈希？

作為網(wǎng)站所有者，您有責(zé)任保護用戶數(shù)據(jù)免受黑客攻擊。存儲他們的密碼是其中的一個重要部分。想象一下，黑客設(shè)法突破了您的防御并竊取了您網(wǎng)站的數(shù)據(jù)庫。這已經(jīng)是一場噩夢，因為根據(jù)您提供的服務(wù)類型，您的數(shù)據(jù)庫可能充滿了敏感信息。

但是，情況可能會變得更糟。如果您以純文本形式存儲用戶密碼，那么絕對沒有什么可以阻止黑客利用它們。我們都知道人們在多個不同的帳戶上重復(fù)使用相同的密碼。如果犯罪分子決定針對其他在線服務(wù)嘗試竊取的憑據(jù)，他們很有可能成功侵入。一次泄露可能導(dǎo)致大量數(shù)據(jù)泄露。

散列的目的是包含所有這些。散列是一種加密函數(shù)，可將文本轉(zhuǎn)換為由字母和數(shù)字組成的亂碼，稱為散列。當(dāng)用戶選擇密碼時，Web 應(yīng)用程序?qū)⑵渫ㄟ^散列函數(shù)傳遞，然后將生成的散列存儲到數(shù)據(jù)庫中。

下次用戶嘗試登錄時，他們輸入的密碼會通過相同的機制，并將哈希值與存儲在數(shù)據(jù)庫中的內(nèi)容進行比較。如果匹配，則系統(tǒng)允許用戶進入。如果不匹配，則網(wǎng)站返回錯誤。

有一些在線生成器可以說明 WordPress 密碼哈希的樣子。下面你可以根據(jù)Code Beautify 的生成器看到“Password123!#”的哈希值。散列的關(guān)鍵在于它是一種單向函數(shù)。理論上，應(yīng)該不可能逆轉(zhuǎn)該過程并從哈希中導(dǎo)出純文本密碼。

然而，通常情況下，理論和現(xiàn)實并不匹配。有許多不同的散列算法，其中一些提供比其他更好的安全性。隨著硬件的發(fā)展，黑客的蠻力攻擊變得越來越強大，我們已經(jīng)到了只有少數(shù)算法被認為足以正確保護用戶密碼的地步。

您可能需要一些幫助才能了解某些散列機制比其他機制強多少。為了說明差異，像Jeremi Gosney這樣的專家經(jīng)常模擬針對流行散列算法的各種攻擊，并在專門用于密碼安全的活動中分享結(jié)果。

2012年，Gosney 使用一組 GPU 對幾種哈希算法的簡單實現(xiàn)發(fā)起暴力攻擊。我們現(xiàn)在將總結(jié)三種最流行的機制的結(jié)果。在對MD5 算法的攻擊中，Gosney每秒進行了 1800 億次猜測。有了這個，他將在九個多小時內(nèi)成功猜出所有可能的 8 個字符的密碼。

在攻擊SHA1時，Gosney每秒進行大約 610 億次猜測，這將使他能夠在大約 27 小時內(nèi)成功猜出所有 8 個字符的密碼。

在攻擊bcrypt時，他每秒只能進行71000 次猜測，這意味著他需要2700 年才能成功猜出所有可能的 8 個字符的密碼。

上面的數(shù)字是用現(xiàn)在大約十年前的 GPU 記錄的。現(xiàn)代硬件功能更強大，可以實現(xiàn)更快的蠻力攻擊。然而，Gosney 的結(jié)果在說明MD5 和 bcrypt 等算法之間的差異方面一如既往地出色。你會認為世界上最受歡迎的 CMS WordPress 會使用一種更難破解的算法。你可能會大吃一驚。

WordPress 使用什么類型的散列？

WordPress 最初有一個簡單的 MD5 散列算法實現(xiàn)。與許多競爭對手相比，MD5 有一個明顯的優(yōu)勢——速度非常快。然而，即使早在 2007 年，針對 MD5 哈希的碰撞攻擊在普通 PC 上花費的時間也不超過幾秒鐘。不用說，當(dāng)時 WP 的開發(fā)團隊因使用該算法而獲得了很多支持。

WordPress 2.5 于 2008 年發(fā)布，附帶PHPass（發(fā)音為 PH-Pass）。PHPass 是一個散列框架，支持多種散列算法，包括 MD5 和bcrypt。正如我們在上一節(jié)中建立的，bcrypt 比 MD5 強大得多，并且被廣泛認為是 PHP 應(yīng)用程序的最佳哈希算法。

然而，WP 的 PHPass 實現(xiàn)至今仍在使用 MD5。在這一點上，我們需要強調(diào)一個事實，盡管 WordPress 的散列機制是基于 MD5 的，但它提供了足夠的安全性。

PHPass在散列之前為每個密碼添加加密鹽。鹽是在使用散列機制之前附加到純文本密碼的唯一數(shù)據(jù)。多虧了它，相同的密碼不會產(chǎn)生相同的哈希值，并且黑客很難猜測用戶選擇的密碼是什么。此外，PHPass 進行了八次基于 MD5 的散列，并采用密鑰和密碼拉伸技術(shù)進一步保護憑據(jù)。由于這一切，對 WordPress 散列機制的暴力攻擊是不切實際的。目前，就是這樣。

為什么 WordPress 繼續(xù)使用 MD5？

稍微倒帶一下，您會發(fā)現(xiàn)在 PHP 項目中實現(xiàn)一個強大的散列算法并不完全是在公園里散步。然而，PHP 5.5 引入了對 bcrypt 的官方支持，具有用于哈希密碼和在登錄嘗試期間驗證它們的本機函數(shù)。WordPress 的散列機制目前確實提供了足夠的安全性。盡管如此，許多人仍然認為，鑒于可以在沒有太多麻煩的情況下實施的更強大的算法的可用性，保持原樣是沒有意義的。

然而，WordPress 的開發(fā)團隊似乎奇怪地不愿意對核心的這個特定部分進行任何更改。這樣做的原因是向后兼容。WordPress 保持其受歡迎程度并繼續(xù)擴大其市場份額，不僅因為它的用途廣泛且易于使用，而且因為它幾乎可以在任何托管平臺上運行。太多的人使用遺留系統(tǒng)來構(gòu)建新項目，并且許多現(xiàn)有的網(wǎng)站在非常過時的托管環(huán)境中運行。

舊軟件使這些項目成為黑客的避風(fēng)港，因此 WP 的散列機制可能是他們最不擔(dān)心的問題，特別是考慮到它提供的良好安全性。CMS 的開發(fā)人員知道更改散列機制可能會影響很多項目，他們不愿意這樣做。

這是“如果它沒有損壞，就不要修復(fù)它”策略的例證，您必須同意，特別是考慮到可能受到影響的人數(shù)眾多，其背后有一些邏輯。但是，許多網(wǎng)站所有者認為安全是組織項目各個方面的最高優(yōu)先級。對他們來說，使用基于像 MD5 這樣弱的算法的散列機制還不夠好。對他們來說幸運的是，還有其他選擇。

使用插件更改 WordPress 網(wǎng)站的哈希算法

得益于WP 的模塊化架構(gòu)，您可以輕松更改網(wǎng)站的密碼存儲系統(tǒng)。在 WP 的官方插件目錄中搜索“bcrypt”，你會發(fā)現(xiàn)相當(dāng)多的匹配項。安裝它們是一個標準的、兩次點擊的工作，而且?guī)缀跛腥硕汲兄Z從 MD5 切換到 bcrypt 而不告訴所有用戶重置他們的密碼。Roots.io是一家創(chuàng)建各種WordPress 開發(fā)工具的公司，也有一個插件可以讓您使用 bcrypt。但是官方目錄上沒有，所以安裝過程不一樣。讓我們按照步驟操作。

1. 從 GitHub 下載插件。

Roots 的插件可在此處獲得。要下載它，請單擊代碼，然后選擇下載 ZIP。在您的計算機上保存文件后，您需要解壓縮存檔。

2. 在 wp-content 文件夾中創(chuàng)建一個新目錄。

Roots 創(chuàng)建的插件需要在“wp-content”目錄下創(chuàng)建一個名為“mu-plugins”的文件夾。您可以通過 SSH、網(wǎng)絡(luò)托管控制面板中的文件管理器或您最喜歡的 FTP 客戶端來完成。

3. 上傳 wp-password-bcrypt.php 文件。

要安裝和激活插件，請將“wp-password-bcrypt.php”文件上傳到“mu-plugins”文件夾。

注意：您不需要上傳存檔的全部內(nèi)容。只需要 PHP 文件。

該插件將出現(xiàn)在必須使用選項卡下的插件>已安裝插件菜單中。因為 Roots.io 的插件是所謂的必備插件之一，它會在安裝時自動激活，用戶無法從 WordPress 儀表板停用它。擺脫它的唯一方法是將它從 mu-plugins 目錄中刪除，因此如果多個人可以訪問WP 儀表板并且您想確保他們不會干預(yù)網(wǎng)站的內(nèi)容，那么使用它是一個好主意密碼哈希機制。

所有 bcrypt WP 插件都在后臺運行，你不能期待任何不同的特性或功能。但是，插件解決問題的方式有所不同。一些使用原生 PHP 函數(shù)來散列和驗證密碼，而另一些則重新配置 PHPass 框架以使用 bcrypt 而不是 MD5。在所有情況下，您都需要PHP 5.5 或更新版本，無論如何您都應(yīng)該使用它。插件的選擇取決于個人喜好。如果它們在您看來都一樣，請務(wù)必閱讀評論并了解使用它們的人的想法。

結(jié)論

盡管 WP 的密碼存儲系統(tǒng)不是基于當(dāng)前可用的最安全的哈希算法，但不會對您的網(wǎng)站及其訪問者的安全造成直接威脅。然而，WP 的模塊化架構(gòu)和使項目保持活力的全球社區(qū)意味著您只需單擊幾下鼠標就可以使用更復(fù)雜的密碼哈希算法。說相同的架構(gòu)和社區(qū)使 WordPress 成為世界上最流行的網(wǎng)站建設(shè)應(yīng)用程序，你不會錯。