網(wǎng)站所有者喜歡 WordPress。以至于大約 40%的人選擇它作為他們?cè)诰€項(xiàng)目的基礎(chǔ)。然而，您可能會(huì)驚訝地發(fā)現(xiàn)，有些人不太了解世界上最流行的內(nèi)容管理系統(tǒng)(CMS) 的工作原理。也許更令人擔(dān)憂(yōu)的是，他們擔(dān)心 WP 安全性的某些方面，更具體地說(shuō)，是散列用戶(hù)密碼的機(jī)制。讓我們更詳細(xì)地探索該領(lǐng)域，看看批評(píng)是否成立。

什么是哈希？

作為網(wǎng)站所有者，您有責(zé)任保護(hù)用戶(hù)數(shù)據(jù)免受黑客攻擊。存儲(chǔ)他們的密碼是其中的一個(gè)重要部分。想象一下，黑客設(shè)法突破了您的防御并竊取了您網(wǎng)站的數(shù)據(jù)庫(kù)。這已經(jīng)是一場(chǎng)噩夢(mèng)，因?yàn)楦鶕?jù)您提供的服務(wù)類(lèi)型，您的數(shù)據(jù)庫(kù)可能充滿(mǎn)了敏感信息。

但是，情況可能會(huì)變得更糟。如果您以純文本形式存儲(chǔ)用戶(hù)密碼，那么絕對(duì)沒(méi)有什么可以阻止黑客利用它們。我們都知道人們?cè)诙鄠€(gè)不同的帳戶(hù)上重復(fù)使用相同的密碼。如果犯罪分子決定針對(duì)其他在線服務(wù)嘗試竊取的憑據(jù)，他們很有可能成功侵入。一次泄露可能導(dǎo)致大量數(shù)據(jù)泄露。

散列的目的是包含所有這些。散列是一種加密函數(shù)，可將文本轉(zhuǎn)換為由字母和數(shù)字組成的亂碼，稱(chēng)為散列。當(dāng)用戶(hù)選擇密碼時(shí)，Web 應(yīng)用程序?qū)⑵渫ㄟ^(guò)散列函數(shù)傳遞，然后將生成的散列存儲(chǔ)到數(shù)據(jù)庫(kù)中。

下次用戶(hù)嘗試登錄時(shí)，他們輸入的密碼會(huì)通過(guò)相同的機(jī)制，并將哈希值與存儲(chǔ)在數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行比較。如果匹配，則系統(tǒng)允許用戶(hù)進(jìn)入。如果不匹配，則網(wǎng)站返回錯(cuò)誤。

有一些在線生成器可以說(shuō)明 WordPress 密碼哈希的樣子。下面你可以根據(jù)Code Beautify 的生成器看到“Password123!#”的哈希值。散列的關(guān)鍵在于它是一種單向函數(shù)。理論上，應(yīng)該不可能逆轉(zhuǎn)該過(guò)程并從哈希中導(dǎo)出純文本密碼。

然而，通常情況下，理論和現(xiàn)實(shí)并不匹配。有許多不同的散列算法，其中一些提供比其他更好的安全性。隨著硬件的發(fā)展，黑客的蠻力攻擊變得越來(lái)越強(qiáng)大，我們已經(jīng)到了只有少數(shù)算法被認(rèn)為足以正確保護(hù)用戶(hù)密碼的地步。

您可能需要一些幫助才能了解某些散列機(jī)制比其他機(jī)制強(qiáng)多少。為了說(shuō)明差異，像Jeremi Gosney這樣的專(zhuān)家經(jīng)常模擬針對(duì)流行散列算法的各種攻擊，并在專(zhuān)門(mén)用于密碼安全的活動(dòng)中分享結(jié)果。

2012年，Gosney 使用一組 GPU 對(duì)幾種哈希算法的簡(jiǎn)單實(shí)現(xiàn)發(fā)起暴力攻擊。我們現(xiàn)在將總結(jié)三種最流行的機(jī)制的結(jié)果。在對(duì)MD5 算法的攻擊中，Gosney每秒進(jìn)行了 1800 億次猜測(cè)。有了這個(gè)，他將在九個(gè)多小時(shí)內(nèi)成功猜出所有可能的 8 個(gè)字符的密碼。

在攻擊SHA1時(shí)，Gosney每秒進(jìn)行大約 610 億次猜測(cè)，這將使他能夠在大約 27 小時(shí)內(nèi)成功猜出所有 8 個(gè)字符的密碼。

在攻擊bcrypt時(shí)，他每秒只能進(jìn)行71000 次猜測(cè)，這意味著他需要2700 年才能成功猜出所有可能的 8 個(gè)字符的密碼。

上面的數(shù)字是用現(xiàn)在大約十年前的 GPU 記錄的。現(xiàn)代硬件功能更強(qiáng)大，可以實(shí)現(xiàn)更快的蠻力攻擊。然而，Gosney 的結(jié)果在說(shuō)明MD5 和 bcrypt 等算法之間的差異方面一如既往地出色。你會(huì)認(rèn)為世界上最受歡迎的 CMS WordPress 會(huì)使用一種更難破解的算法。你可能會(huì)大吃一驚。

WordPress 使用什么類(lèi)型的散列？

WordPress 最初有一個(gè)簡(jiǎn)單的 MD5 散列算法實(shí)現(xiàn)。與許多競(jìng)爭(zhēng)對(duì)手相比，MD5 有一個(gè)明顯的優(yōu)勢(shì)——速度非常快。然而，即使早在 2007 年，針對(duì) MD5 哈希的碰撞攻擊在普通 PC 上花費(fèi)的時(shí)間也不超過(guò)幾秒鐘。不用說(shuō)，當(dāng)時(shí) WP 的開(kāi)發(fā)團(tuán)隊(duì)因使用該算法而獲得了很多支持。

WordPress 2.5 于 2008 年發(fā)布，附帶PHPass（發(fā)音為 PH-Pass）。PHPass 是一個(gè)散列框架，支持多種散列算法，包括 MD5 和bcrypt。正如我們?cè)谏弦还?jié)中建立的，bcrypt 比 MD5 強(qiáng)大得多，并且被廣泛認(rèn)為是 PHP 應(yīng)用程序的最佳哈希算法。

然而，WP 的 PHPass 實(shí)現(xiàn)至今仍在使用 MD5。在這一點(diǎn)上，我們需要強(qiáng)調(diào)一個(gè)事實(shí)，盡管 WordPress 的散列機(jī)制是基于 MD5 的，但它提供了足夠的安全性。

PHPass在散列之前為每個(gè)密碼添加加密鹽。鹽是在使用散列機(jī)制之前附加到純文本密碼的唯一數(shù)據(jù)。多虧了它，相同的密碼不會(huì)產(chǎn)生相同的哈希值，并且黑客很難猜測(cè)用戶(hù)選擇的密碼是什么。此外，PHPass 進(jìn)行了八次基于 MD5 的散列，并采用密鑰和密碼拉伸技術(shù)進(jìn)一步保護(hù)憑據(jù)。由于這一切，對(duì) WordPress 散列機(jī)制的暴力攻擊是不切實(shí)際的。目前，就是這樣。

為什么 WordPress 繼續(xù)使用 MD5？

稍微倒帶一下，您會(huì)發(fā)現(xiàn)在 PHP 項(xiàng)目中實(shí)現(xiàn)一個(gè)強(qiáng)大的散列算法并不完全是在公園里散步。然而，PHP 5.5 引入了對(duì) bcrypt 的官方支持，具有用于哈希密碼和在登錄嘗試期間驗(yàn)證它們的本機(jī)函數(shù)。WordPress 的散列機(jī)制目前確實(shí)提供了足夠的安全性。盡管如此，許多人仍然認(rèn)為，鑒于可以在沒(méi)有太多麻煩的情況下實(shí)施的更強(qiáng)大的算法的可用性，保持原樣是沒(méi)有意義的。

然而，WordPress 的開(kāi)發(fā)團(tuán)隊(duì)似乎奇怪地不愿意對(duì)核心的這個(gè)特定部分進(jìn)行任何更改。這樣做的原因是向后兼容。WordPress 保持其受歡迎程度并繼續(xù)擴(kuò)大其市場(chǎng)份額，不僅因?yàn)樗挠猛緩V泛且易于使用，而且因?yàn)樗鼛缀蹩梢栽谌魏瓮泄芷脚_(tái)上運(yùn)行。太多的人使用遺留系統(tǒng)來(lái)構(gòu)建新項(xiàng)目，并且許多現(xiàn)有的網(wǎng)站在非常過(guò)時(shí)的托管環(huán)境中運(yùn)行。

舊軟件使這些項(xiàng)目成為黑客的避風(fēng)港，因此 WP 的散列機(jī)制可能是他們最不擔(dān)心的問(wèn)題，特別是考慮到它提供的良好安全性。CMS 的開(kāi)發(fā)人員知道更改散列機(jī)制可能會(huì)影響很多項(xiàng)目，他們不愿意這樣做。

這是“如果它沒(méi)有損壞，就不要修復(fù)它”策略的例證，您必須同意，特別是考慮到可能受到影響的人數(shù)眾多，其背后有一些邏輯。但是，許多網(wǎng)站所有者認(rèn)為安全是組織項(xiàng)目各個(gè)方面的最高優(yōu)先級(jí)。對(duì)他們來(lái)說(shuō)，使用基于像 MD5 這樣弱的算法的散列機(jī)制還不夠好。對(duì)他們來(lái)說(shuō)幸運(yùn)的是，還有其他選擇。

使用插件更改 WordPress 網(wǎng)站的哈希算法

得益于WP 的模塊化架構(gòu)，您可以輕松更改網(wǎng)站的密碼存儲(chǔ)系統(tǒng)。在 WP 的官方插件目錄中搜索“bcrypt”，你會(huì)發(fā)現(xiàn)相當(dāng)多的匹配項(xiàng)。安裝它們是一個(gè)標(biāo)準(zhǔn)的、兩次點(diǎn)擊的工作，而且?guī)缀跛腥硕汲兄Z從 MD5 切換到 bcrypt 而不告訴所有用戶(hù)重置他們的密碼。Roots.io是一家創(chuàng)建各種WordPress 開(kāi)發(fā)工具的公司，也有一個(gè)插件可以讓您使用 bcrypt。但是官方目錄上沒(méi)有，所以安裝過(guò)程不一樣。讓我們按照步驟操作。

1. 從 GitHub 下載插件。

Roots 的插件可在此處獲得。要下載它，請(qǐng)單擊代碼，然后選擇下載 ZIP。在您的計(jì)算機(jī)上保存文件后，您需要解壓縮存檔。

2. 在 wp-content 文件夾中創(chuàng)建一個(gè)新目錄。

Roots 創(chuàng)建的插件需要在“wp-content”目錄下創(chuàng)建一個(gè)名為“mu-plugins”的文件夾。您可以通過(guò) SSH、網(wǎng)絡(luò)托管控制面板中的文件管理器或您最喜歡的 FTP 客戶(hù)端來(lái)完成。

3. 上傳 wp-password-bcrypt.php 文件。

要安裝和激活插件，請(qǐng)將“wp-password-bcrypt.php”文件上傳到“mu-plugins”文件夾。

注意：您不需要上傳存檔的全部?jī)?nèi)容。只需要 PHP 文件。

該插件將出現(xiàn)在必須使用選項(xiàng)卡下的插件>已安裝插件菜單中。因?yàn)?Roots.io 的插件是所謂的必備插件之一，它會(huì)在安裝時(shí)自動(dòng)激活，用戶(hù)無(wú)法從 WordPress 儀表板停用它。擺脫它的唯一方法是將它從 mu-plugins 目錄中刪除，因此如果多個(gè)人可以訪問(wèn)WP 儀表板并且您想確保他們不會(huì)干預(yù)網(wǎng)站的內(nèi)容，那么使用它是一個(gè)好主意密碼哈希機(jī)制。

所有 bcrypt WP 插件都在后臺(tái)運(yùn)行，你不能期待任何不同的特性或功能。但是，插件解決問(wèn)題的方式有所不同。一些使用原生 PHP 函數(shù)來(lái)散列和驗(yàn)證密碼，而另一些則重新配置 PHPass 框架以使用 bcrypt 而不是 MD5。在所有情況下，您都需要PHP 5.5 或更新版本，無(wú)論如何您都應(yīng)該使用它。插件的選擇取決于個(gè)人喜好。如果它們?cè)谀磥?lái)都一樣，請(qǐng)務(wù)必閱讀評(píng)論并了解使用它們的人的想法。

結(jié)論

盡管 WP 的密碼存儲(chǔ)系統(tǒng)不是基于當(dāng)前可用的最安全的哈希算法，但不會(huì)對(duì)您的網(wǎng)站及其訪問(wèn)者的安全造成直接威脅。然而，WP 的模塊化架構(gòu)和使項(xiàng)目保持活力的全球社區(qū)意味著您只需單擊幾下鼠標(biāo)就可以使用更復(fù)雜的密碼哈希算法。說(shuō)相同的架構(gòu)和社區(qū)使 WordPress 成為世界上最流行的網(wǎng)站建設(shè)應(yīng)用程序，你不會(huì)錯(cuò)。