bcryptハッシュアルゴリズムを使用してWordPressのパスワードセキュリティを向上させる方法

パスワードのセキュリティについて話すとき、私たちはしばしばあなたのパスワードの強さ、そしてそれがハッカーによって簡単に推測できるかどうかについて言及します。ただし、ほとんどの人が話さないパスワードセキュリティの1つの側面は、パスワードがデータベースにどのように保存されるかです。 WordPressでは、通常、各パスワードはソルトされ、データベースに保存される前にMD5ハッシュを通過します。 MD5アルゴリズムが広範な脆弱性に悩まされていることがわかっているまでは、問題なく安全に思えます。 CMU Software Engineering Instituteによると、MD5は本質的に「暗号的に壊れており、今後の使用には不適切です。 」

では、WordPressのパスワードセキュリティを向上させるために何ができるでしょうか？答えは、特にwp-password-bcryptプラグインでbycrptアルゴリズムを使用することです。

bcryptはBlowfish暗号に基づいており、適応機能です。これは、時間の経過とともに反復回数を増やして速度を落とすことができるため、計算能力を高めてもブルートフォース検索攻撃に対する耐性を維持できることを意味します。

幸い、技術的な能力がなくても、WordPressシステムを簡単にアップグレードして、MD5ハッシュをbcryptアルゴリズムに置き換えることができます。

1. wp-password-bcryptのGithubページに移動し、[クローンまたはダウンロード]ボタンをクリックして、ZIPファイルをデスクトップにダウンロードします。

2. zipファイルを解凍し、解凍したフォルダーを開きます。必要なのは「wp-password-bcrypt.php」ファイルだけです。

3. FTPプログラム（またはcPanel）を使用して、WordPressサーバーに接続し、「wp-content」フォルダーの下に「mu-plugins」フォルダーを作成します。これは「MustUsePlugins」フォルダとも呼ばれ、このフォルダに配置されたすべてのプラグインが自動的にアクティブ化されます。 「mu-plugins」フォルダがすでに存在する場合は、この手順を無視してください。

4.「wp-password-bcrypt.php」ファイルをこの「mu-plugins」フォルダーにアップロードします。これで完了です。

「wp-password-bcrypt」プラグインが行うことは、bcryptを使用してパスワードを再ハッシュし、ユーザーがシステムにログインするたびにデータベースに保存することです。構成は必要なく、すべてがバックグラウンドで機能するだけです。また、長期間ログインしていない非アクティブなユーザーがサイトに多数いる場合でも、パスワードは引き続きMD5ハッシュを使用することに注意してください。

最後に、プラグインをアンインストールするには、「mu-plugins」フォルダーからプラグインを削除するだけです。悪影響はなく、すべてが通常どおり機能し続けます。

結論

そもそもシステムが安全でない場合、ユーザーが自分自身を保護するためにできることをすべて行うことはまったく役に立ちません。 bcryptアルゴリズムの使用に切り替えることで、WordPressのパスワードのセキュリティをすばやく簡単に改善し、ユーザーアカウントが簡単に解読されるのを防ぐことができます（強力なパスワードも使用していると仮定します）。