Bruteforce karmaları
Veritabanında saklanan karma değerini bruteforce edebilirsiniz.
WordPress karma için phpass kullanır. Varsayılan olarak, WordPress balon balığı veya benzeri değil, sadece 8192 yineleme sayımına sahip md5 kullanmaz. Eğer gerçekten kötü şifreler bulmak istiyorsanız, bruteforcing kesinlikle mümkündür.
Ancak bunun, kullanıcıların size duyduğu güvenin oldukça büyük bir ihlali olduğunu düşünürüm, bu yüzden bu yaklaşımı önermem.
Giriş yaparken şifrelerini analiz edin
WordPress oturum açma komut dosyalarına yapılan tüm istekleri engelleyen bir komut dosyası ekleyebilir ve şifreleri, o noktada düz metin olduğu için günlüğe kaydedebilir veya analiz edebilirsiniz.
Tabii ki, bu yalnızca bir kullanıcı gerçekten oturum açtığında zayıf şifreleri yakalar. Sitelerini terk ettiyse veya oldukça etkin değilse, zayıf bir şifre kullandıklarını keşfetmeniz biraz zaman alabilir.
Bunu hashleri kaba kuvvetlendirmekten daha büyük bir ihlal olarak görüyorum ve ayrıca bazı güvenlik endişeleri de içeriyor (şifreleri düz metin olarak saklarsanız, bu açıkça bir endişe olacaktır, ancak olmasa bile, yanlışlıkla bazı bilgileri saklayabilirsiniz. bir saldırgana yardımcı olabilecek analiz).
Bir Parola Politikası uygulayın (ve kullanıcıları şifrelerini değiştirmeye zorlayın)
Bir şifre politikası uygulayabilirsiniz. Bir kullanıcı yeni bir şifre gönderdiğinde, politikanıza uyup uymadığını kontrol edersiniz (ideal olarak, bu, istemci tarafında JavaScript üzerinden değil sunucu tarafında olur).
İyi bir şifre politikası yazmak zordur, bu yüzden burada size yardımcı olacak mevcut politikalara göz atın.
Elbette, eski şifreler politikadan etkilenmez, bu nedenle kullanıcıları politikaya uymak için eski şifrelerini değiştirmeye zorlamanız gerekir
Hasarı Sınırla
Güçlü parolalar uygulamak kesinlikle iyi bir fikir olabilir, ancak ideal olarak, saldırıya uğramış bir WordPress örneği web yöneticisi olarak sizi gerçekten etkilememelidir.
Bir saldırgan bir WordPress kurulumuna eriştiğinde hasarı sınırlamak istersiniz. İdeal olarak, tüm sunucunuzun değil, yalnızca bir örneğin etkilenmesini istersiniz (bu nedenle, bir saldırganın bir web sitesine uygunsuz içerik yerleştirmesi konusunda endişelenebilirsiniz - tıpkı geçerli bir kullanıcının yapabileceği gibi - ancak kod yürütme veya diğer kötü amaçlı yazılımlar hakkında değil aktivite).
Bu oldukça geniş bir konudur, ancak bazı noktalar şunları içerir: DISALLOW_FILE_EDIT
eklentilerin kullanımı sınırlıdır (WordPress'in kendisinden çok daha az güvenli bir şekilde kodlandıkları için), JavaScript'e izin vermeyin (örneğin, çoklu sitelerde yalnızca süper yöneticilerin JavaScript yayınlama hakkı vardır, yöneticiler) vb.