Wordpress (önceden kaydedilmiş) şifresinin gücünü nasıl öğrenebilirim?


10

Çok sayıda paylaşılan barındırma sunucusunun güvenliğinden sorumluyum. Çoğu WordPress web sitelerine sahip. Her sunucu en az 500 WordPress web sitesine sahiptir.

Deneyimlerime göre, WordPress ile ilgili sorun zayıf parola ile başlıyor. Web sitesi yönetici şifresinin çoğu çok zayıftır ve zayıf şifre web sitesinden yararlanır ve çeşitli kötü amaçlı etkinlikler için kullanılır.

Şimdi planım WordPress web sitesinin zayıf şifresini bulmak ve yönetici şifresini başka bir güçlü şifreyle zorla değiştirmek. Böylece, WordPress güvence altına alınabilir ve sunucum bir sorunla karşılaşmaz.

Saklanan WordPress şifresinin gücünü bilmenin yolu nedir?

Yanıtlar:


8

Bruteforce karmaları

Veritabanında saklanan karma değerini bruteforce edebilirsiniz.

WordPress karma için phpass kullanır. Varsayılan olarak, WordPress balon balığı veya benzeri değil, sadece 8192 yineleme sayımına sahip md5 kullanmaz. Eğer gerçekten kötü şifreler bulmak istiyorsanız, bruteforcing kesinlikle mümkündür.

Ancak bunun, kullanıcıların size duyduğu güvenin oldukça büyük bir ihlali olduğunu düşünürüm, bu yüzden bu yaklaşımı önermem.

Giriş yaparken şifrelerini analiz edin

WordPress oturum açma komut dosyalarına yapılan tüm istekleri engelleyen bir komut dosyası ekleyebilir ve şifreleri, o noktada düz metin olduğu için günlüğe kaydedebilir veya analiz edebilirsiniz.

Tabii ki, bu yalnızca bir kullanıcı gerçekten oturum açtığında zayıf şifreleri yakalar. Sitelerini terk ettiyse veya oldukça etkin değilse, zayıf bir şifre kullandıklarını keşfetmeniz biraz zaman alabilir.

Bunu hashleri ​​kaba kuvvetlendirmekten daha büyük bir ihlal olarak görüyorum ve ayrıca bazı güvenlik endişeleri de içeriyor (şifreleri düz metin olarak saklarsanız, bu açıkça bir endişe olacaktır, ancak olmasa bile, yanlışlıkla bazı bilgileri saklayabilirsiniz. bir saldırgana yardımcı olabilecek analiz).

Bir Parola Politikası uygulayın (ve kullanıcıları şifrelerini değiştirmeye zorlayın)

Bir şifre politikası uygulayabilirsiniz. Bir kullanıcı yeni bir şifre gönderdiğinde, politikanıza uyup uymadığını kontrol edersiniz (ideal olarak, bu, istemci tarafında JavaScript üzerinden değil sunucu tarafında olur).

İyi bir şifre politikası yazmak zordur, bu yüzden burada size yardımcı olacak mevcut politikalara göz atın.

Elbette, eski şifreler politikadan etkilenmez, bu nedenle kullanıcıları politikaya uymak için eski şifrelerini değiştirmeye zorlamanız gerekir

Hasarı Sınırla

Güçlü parolalar uygulamak kesinlikle iyi bir fikir olabilir, ancak ideal olarak, saldırıya uğramış bir WordPress örneği web yöneticisi olarak sizi gerçekten etkilememelidir.

Bir saldırgan bir WordPress kurulumuna eriştiğinde hasarı sınırlamak istersiniz. İdeal olarak, tüm sunucunuzun değil, yalnızca bir örneğin etkilenmesini istersiniz (bu nedenle, bir saldırganın bir web sitesine uygunsuz içerik yerleştirmesi konusunda endişelenebilirsiniz - tıpkı geçerli bir kullanıcının yapabileceği gibi - ancak kod yürütme veya diğer kötü amaçlı yazılımlar hakkında değil aktivite).

Bu oldukça geniş bir konudur, ancak bazı noktalar şunları içerir: DISALLOW_FILE_EDITeklentilerin kullanımı sınırlıdır (WordPress'in kendisinden çok daha az güvenli bir şekilde kodlandıkları için), JavaScript'e izin vermeyin (örneğin, çoklu sitelerde yalnızca süper yöneticilerin JavaScript yayınlama hakkı vardır, yöneticiler) vb.


4

Bunun mümkün olduğundan bile emin değilim. Şifrenizi seçtiğinizde, veritabanında karma olarak saklanır. Karma algoritmalar söz konusu olduğunda ters mühendislik yoktur.

Deneyimlerime göre, şifre mukavemeti için komut dosyası bulunur www.example.com/wp-admin/js/password-strength-meter.jsve bu bağlantıdır.

Burada parolaların düzeylerini ve yüzdesini değiştirebilirsiniz, böylece zorunlu bir parola gücünü 100/100 olarak ayarlayabilirsiniz.

Ve müşterinizin şifre gücünü kontrol etmesini istiyorsanız, burada size şifre gücü verebilecek sevimli bir uygulama var.

Burada tersine mühendislik yapmak imkansız ve buna ek olarak, kullanıcıları güçlü şifreler almaya zorlayan birkaç eklenti var.


1
Bu web barındırma ve site sahipleri kendilerini korumak için yapabileceği no-brainer basit bir şey gibi görünüyor. Çok iyi bir soru ve cevap! Daha önce burada ele alındığından emin değilim. En azından uzun süredir ele alınmadı. Alkış !!
closetnoc

1
Yukarıdaki cevap iyidir, ama sorunumu çözmez. WordPress web sitelerinin çoğu zaten yüklü veya bir gün içinde sunucumda 100'lerce WP kurulumu devam ediyor. Hala benim için yararlı olmayan password-power-meter.js kullanarak parolanın gücünü değiştirdiğimi varsayalım. Bcoz, pwd zaten ayarlanmış. Bu yalnızca yeni passwd için yararlı olacaktır, önceden ayarlanmış olanlar için değil.
Mani

1
Ancak, karma olduklarından veritabanındaki tüm şifreleri bulmanın bir yolu yoktur. Bunu ayarlayabilir ve ardından güçlü parolalara sahip olabilmeleri için tüm kullanıcılara parolalarını değiştirmeleri için yeniden gönderebilirsiniz. Bu konuda başka bir yol göremiyorum. Aşağıdaki cevapları da kontrol edin.
Josip Ivic

2
@Josip Ivic, tek yol pwd'yi sıfırlamak ve dediğin gibi yöneticiyi bilgilendirmektir.
Mani

1
Yeni kullanıcılar için, sadece wp üzerindeki betiği ayarlayacağım, böylece güçlü parolalara sahip olmak zorunludur ve eski kullanıcılar için, parolalarını güçlü parolalarla değiştirebilecekleri e-postaları tekrar gönderirdim. Dediğim gibi, bunu yapmanın kolay bir yolu yok, ama yapılabilir. :)
Josip Ivic

3

İyi haber, kullanıcıların şifrelerini değiştirebilmenizdir, kötü haber ise onları görememenizdir.
Hatta veritabanında bu tek yönlü şifreleme ile şifreyi saklayan güçlü Eğer dönüştürebilirsiniz sadece bir md5 hash değil bu yüzden Wordpress şifre, hatta veriyi tefrika değil, olduğu test123gibi bir şey alacağı $P$BjW8o9Dm1vC5bwAcP1iAdNVm0lbvnşifre alanını değişse bile aynı zamanda, veritabanında şifreleme kullanmadan, işe yaramaz.

Parola nasıl değiştirilir

Bunun farkında olduğuna inanıyorum ama sadece burada bırakacağım. Wordpress kontrol panelinize yönetici ayrıcalıklarıyla girebilir, kullanıcılara gidebilir, kullanıcı bulabilir ve bu bölüm sizin için kötüdür, çünkü yeni şifre oluştur'a tıklamanız gerekir, size rastgele bazı harf ve sembol çorbası verecektir ve kendinizle düzenleyebilirsiniz, ancak o zaman bile şifreyi göremezsiniz.


Kullanıcıların güçlü parolalar girmesini istemek için iThemes gibi bir eklenti kullanabileceğinizi, ayrıca kaba kuvvet korumasına ve ilginizi çekebilecek diğer harika özelliklere de izin verebileceğinizi unutmayın.
knif3r

3

Parolalar karma olduğundan, güvenliklerini test etmenin tek yolu onları zorlamaktır. Sık kullanılan, zayıf parolaların bir listesini toplayın ve veritabanınızda saklanan karma değerlere karşı test edin.

Çok kapsamlı bir şifre listesi kullanmazsanız, bu tüm zayıf şifreleri yakalamaz, ancak en zayıf olanları filtreler.


Bu, çok zaman gerektiren bir çözümdür.
Josip Ivic

Gökkuşağı masası inşa etmek buna denir.
Ashfame

@ Ashfame Hayır, değil. Gökkuşağı tablosu, bu senaryo için mutlaka en uygun olmayan çok daha sofistike bir yaklaşımdır.
Tom van der Zanden

@TomvanderZanden Uygun bir yaklaşım olmayabilir, ama bu nasıl bir gökkuşağı masası olmayacak?
Ashfame

@Ashfame Gökkuşağı tabloları "veritabanınıza karşı bir parola listesini kontrol" den çok daha karmaşıktır. Örneğin, gökkuşağı tabloları karma zincirleri ve azaltma fonksiyonlarını kullanır. Ayrıca, gökkuşağı tablosu oluşturmanın veritabanınıza karşı tüm şifreleri kontrol etmekten daha fazla zaman aldığını unutmayın. Önceden hesaplanmış bir gökkuşağı tablosu kullanmak mantıklı olabilir, ancak bu durum için aşırı olabilir.
Tom van der Zanden

1

Phpmyadmin'de saklanan her wordpress veritabanında herhangi bir denetiminiz yoksa, wp yönetici parolasını zorla değiştiremezsiniz.

Ve hayır, 500 wordpress sitesinde hafta şifresini bulmanın hızlı bir yolu yok. Josip ödeme parola gücü için bir bağlantı söz, ancak bu site parola gücü ödeme için md5 kripto algo kullanmadı.

Bu SO Link'i kontrol edin ( MD5 kullanarak Wordpress ) ve çıktının bu uygulamadan farklı olduğunu göreceksiniz. Gördüğünüz gibi p#aSS*Word14güvenli değil Dance With Me TonightYani Wordpress şifrenizi kontrol etmek için thirt party uygulamasını kullanmayın, çünkü şifre gücünü kontrol etmek / varsaymak için başka bir kripto algoritması kullanıyor olabilirler.

Ayrıca tüm şifreleri almalı ve tek tek test etmelisiniz, hızlı bir şekilde öğrenmek için herhangi bir sihir yoktur.

Başka bir şey, bir WordPress sitesi saldırıya uğradıysa, aynı sunucudaki diğer DOS sitesini etkilemedi (DOS saldırısı hariç). Ben birçok kişi paylaşılan barındırma wp başlatmak gördük ve onların sitesi saldırıya uğramak, ama hala her komşu phpmyadmin kendi veritabanı vardır, çünkü hala onların komşu site iyi çalışıyor.


Didn't affect other WP site on same server:Tesadüf! Bilgisayar korsanının / botunun saldırı / hack türüne ve amacına bağlıdır.
Ashfame

Wordpress güvenliğinden bahsediyorum, kök düzeyinde bir güvenlikten değil. Ama eminim, sandbox mekanizması kullanan barındırma sağlayıcılarının çoğu aynı sunucudaki diğer web sitelerini etkilemedi.
16:45, Goyllo

1

Önceki yanıtların işaret ettiği gibi: saklanan şifreleri okuyamazsınız.

Alternatif bir çözüm şunlar olabilir:

  1. Güçlü şifreler uygulamak için Josip Ivic'in önerisini uygulayın.
  2. Tüm şifreleri (veya yalnızca belirli ayrıcalıklara sahip kullanıcılar için şifreleri) silin.
  3. Ve son olarak, etkilenen kullanıcılara yeni bir şifre politikasının yürürlükte /wp-login.php?action=lostpasswordolduğunu bildirin ve şifrelerini sıfırlamaya yönlendirin .

1

WordPress şifreleri, parolaları saklama söz konusu olduğunda olduğu gibi mantıklı bir uygulama karmadır, çünkü kullanıcılarınız kullandıkları diğer hizmetler için aynı parolaya sahip olabileceğinden, açık metin parolalarını saklamak çok güvensizdir (gmail?).

Karma parolayı dönüştürmek mümkün değildir, aksi takdirde bunları açık metin olarak saklayabilirsiniz. Parolalar daha önce karma MD5olmuştu , ancak bu bir güvenlik ekibi tarafından güvensiz olduğu kanıtlandı, bu nedenle karma algoritması güncellendi phpass.

İpucu: MD5'i (% password%) sql sütununa güncelleseniz bile WordPress doğru şekilde karmayı başarabilir.

Şimdi, tek bir site için yapmaya çalıştığınız işe yaklaşmanın pratik yolu, sütunu başka bir şeye değiştirerek ve şifrelerini güncelleyecekleri sayfadaki şifre gücü gereksinimlerini uygulayarak gerçekten bir şifre değişikliğini zorlamaktır. Ancak kullanım durumunuz bu kadar çok WP yüklemesinde yapılmasını gerektirir ve bu site sahipleri bunu rızası olmadan yaptığınızı takdir etmeyebilir. Dolayısıyla, eylemlerinizin etki alanını kesinlikle sınırlamanız gerekir.

1) Şifreleri yalnızca yöneticiler, editörler için güncelleyin, ancak bu kullanıcıların kim olduğunu bulmanızı isteyin. Onları e-postayla gönderin ve ardından şifre sıfırlama sayfası / kayıt sayfası vb. Üzerinde şifre kısıtlamasını uygulayın. Birisinin bu formların sitenin başka bir yerinde olabileceğini unutmayın (AJAX formlarını da düşünün). WP ortamını yüklemek ve komut dosyalarını çalıştırmak yerine bu planı yürütmenize yardımcı olan bir WP-CLI komutu oluşturmak.

2) Bilinen bir dize (parola) için karma parola içeren bir gökkuşağı tablosu oluşturmak. Ve sonra temel olarak hash'i belirli bir kullanıcının şifresiyle eşleştirmeniz ve bu şifrenin gücünü değerlendirmeniz gerekir. Tabloyu oluşturmak burada olabilecek en yavaş adımdır, çünkü olabilecek her parolayı hash etmek, diske depolamak (hesapladığınız parolaların uzunluğuna ve kombinasyonuna bağlı olarak birkaç GB) ve sonuçlara göre hareket etmek zorundasınız. % 99 emin ihtiyaçlarınız için aşırı bir çözüm.

İpucu: Dosyamızdaki tuzları ve sırları biliyorsunuz wp-config.php. Bunların değiştirilmesi, ihtiyacınız olması durumunda oturum açmış oturumları geçersiz kılar.


1

Bir sözlük saldırısı kullanarak onu kaba kuvvet vermeye çalışın

Parolanızın gücünü değerlendirmenin daha iyi bir yolu var mı? :-) Evet biliyorum, biraz zaman alacak ...

Aksi takdirde, tüm şifrelerin zayıf olduğunu varsayabiliriz (bunun çok doğru bir varsayım olacağını söyleyebilirim ) ve kendinize şifreleri oluşturabilir, karmaları veritabanında saklayabilir ve "güvenli" kullanarak yöneticilere düz metin şifresini verebilirsiniz. kanal

Aksi takdirde, tüm şifrelerin zayıf olduğunu varsayalım ve yöneticileri değiştirmeye zorlayın ve web sitesinin kendisinde çok seçici bir şifre gücü doğrulayıcısı kullanın.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.