Çok sayıda paylaşılan barındırma sunucusunun güvenliğinden sorumluyum. Çoğu WordPress web sitelerine sahip. Her sunucu en az 500 WordPress web sitesine sahiptir.

Deneyimlerime göre, WordPress ile ilgili sorun zayıf parola ile başlıyor. Web sitesi yönetici şifresinin çoğu çok zayıftır ve zayıf şifre web sitesinden yararlanır ve çeşitli kötü amaçlı etkinlikler için kullanılır.

Şimdi planım WordPress web sitesinin zayıf şifresini bulmak ve yönetici şifresini başka bir güçlü şifreyle zorla değiştirmek. Böylece, WordPress güvence altına alınabilir ve sunucum bir sorunla karşılaşmaz.

Saklanan WordPress şifresinin gücünü bilmenin yolu nedir?

Bruteforce karmaları

Veritabanında saklanan karma değerini bruteforce edebilirsiniz.

WordPress karma için phpass kullanır. Varsayılan olarak, WordPress balon balığı veya benzeri değil, sadece 8192 yineleme sayımına sahip md5 kullanmaz. Eğer gerçekten kötü şifreler bulmak istiyorsanız, bruteforcing kesinlikle mümkündür.

Ancak bunun, kullanıcıların size duyduğu güvenin oldukça büyük bir ihlali olduğunu düşünürüm, bu yüzden bu yaklaşımı önermem.

Giriş yaparken şifrelerini analiz edin

WordPress oturum açma komut dosyalarına yapılan tüm istekleri engelleyen bir komut dosyası ekleyebilir ve şifreleri, o noktada düz metin olduğu için günlüğe kaydedebilir veya analiz edebilirsiniz.

Tabii ki, bu yalnızca bir kullanıcı gerçekten oturum açtığında zayıf şifreleri yakalar. Sitelerini terk ettiyse veya oldukça etkin değilse, zayıf bir şifre kullandıklarını keşfetmeniz biraz zaman alabilir.

Bunu hashleri ​​kaba kuvvetlendirmekten daha büyük bir ihlal olarak görüyorum ve ayrıca bazı güvenlik endişeleri de içeriyor (şifreleri düz metin olarak saklarsanız, bu açıkça bir endişe olacaktır, ancak olmasa bile, yanlışlıkla bazı bilgileri saklayabilirsiniz. bir saldırgana yardımcı olabilecek analiz).

Bir Parola Politikası uygulayın (ve kullanıcıları şifrelerini değiştirmeye zorlayın)

Bir şifre politikası uygulayabilirsiniz. Bir kullanıcı yeni bir şifre gönderdiğinde, politikanıza uyup uymadığını kontrol edersiniz (ideal olarak, bu, istemci tarafında JavaScript üzerinden değil sunucu tarafında olur).

İyi bir şifre politikası yazmak zordur, bu yüzden burada size yardımcı olacak mevcut politikalara göz atın.

Elbette, eski şifreler politikadan etkilenmez, bu nedenle kullanıcıları politikaya uymak için eski şifrelerini değiştirmeye zorlamanız gerekir

Hasarı Sınırla

Güçlü parolalar uygulamak kesinlikle iyi bir fikir olabilir, ancak ideal olarak, saldırıya uğramış bir WordPress örneği web yöneticisi olarak sizi gerçekten etkilememelidir.

Bir saldırgan bir WordPress kurulumuna eriştiğinde hasarı sınırlamak istersiniz. İdeal olarak, tüm sunucunuzun değil, yalnızca bir örneğin etkilenmesini istersiniz (bu nedenle, bir saldırganın bir web sitesine uygunsuz içerik yerleştirmesi konusunda endişelenebilirsiniz - tıpkı geçerli bir kullanıcının yapabileceği gibi - ancak kod yürütme veya diğer kötü amaçlı yazılımlar hakkında değil aktivite).

Bu oldukça geniş bir konudur, ancak bazı noktalar şunları içerir: DISALLOW_FILE_EDITeklentilerin kullanımı sınırlıdır (WordPress'in kendisinden çok daha az güvenli bir şekilde kodlandıkları için), JavaScript'e izin vermeyin (örneğin, çoklu sitelerde yalnızca süper yöneticilerin JavaScript yayınlama hakkı vardır, yöneticiler) vb.

Bunun mümkün olduğundan bile emin değilim. Şifrenizi seçtiğinizde, veritabanında karma olarak saklanır. Karma algoritmalar söz konusu olduğunda ters mühendislik yoktur.

Deneyimlerime göre, şifre mukavemeti için komut dosyası bulunur www.example.com/wp-admin/js/password-strength-meter.jsve bu bağlantıdır.

Burada parolaların düzeylerini ve yüzdesini değiştirebilirsiniz, böylece zorunlu bir parola gücünü 100/100 olarak ayarlayabilirsiniz.

Ve müşterinizin şifre gücünü kontrol etmesini istiyorsanız, burada size şifre gücü verebilecek sevimli bir uygulama var.

Burada tersine mühendislik yapmak imkansız ve buna ek olarak, kullanıcıları güçlü şifreler almaya zorlayan birkaç eklenti var.

İyi haber, kullanıcıların şifrelerini değiştirebilmenizdir, kötü haber ise onları görememenizdir.
Hatta veritabanında bu tek yönlü şifreleme ile şifreyi saklayan güçlü Eğer dönüştürebilirsiniz sadece bir md5 hash değil bu yüzden Wordpress şifre, hatta veriyi tefrika değil, olduğu test123gibi bir şey alacağı $P$BjW8o9Dm1vC5bwAcP1iAdNVm0lbvnşifre alanını değişse bile aynı zamanda, veritabanında şifreleme kullanmadan, işe yaramaz.

Parola nasıl değiştirilir

Bunun farkında olduğuna inanıyorum ama sadece burada bırakacağım. Wordpress kontrol panelinize yönetici ayrıcalıklarıyla girebilir, kullanıcılara gidebilir, kullanıcı bulabilir ve bu bölüm sizin için kötüdür, çünkü yeni şifre oluştur'a tıklamanız gerekir, size rastgele bazı harf ve sembol çorbası verecektir ve kendinizle düzenleyebilirsiniz, ancak o zaman bile şifreyi göremezsiniz.

Parolalar karma olduğundan, güvenliklerini test etmenin tek yolu onları zorlamaktır. Sık kullanılan, zayıf parolaların bir listesini toplayın ve veritabanınızda saklanan karma değerlere karşı test edin.

Çok kapsamlı bir şifre listesi kullanmazsanız, bu tüm zayıf şifreleri yakalamaz, ancak en zayıf olanları filtreler.

Phpmyadmin'de saklanan her wordpress veritabanında herhangi bir denetiminiz yoksa, wp yönetici parolasını zorla değiştiremezsiniz.

Ve hayır, 500 wordpress sitesinde hafta şifresini bulmanın hızlı bir yolu yok. Josip ödeme parola gücü için bir bağlantı söz, ancak bu site parola gücü ödeme için md5 kripto algo kullanmadı.

Bu SO Link'i kontrol edin ( MD5 kullanarak Wordpress ) ve çıktının bu uygulamadan farklı olduğunu göreceksiniz. Gördüğünüz gibi p#aSS*Word14güvenli değil Dance With Me TonightYani Wordpress şifrenizi kontrol etmek için thirt party uygulamasını kullanmayın, çünkü şifre gücünü kontrol etmek / varsaymak için başka bir kripto algoritması kullanıyor olabilirler.

Ayrıca tüm şifreleri almalı ve tek tek test etmelisiniz, hızlı bir şekilde öğrenmek için herhangi bir sihir yoktur.

Başka bir şey, bir WordPress sitesi saldırıya uğradıysa, aynı sunucudaki diğer DOS sitesini etkilemedi (DOS saldırısı hariç). Ben birçok kişi paylaşılan barındırma wp başlatmak gördük ve onların sitesi saldırıya uğramak, ama hala her komşu phpmyadmin kendi veritabanı vardır, çünkü hala onların komşu site iyi çalışıyor.

Önceki yanıtların işaret ettiği gibi: saklanan şifreleri okuyamazsınız.

Alternatif bir çözüm şunlar olabilir:

1. Güçlü şifreler uygulamak için Josip Ivic'in önerisini uygulayın.
2. Tüm şifreleri (veya yalnızca belirli ayrıcalıklara sahip kullanıcılar için şifreleri) silin.
3. Ve son olarak, etkilenen kullanıcılara yeni bir şifre politikasının yürürlükte /wp-login.php?action=lostpasswordolduğunu bildirin ve şifrelerini sıfırlamaya yönlendirin .

WordPress şifreleri, parolaları saklama söz konusu olduğunda olduğu gibi mantıklı bir uygulama karmadır, çünkü kullanıcılarınız kullandıkları diğer hizmetler için aynı parolaya sahip olabileceğinden, açık metin parolalarını saklamak çok güvensizdir (gmail?).

Karma parolayı dönüştürmek mümkün değildir, aksi takdirde bunları açık metin olarak saklayabilirsiniz. Parolalar daha önce karma MD5olmuştu , ancak bu bir güvenlik ekibi tarafından güvensiz olduğu kanıtlandı, bu nedenle karma algoritması güncellendi phpass.

İpucu: MD5'i (% password%) sql sütununa güncelleseniz bile WordPress doğru şekilde karmayı başarabilir.

Şimdi, tek bir site için yapmaya çalıştığınız işe yaklaşmanın pratik yolu, sütunu başka bir şeye değiştirerek ve şifrelerini güncelleyecekleri sayfadaki şifre gücü gereksinimlerini uygulayarak gerçekten bir şifre değişikliğini zorlamaktır. Ancak kullanım durumunuz bu kadar çok WP yüklemesinde yapılmasını gerektirir ve bu site sahipleri bunu rızası olmadan yaptığınızı takdir etmeyebilir. Dolayısıyla, eylemlerinizin etki alanını kesinlikle sınırlamanız gerekir.

1) Şifreleri yalnızca yöneticiler, editörler için güncelleyin, ancak bu kullanıcıların kim olduğunu bulmanızı isteyin. Onları e-postayla gönderin ve ardından şifre sıfırlama sayfası / kayıt sayfası vb. Üzerinde şifre kısıtlamasını uygulayın. Birisinin bu formların sitenin başka bir yerinde olabileceğini unutmayın (AJAX formlarını da düşünün). WP ortamını yüklemek ve komut dosyalarını çalıştırmak yerine bu planı yürütmenize yardımcı olan bir WP-CLI komutu oluşturmak.

2) Bilinen bir dize (parola) için karma parola içeren bir gökkuşağı tablosu oluşturmak. Ve sonra temel olarak hash'i belirli bir kullanıcının şifresiyle eşleştirmeniz ve bu şifrenin gücünü değerlendirmeniz gerekir. Tabloyu oluşturmak burada olabilecek en yavaş adımdır, çünkü olabilecek her parolayı hash etmek, diske depolamak (hesapladığınız parolaların uzunluğuna ve kombinasyonuna bağlı olarak birkaç GB) ve sonuçlara göre hareket etmek zorundasınız. % 99 emin ihtiyaçlarınız için aşırı bir çözüm.

İpucu: Dosyamızdaki tuzları ve sırları biliyorsunuz wp-config.php. Bunların değiştirilmesi, ihtiyacınız olması durumunda oturum açmış oturumları geçersiz kılar.

Bir sözlük saldırısı kullanarak onu kaba kuvvet vermeye çalışın

Parolanızın gücünü değerlendirmenin daha iyi bir yolu var mı? :-) Evet biliyorum, biraz zaman alacak ...

Aksi takdirde, tüm şifrelerin zayıf olduğunu varsayabiliriz (bunun çok doğru bir varsayım olacağını söyleyebilirim ) ve kendinize şifreleri oluşturabilir, karmaları veritabanında saklayabilir ve "güvenli" kullanarak yöneticilere düz metin şifresini verebilirsiniz. kanal

Aksi takdirde, tüm şifrelerin zayıf olduğunu varsayalım ve yöneticileri değiştirmeye zorlayın ve web sitesinin kendisinde çok seçici bir şifre gücü doğrulayıcısı kullanın.