암호 보안에 대해 이야기할 때 우리는 종종 암호의 강도와 해커가 쉽게 추측할 수 있는지 여부를 언급합니다. 그러나 소수의 사람들이 이야기하는 비밀번호 보안의 한 측면은 비밀번호가 데이터베이스에 저장되는 방식입니다. WordPress에서 각 비밀번호는 일반적으로 데이터베이스에 저장되기 전에 솔트 처리되고 MD5 해싱을 통해 전달됩니다. MD5 알고리즘이 광범위한 취약점을 겪고 있는 것으로 알려지기 전까지는 괜찮고 안전한 것 같습니다. CMU Software Engineering Institute에 따르면 MD5는 기본적으로 "암호화되어 손상되어 향후 사용에 적합하지 않습니다. "
그렇다면 WordPress 비밀번호 보안을 향상시키기 위해 무엇을 할 수 있습니까? 대답은 특히 wp-password-bcrypt 플러그인과 함께 bycrpt 알고리즘을 사용하는 것입니다.
bcrypt는 Blowfish 암호를 기반으로 하며 적응형 기능입니다. 즉, 시간이 지남에 따라 반복 횟수가 증가하여 속도가 느려질 수 있으므로 계산 능력이 증가하더라도 무차별 대입 검색 공격에 저항력을 유지합니다.
다행히 기술적으로 유능하지 않더라도 WordPress 시스템을 쉽게 업그레이드하여 MD5 해싱을 bcrypt 알고리즘으로 대체할 수 있습니다.
1. wp-password-bcrypt의 Github 페이지로 이동하여 "복제 또는 다운로드" 버튼을 클릭하여 ZIP 파일을 바탕 화면에 다운로드합니다.
2. zip 파일의 압축을 풀고 압축을 푼 폴더를 엽니다. "wp-password-bcrypt.php" 파일만 있으면 됩니다.
3. FTP 프로그램(또는 cPanel)을 사용하여 WordPress 서버에 연결하고 "wp-content" 폴더 아래에 "mu-plugins" 폴더를 만듭니다. 이것은 "Must Use Plugins" 폴더라고도 하며 이 폴더에 있는 모든 플러그인은 자동으로 활성화됩니다. "mu-plugins" 폴더가 이미 있는 경우 이 단계를 무시하십시오.
4. 이 "mu-plugins" 폴더에 "wp-password-bcrypt.php" 파일을 업로드하면 완료됩니다.
"wp-password-bcrypt" 플러그인이 하는 일은 bcrypt를 사용하여 비밀번호를 다시 해시하고 사용자가 시스템에 로그인할 때마다 데이터베이스에 저장하는 것입니다. 구성이 필요하지 않으며 모든 것이 단순히 백그라운드에서 작동합니다. 또한 귀하의 사이트에 오랫동안 로그인하지 않은 비활성 사용자가 많이 있는 경우 해당 비밀번호는 여전히 MD5 해시를 사용한다는 점에 유의하십시오.
마지막으로 플러그인을 제거하려면 "mu-plugins" 폴더에서 플러그인을 삭제하기만 하면 됩니다. 부정적인 결과는 없으며 모든 것이 평소와 같이 계속 작동합니다.
결론
시스템이 처음부터 안전하지 않은 경우 사용자가 자신을 보호하기 위해 할 수 있는 모든 것을 하는 것은 완전히 쓸모가 없습니다. bcrypt 알고리즘 사용으로 전환하면 WordPress 비밀번호 보안을 빠르고 쉽게 개선하고 사용자 계정이 쉽게 크랙되는 것을 방지할 수 있습니다(강력한 비밀번호도 사용한다고 가정).