Wachtwoorden en WordPress. Gelukkig worden ze on-omkeerbaar opgeslagen. WordPress gebruikt hiervoor als basis het MD5 algoritme met een "salt" om het wat lastiger te maken om zaken te vinden. Wij lazen een artikel van de mensen achter Roots.io en hebben nieuwe code toegepast om het nog veiliger te maken.

Sterkere wachtwoorden in de database door een beter algoritme

Naar aanleiding van het artikel op https://roots.io/improving-wordpress-password-security/ hebben we vanaf vandaag een aanpassing gemaakt voor alle installaties.

Deze aanpassing gebruikt geen MD5 meer maar bcrypt, een sterker algoritme.
In het geval dat een database login bekend zou zijn is het ontsleutelen/vinden van wachtwoorden hiermee veel lastiger geworden.

Nota bene: Stel al zou uw wachtwoord geraden kunnen worden, indien u onze 2 factor login niet hebt uitgezet dan zou een aanvaller niet alleen dat wachtwoord moeten weten, maar ook in uw emailbox moeten inbreken. We doen hierbij wel de aanname dat u unieke en sterke wachtwoorden gebruikt. U kunt overigens gebuik maken van online en offline wachtwoordkluizen zoals lastpass en keypass om al die lastige wachtwoorden niet uit uw hoofd te leren.

Moet ik wat aanpassen?

Nee. Logins blijven werken, ook wachtwoord-vergeten acties blijven werken.

Details

Voor de (technische) liefhebbers onder ons:
https://github.com/roots/wp-password-bcrypt
https://roots.io/improving-wordpress-password-security
https://roots.io/wordpress-password-security-follow-up/


Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Geef je reactie

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Ervaringen van anderen

Lees ook

  • WordPress Veiligheid: 2 Factor Login

    Veiligheid

    Wij vinden veiligheid erg belangrijk. Zo belangrijk dat we je WordPress site standaard al extra beveiligen met een 2 factor login (2FA).

  • Veilige gebruikersnaam check

    Veiligheid

    Sinds vandaag scannen we actief op zwakke gebruikersnamen zoals "admin". Deze zwakke standaard namen worden vaak bij bruteforce pogingen geprobeerd en zijn dus niet bevorderlijk voor uw website veiligheid.

  • Let op je zout

    Veiligheid

    Salts, een stukje PHP in je wp-config.php waarmee onder andere je wachtwoord versleuteling sterker wordt.