Bruteforce hashe
Możesz brutalnie forsować hash przechowywany w bazie danych.
WordPress używa phpass do mieszania. Domyślnie WordPress nie używa blowfish ani podobnych, ale tylko md5 z liczbą iteracji 8192. Jeśli chcesz znaleźć naprawdę złe hasła, brutalne wymuszanie jest z pewnością możliwe.
Uważałbym to jednak za dość duże naruszenie zaufania, jakim obdarzyli cię użytkownicy, dlatego nie zalecałbym takiego podejścia.
Analizuj hasła podczas logowania
Możesz dodać skrypt przechwytujący wszystkie żądania do skryptów logowania WordPress i rejestrować lub analizować hasła, ponieważ w tym momencie są one jawnym tekstem.
Oczywiście, łapie to słabe hasła tylko wtedy, gdy użytkownik faktycznie się zaloguje. Jeśli opuścił swoją stronę lub jest raczej nieaktywny, może minąć trochę czasu, zanim odkryjesz, że używa słabego hasła.
Uznałbym to za jeszcze większe naruszenie niż brutalne wymuszanie skrótów, a także wiąże się z nim pewne obawy związane z bezpieczeństwem (jeśli przechowujesz hasła w postaci zwykłego tekstu, to oczywiście będzie to niepokojące, ale nawet jeśli nie, możesz przypadkowo przechowywać niektóre informacje z analiza, która może pomóc atakującemu).
Wdrażaj zasady haseł (i zmuszaj użytkowników do zmiany haseł)
Możesz wdrożyć politykę haseł. Gdy użytkownik prześle nowe hasło, sprawdzisz, czy jest ono zgodne z twoją polityką, czy nie (najlepiej, dzieje się to po stronie serwera, a nie po stronie klienta przez JavaScript).
Pisanie dobrych zasad dotyczących haseł jest trudne, więc spójrz na istniejące zasady, które Ci w tym pomogą.
Oczywiście zasady nie mają wpływu na stare hasła, więc musisz zmusić użytkowników do zmiany starych haseł, aby były zgodne z zasadami
Ogranicz obrażenia
Wymuszanie silnych haseł może być z pewnością dobrym pomysłem, ale idealnie, że zaatakowana instancja WordPress nie powinna wpływać na ciebie jako webmastera.
Powinieneś chcieć ograniczyć szkody, gdy atakujący uzyska dostęp do instalacji WordPress. Idealnie byłoby, gdyby miało to wpływ tylko na jedno wystąpienie, a nie na cały serwer (więc możesz się martwić, że atakujący umieści nieprzyzwoitą treść na stronie internetowej - tak jak może to zrobić prawidłowy użytkownik - ale nie o wykonanie kodu lub inne złośliwe oprogramowanie czynność).
Jest to dość szeroki temat, ale niektóre punkty obejmują DISALLOW_FILE_EDIT:, ograniczają użycie wtyczek (ponieważ są one znacznie mniej bezpiecznie kodowane niż sam WordPress), nie zezwalają na JavaScript (np. W przypadku wielu witryn tylko superadministratorzy mają prawo publikować JavaScript, a nie administratorzy) itp.
Dobrą wiadomością jest to, że możesz zmieniać hasła użytkowników, złą wiadomością jest to, że ich nie widzisz.
Wordpress jest tak potężny, że nawet w bazie danych przechowuje hasło za pomocą jednokierunkowego szyfrowania, nie jest to tylko skrót MD5, który można przekonwertować, to nawet nie serializowane dane, dla hasła,
test123które byś otrzymał$P$BjW8o9Dm1vC5bwAcP1iAdNVm0lbvn, nawet jeśli zmienisz pole hasła w bazie danych bez szyfrowania nie działałoby.Jak zmienić hasło
Wierzę, że jesteś tego świadomy, ale zostawię to tutaj. Możesz wejść do pulpitu Wordpress z uprawnieniami administratora, przejść do użytkowników, znaleźć użytkownika, a ta część jest dla ciebie trochę zła, ponieważ musisz kliknąć na wygenerowanie nowego hasła, da ci losową zupę liter i symboli i możesz edytuj go własnym, ale nawet wtedy nie widzisz hasła.
źródło
Gdy hasła są mieszane, jedynym sposobem na sprawdzenie ich bezpieczeństwa jest brutalne ich wymuszenie. Zbierz listę często używanych słabych haseł i przetestuj je pod kątem skrótów przechowywanych w bazie danych.
Jeśli nie użyjesz bardzo wyczerpującej listy haseł, nie złapie ona wszystkich słabych haseł, ale odfiltruje najsłabsze z nich.
źródło
Nie możesz wymusić zmiany hasła administratora wp, chyba że nie masz kontroli w każdej bazie danych wordpress, która jest przechowywana w phpmyadmin.
I nie, nie ma szybkiego sposobu na znalezienie tygodniowego hasła na stronie 500 wordpress. Josip wspomniał o jednym linku do siły hasła do kasy, ale ta strona nie używała szyfrowania md5 algo do siły hasła do kasy.
Zapoznaj się z tym linkiem SO ( Wordpress przy użyciu MD5 ), a zobaczysz, że wyjście jest inne niż ta aplikacja. Więc jak widzisz,
p#aSS*Word14nie jest bezpieczny niżDance With Me TonightWięc nie używaj aplikacji firm trzecich do sprawdzania hasła Wordpress, ponieważ być może używają innego algorytmu kryptograficznego do sprawdzania / zakładania siły hasła.Powinieneś także mieć wszystkie hasła i przetestować je jeden po drugim, nie ma żadnej magicznej sztuczki, aby szybko się dowiedzieć.
Inną sprawą jest to, że jeśli jedna witryna WordPress została zhakowana, nie wpłynęło to na inną stronę wp na tym samym serwerze (z wyjątkiem ataku DOS). Widziałem, jak wiele osób zaczyna wp w hostingu współdzielonym, a ich witryna jest atakowana przez hakerów, ale ich sąsiednia strona działa dobrze, ponieważ każda wp ma własną bazę danych na phpmyadmin.
źródło
Didn't affect other WP site on same server:Zbieg okoliczności! Zależy od rodzaju ataku / włamania i intencji hakera / bota.Jak wskazano w poprzednich odpowiedziach: nie można odczytać zapisanych haseł.
Alternatywnym rozwiązaniem może być:
/wp-login.php?action=lostpasswordo zresetowanie haseł.źródło
Hasła WordPress są mieszane, jak każda rozsądna aplikacja, jeśli chodzi o przechowywanie haseł, ponieważ przechowywanie haseł w postaci czystego tekstu jest bardzo niepewne, ponieważ użytkownicy mogą mieć takie samo hasło do innych usług, z których korzystają (gmail?).
Nie można przekonwertować skrótu z powrotem na hasło, w przeciwnym razie równie dobrze można je zapisać jako zwykły tekst. Hasła były wcześniej mieszane,
MD5ale zespół bezpieczeństwa okazał się niepewny, dlatego algorytm skrótu został zaktualizowany dophpass.Wskazówka: WordPress nadal potrafi poprawnie go haszować, nawet jeśli zaktualizujesz MD5 (% hasło%) w kolumnie sql.
Teraz praktycznym sposobem podejścia do tego, co próbujesz zrobić dla pojedynczej witryny, jest wymuszenie zmiany haseł poprzez zmianę kolumny na coś innego i egzekwowanie wymagań dotyczących siły hasła na stronie, na której będą aktualizować swoje hasło. Ale twój przypadek użycia wymaga zrobienia tego w przypadku wielu instalacji WP, a właściciele witryn mogą nie docenić tego, że robisz to bez ich zgody. Zdecydowanie musisz więc ograniczyć zasięg swoich działań.
1) Zaktualizuj hasła tylko dla administratorów, redaktorów, ale musisz ustalić, kim są ci użytkownicy. Wyślij je e-mailem, a następnie wymuś ograniczenie hasła na stronie resetowania hasła / stronie rejestracji itp. Pamiętaj, że ktoś może mieć te formularze w innym miejscu na stronie (pomyśl też o formularzach AJAX). Utworzenie komendy WP-CLI, która pomoże ci tutaj w realizacji tego planu, zamiast ładowania środowiska WP i uruchamiania skryptów.
2) Generowanie tabeli tęczy, która składa się z zaszyfrowanego hasła dla znanego ciągu (hasła). A potem w zasadzie musisz dopasować skrót do hasła konkretnego użytkownika i ocenić siłę tego hasła. Generowanie tabeli jest tutaj najwolniejszym krokiem, ponieważ musisz zaszyfrować każde możliwe hasło, zapisać je na dysku (kilka GB w zależności od długości i kombinacji haseł, które rozliczasz), a następnie działać na podstawie wyników. 99% jest przekonanych, że jest to rozwiązanie przesadne dla twoich potrzeb.
Wskazówka: znasz te sole i tajemnice, które mamy w
wp-config.phpaktach. Ich zmiana unieważnia zalogowane sesje, na wypadek, gdybyś tego kiedykolwiek potrzebował.źródło
Spróbuj użyć siły, używając ataku słownikowego
Jaki jest lepszy sposób oceny siły hasła? :-) Tak, wiem, to zajmie trochę czasu ...
W przeciwnym razie możesz po prostu założyć, że wszystkie hasła są słabe (powiedziałbym, że to będzie bardzo dokładne założenie) i samemu stworzyć hasła, przechowywać skróty w bazie danych i podawać administratorom hasło w postaci zwykłego tekstu za pomocą „bezpiecznego” kanał
W przeciwnym razie załóż, że wszystkie hasła są słabe i zmuś administratorów do ich zmiany, a następnie użyj bardzo wybrednego narzędzia do sprawdzania siły hasła w samej witrynie.
źródło