تحسين آمان كلمات المرور في الووردبريس

الووردبريس ما زالت تقدم دعم لإصدارات الـ PHP القديمة والغير مدعومة، كما أن عدد كبير من المستخدمين ما زالوا يعملون على PHP 5.2 أو PHP 5.3، وهي إصدارات لم تعد تتلقى أي تحديثات صيانة أو تحديثات أمنية منذ مدة طويلة.

في سياق هذه المقالة، الووردبريس تستخدم مكتبة phpass في تشفير كلمات المرور والتي بدورها تُستخدم خوارزمية Blowfish و تُمكن من توليد Portable Hash.

في الوقت الذي اختار فيه مطوري نواة الووردبريس ودروبال هذه المكتبة عام 2008 (قبل أكثر من 8 سنوات) كان قرارًا صائبًا، في وقتها لم تكن هناك بدائل أفضل، ولكن الوضع مختلف الآن، هناك العديد من المكتبات مثل: bcrypt، scrypt، libsodium وخوارزميات مثل: Argon2.

لغة الـ PHP، أضافت Password Hashing API منذ النسخة 5.5 وهي واجهة برمجية مُساعدة تُمكن مطوري الـ PHP من تشفير كلمات المرور باستخدام مكتبة bcrypt (حاليًا) بشكل بسيط وفعال.

لذا، في حال كان موقع الووردبريس الخاص بك يعمل على PHP 5.5+، لماذا ﻻ تكافئ موقعك باستخدام تقنيات تشفير أفضل واكثر أمانًا؟

الووردبريس تسمح باستبدال دوال wp_check_password، wp_hash_password، وwp_set_password وذلك يُمكننا من عمل Implementation أفضل ومناسب للبيئة التي يعمل عليها الموقع.

هناك عدة إضافات في المستودع يمكنك الإطلاع عليها وتجربتها، راقت لي منها إضافة wp-password-bcrypt والتي يُمكن تركيبها كـ Must Use Plugin، وتستخدم PHP 5.5+ Password Hashing API.

طبعًا يمكن تنفيذ نفس الفكرة باستخدام PHP 5.3.7 ومكتبة password_compact ولكن لماذا ما زلت تستخدم النسخة 5.3.7 بالأساس؟!، نحن في عام 2016، انضم إلينا وحاول استخدام إصدارات أحدث. 🙂

اترك رد