Băm Bruteforce
Bạn có thể bruteforce băm được lưu trữ trong cơ sở dữ liệu.
WordPress sử dụng phpass để băm. Theo mặc định, WordPress không sử dụng blowfish hoặc tương tự, nhưng chỉ md5 với số lần lặp là 8192. Nếu bạn chỉ muốn tìm mật khẩu thực sự xấu, bruteforcing chắc chắn là khả thi.
Nhưng tôi sẽ coi đây là một sự vi phạm khá lớn đối với niềm tin mà người dùng dành cho bạn, vì vậy tôi sẽ không đề xuất phương pháp này.
Phân tích mật khẩu của họ khi đăng nhập
Bạn có thể thêm một tập lệnh chặn tất cả các yêu cầu vào tập lệnh đăng nhập WordPress và ghi nhật ký hoặc phân tích mật khẩu, vì chúng ở trong bản rõ tại thời điểm đó.
Tất nhiên, điều này chỉ bắt được mật khẩu yếu khi người dùng thực sự đăng nhập. Nếu họ đã từ bỏ trang web của họ hoặc không hoạt động, có thể bạn sẽ mất một lúc để phát hiện ra rằng họ sử dụng mật khẩu yếu.
Tôi sẽ coi đây là một sự vi phạm thậm chí còn lớn hơn cả việc bẻ khóa băm và nó cũng mang một số lo ngại về bảo mật với nó (nếu bạn lưu trữ mật khẩu trong bản rõ, điều này rõ ràng sẽ là một mối lo ngại, nhưng ngay cả khi không, bạn có thể vô tình lưu trữ một số thông tin từ các phân tích có thể giúp một kẻ tấn công).
Thực hiện Chính sách mật khẩu (và buộc người dùng thay đổi mật khẩu của họ)
Bạn có thể thực hiện một chính sách mật khẩu. Khi người dùng gửi mật khẩu mới, bạn sẽ kiểm tra xem nó có tuân thủ chính sách của bạn hay không (lý tưởng nhất là điều này sẽ xảy ra ở phía máy chủ, không phải phía máy khách thông qua JavaScript).
Viết một chính sách mật khẩu tốt là khó khăn, vì vậy hãy xem các chính sách hiện có để giúp bạn ở đây.
Tất nhiên, mật khẩu cũ không bị ảnh hưởng bởi chính sách, vì vậy bạn cần buộc người dùng thay đổi mật khẩu cũ để tuân thủ chính sách
Hạn chế thiệt hại
Thực thi mật khẩu mạnh chắc chắn có thể là một ý tưởng hay, nhưng lý tưởng nhất là một ví dụ WordPress bị hack không thực sự ảnh hưởng đến bạn với tư cách là quản trị trang web.
Bạn nên hạn chế thiệt hại khi kẻ tấn công đã có quyền truy cập vào bản cài đặt WordPress. Lý tưởng nhất là bạn chỉ muốn một trường hợp đó bị ảnh hưởng chứ không phải toàn bộ máy chủ của bạn (vì vậy bạn có thể lo lắng về việc kẻ tấn công đưa nội dung không đứng đắn lên trang web - giống như người dùng hợp lệ có thể làm - nhưng không phải về thực thi mã hoặc độc hại khác Hoạt động).
Đây là một chủ đề khá rộng, nhưng một số điểm bao gồm : DISALLOW_FILE_EDIT
, hạn chế sử dụng plugin (vì chúng được mã hóa kém an toàn hơn nhiều so với chính WordPress), không cho phép JavaScript (ví dụ với nhiều trang, chỉ có siêu quản trị viên mới có quyền đăng JavaScript, không quản trị viên), v.v.