Wordpress Performance Wordpress SEO Wordpress Security Wordpress Themes Wordpress Hosting Mein Setup Das Buch

MD5-Passwörter mit Bcrypt ersetzten

Unsichere MD5-Passwoerter mit Bcrypt ersetzten

WordPress Passwörter nutzen MD5

Dass WordPress so seine kleinen Probleme beim Thema Sicherheit hat, ist richtig, dennoch ist das Content Management System im Großen und Ganzen eine solide Basis ohne großartige Probleme. Eine schon länger bekannte Schwachstelle betrifft die Nutzerverwaltung von WordPress. Die sichert die Passwörter aller angemeldeten Nutzer nämlich als MD5 Hashwert. So sind sie für niemanden direkt lesbar, zumindest in der Theorie. In der Praxis ist MD5 nämlich unsicher und zwar nicht erst seit kurzem, sondern bereits seit Jahren. Zeit sich dem Problem endlich anzunehmen.

Plugin integriert den Bcrypt-Algorithmus

Wo WordPress selbst noch nicht angesetzt hat, versucht es nun das Team von Roots.io. Die veröffentlichten kürzlich nämlich eine Erweiterung, die sich um genau dieses Problem kümmert. Statt MD5 kommt bei ihrer Lösung der Bcrypt-Algorithmus zum Einsatz, der allerdings erst seit ab PHP 5.5 unterstützt wird. Mit deutlich mehr Aufwand werden so auch deutlich sicherere Passwörter erzeugt, die weder eingesehen, noch entschlüsselt werden können. Mehr Sicherheit mit wenig Aufwand also, denn die Lösung liefert das Team als kostenloses Plugin.

MD5 Hashwerte in Bcrypt umwandeln

Das WordPress Plugin braucht dabei nur schnell installiert werden, den Rest erledigt die Erweiterung nahezu selbständig. Loggt sich ein Nutzer ein, wird der MD5 Hashwert mit Bcrypt re-hashed, also neu erzeugt. Das bedeutet gleichzeitig, dass für Nutzer die sich gar nicht mehr einloggen, auch kein neuer Wert erzeugt wird. Falls ihr die Erweiterung anschließend wieder deaktiviert, bleiben bestehende Bcrypt-Passwörter bestehen, neue werden aber wieder wie gewohnt mit MD5 erzeugt. Ganz simpel also und ohne viel Drumherum.

Registrierung verbieten oder absichern

Das Problem mit unsicheren Passwörtern bzw. allgemein mit MD5 Hashwerten ist seit Jahren bekannt. WordPress selbst verweigert aber einen Hinweis oder eine Lösung, wohl vor allem deshalb weil noch alte PHP-Versionen unterstützt werden, während Bcrypt voll auf PHP 5.5 setzt. Ob das sinnvoll ist, MD5 einfach stillschweigend beizubehalten, sei mal dahingestellt. Mit dem wp-password-bcrypt Plugin habt ihr nun zumindest eine Alternative. Entweder schaltet ihr die Registrierung also ab und sichert euer Admin, oder ihr sorgt mit dem Plugin dafür, dass Passwörter auch wirklich sicher in der Datenbank hinterlegt werden.



Wordpress Performance eBook