MD5-Passwörter mit Bcrypt ersetzten

Unsichere MD5-Passwoerter mit Bcrypt ersetzten

WordPress Passwörter nutzen MD5

Dass WordPress so seine kleinen Probleme beim Thema Sicherheit hat, ist richtig, dennoch ist das Content Management System im Großen und Ganzen eine solide Basis ohne großartige Probleme. Eine schon länger bekannte Schwachstelle betrifft die Nutzerverwaltung von WordPress. Die sichert die Passwörter aller angemeldeten Nutzer nämlich als MD5 Hashwert. So sind sie für niemanden direkt lesbar, zumindest in der Theorie. In der Praxis ist MD5 nämlich unsicher und zwar nicht erst seit kurzem, sondern bereits seit Jahren. Zeit sich dem Problem endlich anzunehmen.

Plugin integriert den Bcrypt-Algorithmus

Wo WordPress selbst noch nicht angesetzt hat, versucht es nun das Team von Roots.io. Die veröffentlichten kürzlich nämlich eine Erweiterung, die sich um genau dieses Problem kümmert. Statt MD5 kommt bei ihrer Lösung der Bcrypt-Algorithmus zum Einsatz, der allerdings erst seit ab PHP 5.5 unterstützt wird. Mit deutlich mehr Aufwand werden so auch deutlich sicherere Passwörter erzeugt, die weder eingesehen, noch entschlüsselt werden können. Mehr Sicherheit mit wenig Aufwand also, denn die Lösung liefert das Team als kostenloses Plugin.

MD5 Hashwerte in Bcrypt umwandeln

Das WordPress Plugin braucht dabei nur schnell installiert werden, den Rest erledigt die Erweiterung nahezu selbständig. Loggt sich ein Nutzer ein, wird der MD5 Hashwert mit Bcrypt re-hashed, also neu erzeugt. Das bedeutet gleichzeitig, dass für Nutzer die sich gar nicht mehr einloggen, auch kein neuer Wert erzeugt wird. Falls ihr die Erweiterung anschließend wieder deaktiviert, bleiben bestehende Bcrypt-Passwörter bestehen, neue werden aber wieder wie gewohnt mit MD5 erzeugt. Ganz simpel also und ohne viel Drumherum.

Registrierung verbieten oder absichern

Das Problem mit unsicheren Passwörtern bzw. allgemein mit MD5 Hashwerten ist seit Jahren bekannt. WordPress selbst verweigert aber einen Hinweis oder eine Lösung, wohl vor allem deshalb weil noch alte PHP-Versionen unterstützt werden, während Bcrypt voll auf PHP 5.5 setzt. Ob das sinnvoll ist, MD5 einfach stillschweigend beizubehalten, sei mal dahingestellt. Mit dem wp-password-bcrypt Plugin habt ihr nun zumindest eine Alternative. Entweder schaltet ihr die Registrierung also ab und sichert euer Admin, oder ihr sorgt mit dem Plugin dafür, dass Passwörter auch wirklich sicher in der Datenbank hinterlegt werden.

Wie fandest du diesen Artikel?

0/5 (0 Reviews)

Christian
Christian
Mein Name ist Christian und ich bin Mitgründer der Plattform fastWP. Hier im Magazin bin ich für die eher "technisch" lastigen Themen zuständig aber schreibe gerne über das Thema SEO, das nun bereits seit über 10 Jahren zu meiner Leidenschaft gehört.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here

fastWP

Finde den passenden WordPress Dienstleister in deiner Region!

Deine Werbung hier?

Nutze die Reichweite von fastWP und erreiche deine Zielgruppe!

weiter zu Raidboxes