Twitter
Jetzt anfragen

MD5-Passwörter mit Bcrypt ersetzten

Inhaltsverzeichnis

Wordpress Passwörter nutzen MD5

Dass Wordpress so seine kleinen Probleme beim Thema Sicherheit hat, ist richtig, dennoch ist das Content Management System im Großen und Ganzen eine solide Basis ohne großartige Probleme. Eine schon länger bekannte Schwachstelle betrifft die Nutzerverwaltung von Wordpress. Die sichert die Passwörter aller angemeldeten Nutzer nämlich als MD5 Hashwert. So sind sie für niemanden direkt lesbar, zumindest in der Theorie. In der Praxis ist MD5 nämlich unsicher und zwar nicht erst seit kurzem, sondern bereits seit Jahren. Zeit sich dem Problem endlich anzunehmen.

Plugin integriert den Bcrypt-Algorithmus

Wo Wordpress selbst noch nicht angesetzt hat, versucht es nun das Team von Roots.io. Die veröffentlichten kürzlich nämlich eine Erweiterung, die sich um genau dieses Problem kümmert. Statt MD5 kommt bei ihrer Lösung der Bcrypt-Algorithmus zum Einsatz, der allerdings erst seit ab PHP 5.5 unterstützt wird. Mit deutlich mehr Aufwand werden so auch deutlich sicherere Passwörter erzeugt, die weder eingesehen, noch entschlüsselt werden können. Mehr Sicherheit mit wenig Aufwand also, denn die Lösung liefert das Team als kostenloses Plugin.

MD5 Hashwerte in Bcrypt umwandeln

Das Wordpress Plugin braucht dabei nur schnell installiert werden, den Rest erledigt die Erweiterung nahezu selbständig. Loggt sich ein Nutzer ein, wird der MD5 Hashwert mit Bcrypt re-hashed, also neu erzeugt. Das bedeutet gleichzeitig, dass für Nutzer die sich gar nicht mehr einloggen, auch kein neuer Wert erzeugt wird. Falls ihr die Erweiterung anschließend wieder deaktiviert, bleiben bestehende Bcrypt-Passwörter bestehen, neue werden aber wieder wie gewohnt mit MD5 erzeugt. Ganz simpel also und ohne viel Drumherum.

Registrierung verbieten oder absichern

Das Problem mit unsicheren Passwörtern bzw. allgemein mit MD5 Hashwerten ist seit Jahren bekannt. Wordpress selbst verweigert aber einen Hinweis oder eine Lösung, wohl vor allem deshalb weil noch alte PHP-Versionen unterstützt werden, während Bcrypt voll auf PHP 5.5 setzt. Ob das sinnvoll ist, MD5 einfach stillschweigend beizubehalten, sei mal dahingestellt. Mit dem wp-password-bcrypt Plugin habt ihr nun zumindest eine Alternative. Entweder schaltet ihr die Registrierung also ab und sichert euer Admin, oder ihr sorgt mit dem Plugin dafür, dass Passwörter auch wirklich sicher in der Datenbank hinterlegt werden.

  • Artikel zuletzt aktualisiert am: 22. Dezember 2021
Christian Pust
WordPress & Onlinemarketing Experte mit über 15 Jahren Erfahrung. Entwickler & CEO von Trackboxx – der Google Analytics Alternative.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Top Themen

Das könnte dich auch interessieren

Du benötigst Unterstützung bei deinem WordPress Projekt?

Dein Ansprechpartner
Christian

Du suchst eine DSGVO konforme Alternative zu Google Analytics?

👉 Deine Lösung Trackboxx

Top Themen

Unsere Leistungen

Dies & Das

Informationen

© 2024 fastWP | Unser Service richtet sich ausschließlich an Unternehmer. Geschäfte mit Verbrauchern tätigen wir nicht.