वर्डप्रेस (पहले से संग्रहीत) पासवर्ड की ताकत कैसे पता करें?


10

मैं बहुत सारे साझा होस्टिंग सर्वर की सुरक्षा के लिए जिम्मेदार हूं। उनमें से ज्यादातर वर्डप्रेस वेबसाइट हैं। प्रत्येक सर्वर में कम से कम 500 वर्डप्रेस वेबसाइटें होती हैं।

मेरे एक्सपीरियंस में, वर्डप्रेस के साथ समस्या कमजोर पासवर्ड से शुरू होती है। अधिकांश वेबसाइट का व्यवस्थापक पासवर्ड बहुत कमजोर है और कमजोर पासवर्ड वेबसाइट का उपयोग और विभिन्न दुर्भावनापूर्ण गतिविधियों के लिए उपयोग किया जाता है।

अब मेरी योजना वर्डप्रेस वेबसाइट के कमजोर पासवर्ड का पता लगाने और बलपूर्वक एडमिन पासवर्ड को किसी अन्य मजबूत पासवर्ड में बदलने की है। ताकि, वर्डप्रेस को सुरक्षित किया जा सके और मेरा सर्वर किसी मुसीबत में न पड़े।

संग्रहीत वर्डप्रेस पासवर्ड की ताकत जानने का तरीका क्या है?

जवाबों:


8

ब्रूटफोर्स हैश

आप डेटाबेस में संग्रहीत हैश को bruteforce कर सकते हैं।

वर्डप्रेस हैशिंग के लिए फ़ॉग का उपयोग करता है। डिफ़ॉल्ट रूप से, वर्डप्रेस ब्लोफिश या समान का उपयोग नहीं करता है, लेकिन 8192 की पुनरावृत्ति गणना के साथ सिर्फ md5 है। यदि आप वास्तव में खराब पासवर्ड ढूंढना चाहते हैं, तो bruteforcing निश्चित रूप से संभव है।

लेकिन मैं इस विश्वास का एक बड़ा उल्लंघन मानता हूं कि उपयोगकर्ता आपके सामने रखते हैं, इसलिए मैं इस दृष्टिकोण की सिफारिश नहीं करूंगा।

लॉग इन करते समय उनके पासवर्ड का विश्लेषण करें

आप एक स्क्रिप्ट जोड़ सकते हैं जो वर्डप्रेस लॉगिन स्क्रिप्ट के सभी अनुरोधों को स्वीकार करता है, और पासवर्ड का लॉग इन या विश्लेषण करता है, क्योंकि वे उस बिंदु पर प्लेनटेक्स्ट में हैं।

बेशक, यह केवल तब ही कमजोर पासवर्ड पकड़ता है जब कोई उपयोगकर्ता वास्तव में लॉग इन करता है। यदि उन्होंने अपनी साइट को छोड़ दिया है या निष्क्रिय हैं, तो आपको यह पता लगाने में थोड़ा समय लग सकता है कि वे एक कमजोर पासवर्ड का उपयोग करते हैं।

मैं इसे हैश को भंग करने से भी बड़ा उल्लंघन मानूंगा, और यह इसके साथ कुछ सुरक्षा चिंताओं को भी वहन करता है (यदि आप पासवर्ड को प्लेनटेक्स्ट में स्टोर करते हैं, तो यह स्पष्ट रूप से एक चिंता का विषय होगा, लेकिन यदि नहीं, तो आप गलती से कुछ जानकारी संग्रहीत कर सकते हैं। विश्लेषण जो एक हमलावर की मदद कर सकता है)।

एक पासवर्ड नीति लागू करें (और उपयोगकर्ताओं को अपने पासवर्ड बदलने के लिए मजबूर करें)

आप एक पासवर्ड नीति लागू कर सकते हैं। जब कोई उपयोगकर्ता एक नया पासवर्ड सबमिट करता है, तो आप जांच करेंगे कि यह आपकी नीति का अनुपालन करता है या नहीं (आदर्श रूप से, यह सर्वर-साइड होगा, जावास्क्रिप्ट के माध्यम से क्लाइंट-साइड नहीं)।

एक अच्छी पासवर्ड नीति लिखना मुश्किल है, इसलिए यहां आपकी मदद करने के लिए मौजूदा नीतियों पर एक नज़र डालें।

बेशक, पुराने पासवर्ड नीति से प्रभावित नहीं होते हैं, इसलिए आपको उपयोगकर्ताओं को नीति के अनुपालन के लिए अपने पुराने पासवर्ड बदलने के लिए मजबूर करना होगा

नुकसान की सीमा

मजबूत पासवर्ड लागू करना निश्चित रूप से एक अच्छा विचार हो सकता है, लेकिन आदर्श रूप से, एक हैक किया गया वर्डप्रेस उदाहरण आपको वेबमास्टर के रूप में वास्तव में प्रभावित नहीं करना चाहिए।

एक हमलावर द्वारा वर्डप्रेस इंस्टॉलेशन तक पहुंच प्राप्त करने के बाद आपको नुकसान को सीमित करना चाहिए। आदर्श रूप से, आप चाहते हैं कि केवल एक उदाहरण प्रभावित हो, न कि आपका पूरा सर्वर (इसलिए आप किसी हमलावर को किसी वेबसाइट पर अश्लील सामग्री डालने की चिंता कर सकते हैं - ठीक उसी तरह जैसे एक वैध उपयोगकर्ता कर सकता है - लेकिन कोड निष्पादन के बारे में नहीं, या अन्य दुर्भावनापूर्ण गतिविधि)।

यह एक विस्तृत विषय है, लेकिन कुछ बिंदुओं में शामिल हैं: DISALLOW_FILE_EDITप्लगइन्स के उपयोग को सीमित करना (क्योंकि वे वर्डप्रेस की तुलना में बहुत कम सुरक्षित रूप से कोडित हैं), जावास्क्रिप्ट को हटा दें (जैसे मल्टीसाइट्स के साथ, केवल सुपर-प्रवेशकों को जावास्क्रिप्ट पोस्ट करने का अधिकार है, नहीं प्रवेश), आदि।


4

मुझे यकीन नहीं है कि यह भी संभव है। जब आप अपना पासवर्ड चुनते हैं, तो इसे डेटाबेस में संग्रहीत किया जाता है। जब हैश एल्गोरिदम की बात आती है तो कोई रिवर्स एनीयरिंग नहीं है।

मेरे अनुभव में, पासवर्ड स्ट्रेंथ के लिए स्क्रिप्ट में स्थित है www.example.com/wp-admin/js/password-strength-meter.js, और यह इसके लिए लिंक है।

आप यहां पासवर्ड के लिए स्तर और प्रतिशत बदल सकते हैं, इसलिए आप 100/100 पर एक अनिवार्य पासवर्ड सेट कर सकते हैं।

और, यदि आप चाहते हैं कि आपका क्लाइंट पासवर्ड की जांच करे, तो एक ऐसा प्यारा एप्लिकेशन है जो आपको पासवर्ड को यहाँ ज़ोर देने की अनुमति दे सकता है।

यहां कुछ रिवर्स एनीयरिंग करना असंभव है, और इसके अलावा, कुछ प्लगइन्स हैं जो उपयोगकर्ताओं को मजबूत पासवर्ड प्राप्त करने के लिए मजबूर कर रहे हैं।


1
ऐसा लगता है कि एक नो-ब्रेनर साधारण चीज़ वेब होस्ट और साइट के मालिक खुद को बचाने में मदद कर सकते हैं। बहुत अच्छा सवाल और जवाब! मुझे यकीन नहीं है कि इसे पहले कभी यहां संबोधित किया गया था। यह कम से कम लंबे समय से संबोधित नहीं किया गया है। चीयर्स !!
क्लोजेटनॉक

1
उपरोक्त उत्तर अच्छा है, लेकिन यह मेरी समस्या का समाधान नहीं करता है। अधिकांश वर्डप्रेस वेबसाइट पहले से ही स्थापित हैं या एक दिन में 100s WP की स्थापना मेरे सर्वर में चल रही है। मान लें कि मैं पासवर्ड-शक्ति-मीटर का उपयोग करके पासवर्ड की ताकत को बदल देता हूं। जेएस, फिर भी मेरे लिए उपयोगी नहीं है। Bcoz, pwd पहले से ही सेट है। यह केवल नए पासवार्ड के लिए उपयोगी होगा, जिसके लिए पहले से सेट नहीं है।
मणि

1
लेकिन, ऐसा कोई तरीका नहीं है कि आप डेटाबेस से सभी पासवर्ड का पता लगा सकें क्योंकि वे हैशेड हैं। आप इसे सेट कर सकते हैं और फिर सभी उपयोगकर्ताओं को अपने पासवर्ड बदलने के लिए फिर से भेज सकते हैं ताकि उनके पास मजबूत पासवर्ड हो सकें। मैं इस के आसपास कोई अन्य रास्ता नहीं देखता। नीचे दिए गए उत्तरों की भी जाँच करें।
जोसिप आइविक

2
@ जोसिप आइविक, केवल एक तरीका है कि आप पीडब्ल्यूडी को रीसेट कर दें और एडमिन को सूचित करें।
मणि

1
नए उपयोगकर्ताओं के लिए, मैं सिर्फ सर्वर पर wp पर स्क्रिप्ट को समायोजित करूंगा, इसलिए मजबूत पासवर्ड होना अनिवार्य है, और पुराने उपयोगकर्ताओं के लिए, मैं उन्हें मेल भेजूंगा, ताकि वे अपने पासवर्ड को मजबूत लोगों में बदल सकें। जैसा मैंने कहा है, ऐसा करने का कोई आसान तरीका नहीं है, लेकिन यह करने योग्य है। :)
जोसिप आइवी

3

अच्छी खबर यह है कि आप उपयोगकर्ताओं के पासवर्ड बदल सकते हैं, बुरी खबर यह है कि आप उन्हें नहीं देख सकते हैं।
Wordpress इतना शक्तिशाली है कि डेटाबेस में भी यह पासवर्ड को एक तरह से स्टोर करता है एन्क्रिप्शन यह सिर्फ एक md5 हैश नहीं है जिसे आप कन्वर्ट कर सकते हैं, यह सीरियल किए गए डेटा भी नहीं है, पासवर्ड के लिए test123आपको कुछ ऐसा मिलेगा $P$BjW8o9Dm1vC5bwAcP1iAdNVm0lbvn, भले ही आप पासवर्ड फ़ील्ड बदल दें एन्क्रिप्शन का उपयोग किए बिना डेटाबेस में, यह काम नहीं करेगा।

पासवर्ड कैसे बदलें

मेरा मानना ​​है कि आप इसके बारे में जानते हैं लेकिन मैं इसे यहां छोड़ दूंगा। आप अपने वर्डप्रेस डैशबोर्ड को व्यवस्थापक विशेषाधिकार के साथ दर्ज कर सकते हैं, उपयोगकर्ताओं के पास जा सकते हैं, एक उपयोगकर्ता ढूंढ सकते हैं और यह हिस्सा आपके उद्देश्यों के लिए खराब है क्योंकि आपको नया पासवर्ड उत्पन्न करना होगा, यह आपको अक्षरों और प्रतीकों के कुछ यादृच्छिक सूप देगा और आप कर सकते हैं इसे अपने साथ संपादित करें लेकिन फिर भी आप पासवर्ड नहीं देख सकते।


उल्लेख करने के लिए भूल गए कि आप उपयोगकर्ताओं को मजबूत पासवर्ड दर्ज करने की आवश्यकता के लिए iThemes जैसे प्लगइन का उपयोग कर सकते हैं, यह भी कि आप अपने आप में रुचि रखने वाले
पाखंडी

3

चूंकि पासवर्ड हैशेड हैं, उनकी सुरक्षा का परीक्षण करने का एकमात्र तरीका उन्हें मजबूर करना है। आमतौर पर उपयोग किए जाने वाले, कमजोर पासवर्डों की एक सूची इकट्ठा करें और अपने डेटाबेस में संग्रहीत हैश के खिलाफ उनका परीक्षण करें।

जब तक आप एक बहुत ही संपूर्ण पासवर्ड सूची का उपयोग नहीं करते हैं, यह सभी कमजोर पासवर्डों को नहीं पकड़ेगा, लेकिन यह उनमें से सबसे कमजोर को फ़िल्टर करेगा।


यह एक ऐसा समाधान है जिसमें समय की कमी होती है।
जोसिप आइवी

इसे ही एक इंद्रधनुष तालिका का निर्माण कहा जाता है।
एशफैम

@Ashfame नहीं, यह नहीं है। एक इंद्रधनुष तालिका एक बहुत अधिक परिष्कृत दृष्टिकोण है जो जरूरी नहीं कि इस परिदृश्य के लिए सबसे उपयुक्त है।
टॉम वान डेर ज़ंडेन

@TomvanderZanden यह एक उपयुक्त दृष्टिकोण नहीं हो सकता है, लेकिन यह कैसे एक इंद्रधनुष तालिका नहीं होगी?
एशफैम

@Ashfame क्योंकि इंद्रधनुष तालिका "आपके डेटाबेस के विरुद्ध पासवर्डों की सूची की जाँच" की तुलना में बहुत अधिक परिष्कृत है। उदाहरण के लिए, रेनबो टेबल, हैश चेन और कटौती कार्यों का उपयोग करते हैं। यह भी ध्यान दें कि इंद्रधनुष तालिका बनाने में आपके डेटाबेस के खिलाफ सभी पासवर्डों की जांच करने की तुलना में अधिक समय लगता है। एक पूर्वनिर्मित इंद्रधनुष तालिका का उपयोग करना समझ में आता है, लेकिन यह इस स्थिति के लिए ओवरकिल हो सकता है।
टॉम वैन डेर ज़ंडेन

1

जब तक आपके पास प्रत्येक वर्डप्रेस डेटाबेस में कोई नियंत्रण नहीं है, जिसे phpmyadmin में संग्रहीत किया गया है, तब तक आप जबरदस्ती wp admin पासवर्ड नहीं बदल सकते।

और नहीं, 500 वर्डप्रेस साइट पर वीक पासवर्ड पता करने का कोई त्वरित तरीका नहीं है। जोसिप ने पासवर्ड की ताकत को चेक करने के लिए एक लिंक का उल्लेख किया है, लेकिन उस साइट ने पासवर्ड की ताकत की जांच करने के लिए md5 क्रिप्टो एल्गो का उपयोग नहीं किया।

इस SO लिंक को चेकआउट करें , ( MD5 का उपयोग करके Wordpress ) और आप देखेंगे कि आउटपुट उस ऐप से अलग है। तो जैसा कि आप देख रहे हैं p#aSS*Word14कि यह सुरक्षित Dance With Me Tonightनहीं है, इसलिए अपने वर्डप्रेस पासवर्ड की जांच करने के लिए थर्ट पार्टी ऐप का उपयोग न करें, क्योंकि हो सकता है कि वे पासवर्ड की ताकत को जांचने / मानने के लिए किसी अन्य क्रिप्टो एल्गोरिथ्म का उपयोग कर रहे हों।

इसके अलावा, आपके पास सभी पासवर्ड होने चाहिए, और एक-एक करके इसका परीक्षण करना चाहिए, जल्दी पता लगाने के लिए कोई जादू की चाल नहीं है।

एक और बात यह है कि, यदि एक वर्डप्रेस साइट को हैक किया जाता है तो यह उसी सर्वर में अन्य wp साइट को प्रभावित नहीं करता है (डीओएस हमले को छोड़कर)। मैंने कई लोगों को साझा होस्टिंग में wp शुरू करते देखा है, और उनकी साइट हैक हो रही है, लेकिन फिर भी उनकी पड़ोसी साइट ठीक चल रही थी, क्योंकि प्रत्येक wp के पास phpmyadmin का अपना डेटाबेस है।


Didn't affect other WP site on same server:संयोग! हमला / हैक और हैकर / बॉट के इरादे के प्रकार पर निर्भर करता है।
अशफाम

मैं wordpress security की बात कर रहा हूँ, root level security की नहीं। लेकिन मुझे यकीन है, सैंडबॉक्स तंत्र का उपयोग करने वाले अधिकांश होस्टिंग प्रदाता एक ही सर्वर पर अन्य वेबसाइट को प्रभावित नहीं करते थे।
गोएल्लो

1

जैसा कि पिछले उत्तर में बताया गया है: आप संग्रहीत पासवर्ड नहीं पढ़ सकते हैं।

एक वैकल्पिक समाधान हो सकता है:

  1. मजबूत पासवर्ड लागू करने के लिए जोसिप आइविक द्वारा सुझाव को लागू करें।
  2. सभी पासवर्ड हटाएं (या कुछ विशेष विशेषाधिकार वाले उपयोगकर्ताओं के लिए केवल पासवर्ड)।
  3. और अंत में, प्रभावित उपयोगकर्ताओं को सूचित करें कि एक नई पासवर्ड नीति प्रभावी है और उन्हें /wp-login.php?action=lostpasswordअपने पासवर्ड रीसेट करने के लिए निर्देशित करें ।

1

वर्डप्रेस पासवर्ड हैश किए जाते हैं, जैसे किसी भी समझदार एप्लिकेशन को पासवर्ड स्टोर करने की बात आती है क्योंकि क्लियर टेक्स्ट पासवर्ड स्टोर करना बहुत असुरक्षित है क्योंकि आपके उपयोगकर्ताओं के पास उनके द्वारा उपयोग की जाने वाली अन्य सेवाओं के लिए समान पासवर्ड हो सकता है (सोचिए जीमेल?)।

हैश को पासवर्ड में बदलना संभव नहीं है, अन्यथा कोई भी उन्हें स्पष्ट पाठ में संग्रहीत कर सकता है। पासवर्ड पहले से हैशेड हुआ करते थे MD5लेकिन सुरक्षा टीम द्वारा असुरक्षित साबित किया गया था, इसलिए हैशिंग एल्गोरिथ्म को अपडेट किया गया था phpass

युक्ति: यदि आप MD5 (% पासवर्ड%) को sql कॉलम में अपडेट करते हैं, तब भी वर्डप्रेस इसे सही ढंग से हैश कर सकता है।

अब आप किसी एकल साइट के लिए जो करने की कोशिश कर रहे हैं, उसके लिए व्यावहारिक तरीका यह है कि कॉलम को किसी और चीज़ में बदलकर और जिस पेज पर वे अपना पासवर्ड अपडेट करने जा रहे हैं, वहाँ पासवर्ड की ज़रूरतों को लागू करने के लिए वास्तव में पासवर्ड बदलने के लिए बाध्य करें। लेकिन आपके उपयोग के मामले में इतने सारे WP इंस्टॉल पर ऐसा करने की आवश्यकता होती है और वे साइट के मालिक आपकी मर्जी के बिना ऐसा करने की सराहना नहीं कर सकते हैं। तो, आपको निश्चित रूप से अपने कार्यों के प्रभाव के दायरे को सीमित करना होगा।

1) केवल एडमिट्स, एडिटर्स के लिए पासवर्ड अपडेट करें, लेकिन इसके लिए आपको यह पता लगाना होगा कि वे उपयोगकर्ता कौन हैं। उन्हें ईमेल करें और फिर रीसेट पासवर्ड पेज / पंजीकरण पृष्ठ आदि पर पासवर्ड प्रतिबंध लागू करें। याद रखें कि किसी के पास साइट पर कहीं और भी ऐसे फॉर्म हो सकते हैं (सोचिए AJAX फॉर्म भी)। WP-CLI कमांड बनाना जो WP पर्यावरण को लोड करने और स्क्रिप्ट चलाने के बजाय इस योजना को निष्पादित करने में आपकी सहायता करता है।

2) एक इंद्रधनुष तालिका बनाना जिसमें एक ज्ञात स्ट्रिंग (पासवर्ड) के लिए हैशेड पासवर्ड शामिल होता है। और फिर आपको मूल रूप से किसी विशेष उपयोगकर्ता के पासवर्ड के साथ हैशिंग का मिलान करना होगा और उस पासवर्ड की ताकत का मूल्यांकन करना होगा। तालिका बनाना सबसे धीमा कदम है क्योंकि आपको प्रत्येक संभावित पासवर्ड को हैश करना होगा जो इसे डिस्क पर स्टोर कर सकता है (आप जिस पासवर्ड के लिए हिसाब कर रहे हैं उसकी लंबाई और संयोजन के आधार पर कई जीबी) और फिर परिणामों पर कार्य करें। 99% यकीन है कि यह आपकी जरूरतों के लिए एक overkill समाधान है।

युक्ति: आप उन लवणों और रहस्यों को जानते हैं जो हमारे पास wp-config.phpफ़ाइल में हैं। उन्हें बदलने से सत्र में लॉग इन अमान्य हो जाते हैं, बस अगर आपको कभी भी आवश्यकता होती है।


1

एक शब्दकोश हमले का उपयोग कर इसे बलपूर्वक करने की कोशिश करें

पासवर्ड की ताकत का आकलन करने का बेहतर तरीका क्या है? :-) हाँ, मुझे पता है, इसमें थोड़ा समय लगेगा ...

अन्यथा, आप बस यह मान सकते हैं कि सभी पासवर्ड कमजोर हैं (मैं कहूंगा कि यह बहुत सटीक धारणा है) और अपने आप को पासवर्ड बनाएं, डेटाबेस में हैश स्टोर करें और "सुरक्षित" का उपयोग करके प्रवेशकों को सादे पाठ पासवर्ड दें चैनल

अन्यथा, मान लें कि सभी पासवर्ड कमजोर हैं और उन्हें बदलने के लिए व्यवस्थापक को मजबूर करते हैं, और वेबसाइट पर ही बहुत अशिष्ट पासवर्ड शक्ति सत्यापनकर्ता का उपयोग करें।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.