ब्रूटफोर्स हैश
आप डेटाबेस में संग्रहीत हैश को bruteforce कर सकते हैं।
वर्डप्रेस हैशिंग के लिए फ़ॉग का उपयोग करता है। डिफ़ॉल्ट रूप से, वर्डप्रेस ब्लोफिश या समान का उपयोग नहीं करता है, लेकिन 8192 की पुनरावृत्ति गणना के साथ सिर्फ md5 है। यदि आप वास्तव में खराब पासवर्ड ढूंढना चाहते हैं, तो bruteforcing निश्चित रूप से संभव है।
लेकिन मैं इस विश्वास का एक बड़ा उल्लंघन मानता हूं कि उपयोगकर्ता आपके सामने रखते हैं, इसलिए मैं इस दृष्टिकोण की सिफारिश नहीं करूंगा।
लॉग इन करते समय उनके पासवर्ड का विश्लेषण करें
आप एक स्क्रिप्ट जोड़ सकते हैं जो वर्डप्रेस लॉगिन स्क्रिप्ट के सभी अनुरोधों को स्वीकार करता है, और पासवर्ड का लॉग इन या विश्लेषण करता है, क्योंकि वे उस बिंदु पर प्लेनटेक्स्ट में हैं।
बेशक, यह केवल तब ही कमजोर पासवर्ड पकड़ता है जब कोई उपयोगकर्ता वास्तव में लॉग इन करता है। यदि उन्होंने अपनी साइट को छोड़ दिया है या निष्क्रिय हैं, तो आपको यह पता लगाने में थोड़ा समय लग सकता है कि वे एक कमजोर पासवर्ड का उपयोग करते हैं।
मैं इसे हैश को भंग करने से भी बड़ा उल्लंघन मानूंगा, और यह इसके साथ कुछ सुरक्षा चिंताओं को भी वहन करता है (यदि आप पासवर्ड को प्लेनटेक्स्ट में स्टोर करते हैं, तो यह स्पष्ट रूप से एक चिंता का विषय होगा, लेकिन यदि नहीं, तो आप गलती से कुछ जानकारी संग्रहीत कर सकते हैं। विश्लेषण जो एक हमलावर की मदद कर सकता है)।
एक पासवर्ड नीति लागू करें (और उपयोगकर्ताओं को अपने पासवर्ड बदलने के लिए मजबूर करें)
आप एक पासवर्ड नीति लागू कर सकते हैं। जब कोई उपयोगकर्ता एक नया पासवर्ड सबमिट करता है, तो आप जांच करेंगे कि यह आपकी नीति का अनुपालन करता है या नहीं (आदर्श रूप से, यह सर्वर-साइड होगा, जावास्क्रिप्ट के माध्यम से क्लाइंट-साइड नहीं)।
एक अच्छी पासवर्ड नीति लिखना मुश्किल है, इसलिए यहां आपकी मदद करने के लिए मौजूदा नीतियों पर एक नज़र डालें।
बेशक, पुराने पासवर्ड नीति से प्रभावित नहीं होते हैं, इसलिए आपको उपयोगकर्ताओं को नीति के अनुपालन के लिए अपने पुराने पासवर्ड बदलने के लिए मजबूर करना होगा
नुकसान की सीमा
मजबूत पासवर्ड लागू करना निश्चित रूप से एक अच्छा विचार हो सकता है, लेकिन आदर्श रूप से, एक हैक किया गया वर्डप्रेस उदाहरण आपको वेबमास्टर के रूप में वास्तव में प्रभावित नहीं करना चाहिए।
एक हमलावर द्वारा वर्डप्रेस इंस्टॉलेशन तक पहुंच प्राप्त करने के बाद आपको नुकसान को सीमित करना चाहिए। आदर्श रूप से, आप चाहते हैं कि केवल एक उदाहरण प्रभावित हो, न कि आपका पूरा सर्वर (इसलिए आप किसी हमलावर को किसी वेबसाइट पर अश्लील सामग्री डालने की चिंता कर सकते हैं - ठीक उसी तरह जैसे एक वैध उपयोगकर्ता कर सकता है - लेकिन कोड निष्पादन के बारे में नहीं, या अन्य दुर्भावनापूर्ण गतिविधि)।
यह एक विस्तृत विषय है, लेकिन कुछ बिंदुओं में शामिल हैं: DISALLOW_FILE_EDIT
प्लगइन्स के उपयोग को सीमित करना (क्योंकि वे वर्डप्रेस की तुलना में बहुत कम सुरक्षित रूप से कोडित हैं), जावास्क्रिप्ट को हटा दें (जैसे मल्टीसाइट्स के साथ, केवल सुपर-प्रवेशकों को जावास्क्रिप्ट पोस्ट करने का अधिकार है, नहीं प्रवेश), आदि।