Până acum, WordPress a folosit algoritmul phpass portable hashing pentru stocarea parolelor, însă acesta este considerat mai puțin sigur în comparație cu bcrypt. Principalele beneficii ale bcrypt sunt:
- Rezistență mai mare la atacuri – Bcrypt crește costul computațional necesar pentru a sparge un hash de parolă.
- Compatibilitate pe termen lung – Algoritmul permite ajustarea costului de hashing odată cu creșterea puterii de calcul disponibile, menținând securitatea ridicată.
- Standardizare – Bcrypt este un standard bine stabilit și utilizat de multe alte platforme și servicii web.
Ce alte schimbări de securitate aduce WordPress 6.8?
Pe lângă trecerea la bcrypt pentru parolele utilizatorilor, WordPress 6.8 introduce și utilizarea algoritmului BLAKE2b pentru alte chei și token-uri de securitate, inclusiv:
- Parolele aplicațiilor
- Cheile de resetare a parolelor
- Cheile pentru solicitările de date personale
- Cheia de recuperare a modului Recovery
BLAKE2b este un algoritm criptografic rapid și sigur, utilizat în locul phpass pentru aceste elemente, fără a afecta performanța site-ului.
Ce trebuie să facă utilizatorii și administratorii de site-uri?
Nimic! Trecerea la bcrypt se face automat odată cu actualizarea la WordPress 6.8. Parolele existente vor continua să funcționeze, iar la prima autentificare după update, acestea vor fi re-hash-ate cu noul algoritm.
Totuși, dezvoltatorii ar trebui să fie atenți la următoarele aspecte:
- Dacă un plugin sau o temă verifică manual prefixele hash-urilor, trebuie actualizat pentru a recunoaște noul prefix $wp$2y$ pentru bcrypt.
- Funcțiile wp_hash_password() și wp_check_password() sunt actualizate pentru a folosi password_hash() și password_verify(), iar orice cod care suprascrie aceste funcții trebuie revizuit.
- O nouă funcție wp_password_needs_rehash() permite verificarea necesității de re-hashing pentru o parolă.
Suport pentru Argon2
WordPress 6.8 include și suport pentru algoritmul Argon2id, o alternativă și mai sigură, însă aceasta trebuie activată manual de către administratorii serverelor compatibile. Activarea se face printr-o simplă linie de cod:
add_filter( 'wp_hash_password_algorithm', fn() => PASSWORD_ARGON2ID );
Această opțiune este disponibilă doar pe serverele care au libargon2 și o versiune de PHP compatibilă.
Această actualizare a WordPress reprezintă un pas important pentru securitatea online, protejând mai bine datele utilizatorilor și reducând riscurile asociate atacurilor asupra parolelor. Dacă site-ul tău rulează pe WordPress, nu trebuie să faci nimic special—actualizarea la 6.8 îți va aduce toate aceste beneficii în mod automat!
Dacă ai nevoie de ajutor pentru actualizarea și securizarea site-ului tău WordPress, echipa noastră este aici să te sprijine!
