前言介紹
- 這款 WordPress 外掛「PHP Native Password Hash」是 2017-01-03 上架。
- 目前有 2000 個安裝啟用數。
- 上一次更新是 2024-06-10,距離現在已有 328 天。
- 外掛最低要求 WordPress 5.2 以上版本才可以安裝。
- 外掛要求網站主機運作至少需要 PHP 版本 7.0 以上。
- 有 6 人給過評分。
- 還沒有人在論壇上發問,可能目前使用數不多,還沒有什麼大問題。
外掛協作開發者
外掛標籤
argon2 | bcrypt | password | password_hash | password hashing |
內容簡介
這個外掛程式可以將 WordPress 核心的密碼雜湊機制替換為 PHP 5.5 的 password_hash() 及其相關的函數。預設情況下,PHP 使用 bcrypt 來雜湊密碼。如果可用,這個外掛程式將使用現代化的 Argon2 演算法。轉換將是透明的。
將使用加密安全的偽隨機數生成器 (CSPRNG) 來產生密碼鹽。
因為會為每個密碼產生安全的密碼鹽,所以密碼雜湊不會成為字典攻擊或任何其他預先計算的雜湊列表的攻擊對象。
將加密多次以提高抵抗暴力攻擊的強度。
密碼檢查的方式可以減緩時間攻擊。
您無需重設所有使用者的密碼。已經在資料庫中雜湊的密碼會在下次使用者登入時自動且透明地重新雜湊。
PHP 可能會開發出更新的密碼雜湊演算法,這些演算法將自動支援,而不需要重設所有的密碼。
我們最初製作這個外掛程式是因為我們的某個應用程式使用 WordPress 進行身份驗證,但我們需要直接從資料庫中使用外部系統驗證密碼。由於 WordPress 有自己的密碼雜湊演算法,我們決定製作這個外掛程式來解決這個問題。
有了這個外掛程式,由 WordPress 和其他自訂應用程式產生的密碼現在都使用 PHP 的預設 password_hash() 函數,而不會影響任何應用程式的安全性。
原文外掛簡介
This plugin swaps out WordPress core’s password hashing mechanism with PHP 5.5’s password_hash() and its accompanying functions. By default, PHP uses bcrypt to hash the passwords. If available, this plugin will use modern Argon2 algorithm. The transition will be transparent.
A password salt will be generated using a Cryptographically Secure Pseudo-Random Number Generator (CSPRNG)
Password hashes are safe from dictionary attacks with rainbow tables or any other precomputed hash lists, because a secure salt is generated for each password.
The password hashing is iterated multiple times to provide a good resistance against brute-force attacks.
Password checks are made in a way that it mitigates time-attacks.
You do not have to reset passwords of all users. Passwords already hashed in the database will be rehashed automatically and transparently the next time the user logs in.
PHP might come up with newer password hashing algorithms, and they will be automatically supported without having to reset all the passwords.
This plugin was made initially because one of our applications used WordPress for authentication, but we needed to use an external system
to verify the passwords directly from the database too. Since WordPress has its own password hashing algorithm, we decided to make this plugin to address that problem.
With this plugin, passwords generated by both WordPress and other custom applications now use the PHP’s default password_hash() functions without compromising any of the applications’ security.
This plugin is designed to be as minimal and fast as possible, and can be considered a must-use for EVERY WordPress application given the minimal footprint of this plugin, and considering the importance of using a secure hashing algorithm for passwords.
各版本下載點
- 方法一:點下方版本號的連結下載 ZIP 檔案後,登入網站後台左側選單「外掛」的「安裝外掛」,然後選擇上方的「上傳外掛」,把下載回去的 ZIP 外掛打包檔案上傳上去安裝與啟用。
- 方法二:透過「安裝外掛」的畫面右方搜尋功能,搜尋外掛名稱「PHP Native Password Hash」來進行安裝。
(建議使用方法二,確保安裝的版本符合當前運作的 WordPress 環境。
1.0 | 1.1 | 1.2 | 1.4 | 1.5 | 2.0 | 2.1 | 3.0 | trunk |
延伸相關外掛(你可能也想知道)
Password bcrypt 》wp-password-bcrypt 是一個 WordPress 外掛,可用現代、安全性高的 bcrypt 取代 WP 過時和不安全的基於 MD5 的密碼雜湊。, 它由 roots.io 的人員編寫。, 此外...。
WP Modern Password Hashing 》為了支援更廣泛的 PHP 版本,WordPress 選擇使用 PHPASS(一個可攜式密碼哈希函式庫),預設使用基於 MD5 的哈希值來進行密碼哈希。, 可以使用現代的密碼哈希...。
WP Hash Password 》此外掛取代了 WordPress 的 wp_hash_password() 函式,提供了更好的安全性。使用 bcrypt 對密碼進行雜湊。啟用後,使用者需要建立新密碼。。
Password Hash 》Password Hash 是一個 WordPress 外掛程式,透過使用內建的 password_hash 和 password_verify 函數來強化 WordPress 密碼雜湊的安全性。, 如果安裝的 PHP 版...。