skip to Main Content

Comment complexifier le hachage des mots de passe WordPress avec bcrypt

Divi : le thème WordPress le plus facile à utiliser

Divi : Le meilleur thème WordPress de tous les temps !

Avec plus de 600.000 téléchargements, Divi est le thème WordPress le plus populaire au monde. Il est complet, facile à utiliser et livré avec plus de 62 templates gratuits. [ Recommandé ]

Le noyau de WordPress est sécurisé, mais vous pouvez sécuriser davantage les mots de passe qui sont sauvegardés dans la base de données en complexant le hachage du format MD5 au format bcrypt.

Si plusieurs personnes disent que le noyau de WordPress est sécurisé, et qu’il n’est pas difficile d’épargner votre blog des attaques les plus communes en utilisant un nom d’utilisateur et mot de passe fort, en mettant régulièrement votre blog à jour, en utilisant des plugins et des thèmes provenant d’auteurs réputés, en les mettant également régulièrement à jour et en utilisant un plugin de sécurité.

Implémenter quelques mesures de sécurité vous permettra de sécuriser votre blog, ceci est un fait. Cependant, si votre site web à besoin d’une connexion d’un utilisateur, il existe une mesure supplémentaire de sécurité que vous devez mettre sur pied. Vous avez besoin de penser à la protection des mots de passe.

Comment la tempête de feu Twitter a commencé

Le 1 Mars 2016, une agence de développement de WordPress nommé Roots a annoncé une nouvelle version du plugin WP Password bcrypt. L’article qui annonçait la nouvelle version du plugin a été fait chez WPTavern et était vraiment critique vis à vis de l’équipe de développement de WordPress qui est chargée de gérer la sécurité des mots de passe. Le résultat à été un déchaînement entre les auteurs de l’article et les membres chargés de s’occuper du développement de WordPress.

discussion-twitter-bcrypt-comment-securiser-les-mots-de-passe-wordpress

La source du problème provient du fait que certains membres de la communauté de WordPress, comme l’équipe Roots, pensaient que le hachage MD5 devait être abandonné immédiatement en faveur de bcryp, et que refuser de le faire, démontrait un manque d’engagement dans la sécurité. Cependant, l’équipe qui s’occupe de gérer la fonction wp_hash_password, reste sur ses positions en affirmant que le résultat produit est sécurisé.

Comment fonctionne le hachage de mots de passe sur WordPress ?

Tout ce va-et-viens pour se poser cette question : Comment le hachage de mots de passe fonctionne sur WordPress ?

L’équipe chargé du développement de la fonction wp_hash_password utilise le framework phpass password et ce dernier passe par un hachage à 8 passes MD5. Si le hachage MD5 est considéré comme insuffisant, la fonction de hachage de WordPress n’est pas une simple utilisation de MD5. La fonction wp_hash_password utilise le framework pour combiner des clés à 8 passes MD5 pour produire un algorithme qui fonctionne tout aussi bien. Cependant, cela ne voudrait pas dire qu’elle ne peut pas être améliorée.

Lorsque phpass est utilisé, une des trois méthodes suivantes peuvent être implémentées: bcrypt, DES et MD5. La recommandation faite par les développeurs de phpass est d’utiliser bcrypt, étant donné que c’est l’un des plus puissants des trois méthodes, ensuite il peut retomber sur le DES ou un hachage MD5 seulement si bcrypt n’est pas pris en charge. Cependant, en implémentant un hachage MD5, WordPress est capable de maintenir une compatibilité avec les plateformes d’hébergement héritières

Cherchez-vous les meilleurs thèmes et plugins WordPress ?

Téléchargez les meilleurs plugins et thèmes WordPress sur Envato et créez facilement votre site web. Déjà plus de 49.720.000 de téléchargements. [EXCLUSIF]

Phpass fourni un chiffrement solide qui ne prend pas en considération la méthode implémentée. Cependant, lorsque bcrypt est implémenté, il prend beaucoup plus de temps que les autres. Le choix de la méthode de hachage n’affecte pas l’expérience sur les sites web des utilisateurs, et si une personne lance une force brute, il fera face à une base de données avec des mots de passe hachés et cela prendra plus de temps de décrypter les mots de passe si bcrypt est utilisé à la place de MD5.

Enfin, Roots concède que le hachage de mots de passe sur WordPress est plus puissant que ce que la publication de WPTavern laissait entendre, mais utiliser bcrypt en plus sera une sécurité supplémentaire.

Comment utiliser bcrypt pour hacher les mots de passe sur WordPress

C’est en réalité très simple de basculer de la fonction standard vers le hachage avec bcrypt. La fonction de hachage de WordPress accepte des extensions, ce qui veut dire que des plugins peuvent pendre contrôle de cette partie.

En addition au plugin développé par Roots, il existe également d’autres plugins qui sont déjà disponibles sur le répertoire officiels de plugins WordPress et qui contribuent également à l’amélioration de la sécurité de WordPress.

1. wp-bcrypt

wordpress-plugin-wp-bcrypt

WP-bcrypt a été créé par un développeur de plugin indépendant harrym, Directeur général de dxm works une entreprise Londonienne utilisant WordPress et Ruby on Rails pour des applications web.

Vous aurez besoin d’utiliser PH 5.3+ pour ce plugin. Pour l’installer il vous suffit tout simplement de le télécharger depuis WordPress.org et de l’installer.

2. WP Hash Password

plugin-wordpress-pour-hacher-les-mots-de-passe-wp-hash-password

WP Hash Password est un autre plugin que vous retrouverez également dans le répertoire de plugins WordPress. Ce plugin a été crée par un développeur indépendant également en Allemagne. Il se nomme Ninos Ego. Vous pouvez télécharger le plugin depuis le répertoire de plugin WordPress et l’installer en suivant la même procédure.

Créez Facilement votre site Web avec Elementor

Elementor vous permet de créer facilement n'importe quel design de site Web avec un look professionnel. Arrêtez de payer cher pour ce que vous pouvez faire vous-même. [ Gratuit ]

Vous avez également besoin d’un environnement PHP 5.3 pour utiliser le plugin.

3. WP Password bcrypt

plugin-wordpress-wp-password-bcrypt-pour-hachage-de-mot-de-passe

Le plugin bcrypt par l’équipe Roots est un peu différent des autres plugins disponibles dans le répertoire de plugins WordPress. Les deux plugins disponibles dans le répertoire de plugins WordPress utilisent le framework phpass comme le fait le noyau de WordPress, mais utilisent la méthode bcrypt au lieu de MD5.

Le plugin de l’équipe Roots n’utilise pas phpass. A la place, il utilise les fonctions password_hash et password_verify disponibles dans la version 5.5 de PHP. Il devient donc normal que vous ayez besoin d’exécuter une version PHP 5.5 pour utiliser le plugin.

Comment installer le plugin

Le développeur recommande d’installer le plugin dans le répertoire des plugins must-use « mu-plugins » ainsi, les utilisateurs ne seront pas en mesure de le désactiver. Si vous n’avez jamais travailler avec des plugins « must-use » (plugins qui doivent fonctionner quelque soit la situation), vous aurez besoin de créer le dossier. Vous pouvez utiliser un client FTP pour cela. Même le client FTP de Windows 10 fera largement l’affaire.

Tout ce que vous devrez faire ensuite, c’est de télécharger le plugin sur Github.

github-telecharger-bcrypt-plugin-wordpress-pour-hachage-de-mot-de-passe

Après avoir extrait le contenu du fichier, vous pouvez utiliser le client FTP pour l’envoyer dans le dossier mu-plugins.

ftp-envoi-plugin-bcrypt-dans-le-dossier-mu-plugins

Créez Facilement votre Boutique en ligne

Téléchargez gratuitement WooCommerce, le meilleurs plugins e-commerce pour vendre vos produits physiques et numériques sur WordPress. [GRATUIT]

Vous verrez que le plugin s’affiche dans les plugins « must-use » et ne peut pas être désactivé.

plugins-must-use-sur-wordpress

C’est tout pour ce tutoriel sur la complexification du hachage de mots de passe sur WordPress. Si vous avez des questions, vous pouvez laisser un commentaire ci-après.

Cet article comporte 0 commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Back To Top