Hashes fuerza bruta
Podría aplicar fuerza bruta al hash que está almacenado en la base de datos.
WordPress usa phpass para el hash. Por defecto, WordPress no usa blowfish o similar, sino solo md5 con un recuento de iteraciones de 8192. Si solo desea encontrar contraseñas realmente malas, la fuerza bruta es ciertamente factible.
Pero consideraría esto como una violación bastante grande de la confianza que los usuarios depositan en usted, por lo que no recomendaría este enfoque.
Analizar sus contraseñas al iniciar sesión
Puede agregar una secuencia de comandos que intercepte todas las solicitudes a las secuencias de comandos de inicio de sesión de WordPress y registrar o analizar las contraseñas, ya que están en texto sin formato en ese momento.
Por supuesto, esto solo detecta las contraseñas débiles una vez que el usuario inicia sesión. Si han abandonado su sitio o están más bien inactivos, puede demorar un tiempo descubrir que usan una contraseña débil.
Consideraría que esto es una violación aún mayor que la fuerza bruta de los hashes, y también conlleva algunas preocupaciones de seguridad (si almacena las contraseñas en texto sin formato, obviamente sería una preocupación, pero incluso si no, puede almacenar accidentalmente alguna información de El análisis que puede ayudar a un atacante).
Implemente una política de contraseñas (y obligue a los usuarios a cambiar sus contraseñas)
Podría implementar una política de contraseña. Cuando un usuario envía una nueva contraseña, debe verificar si cumple con su política o no (idealmente, esto sucedería del lado del servidor, no del lado del cliente a través de JavaScript).
Escribir una buena política de contraseña es difícil, así que eche un vistazo a las políticas existentes para ayudarlo aquí.
Por supuesto, las contraseñas antiguas no se ven afectadas por la política, por lo que debe obligar a los usuarios a cambiar sus contraseñas antiguas para cumplir con la política.
Limitar Daño
La aplicación de contraseñas seguras puede ser una buena idea, pero idealmente, una instancia de WordPress pirateada no debería afectarte realmente como webmaster.
Debería limitar el daño una vez que un atacante haya obtenido acceso a una instalación de WordPress. Idealmente, desearía que solo esa instancia se vea afectada, no todo el servidor (por lo que puede preocuparse de que un atacante ponga contenido indecente en un sitio web, tal como lo haría un usuario válido), pero no sobre la ejecución de código u otro tipo de malware actividad).
Este es un tema bastante amplio, pero algunos puntos incluyen: DISALLOW_FILE_EDIT
limitado el uso de complementos (ya que están mucho menos codificados de forma segura que WordPress), no permite JavaScript (por ejemplo, con sitios múltiples, solo los superadministradores tienen derecho a publicar JavaScript, no administradores), etc.
La buena noticia es que puede cambiar las contraseñas de los usuarios, la mala noticia es que no puede verlas.
Wordpress es tan poderoso que incluso en la base de datos almacena la contraseña con encriptación unidireccional, no es solo un hash md5 que puedes convertir, ni siquiera son datos serializados, para la contraseña
test123
obtendrías algo así$P$BjW8o9Dm1vC5bwAcP1iAdNVm0lbvn
, incluso si cambias el campo de contraseña en la base de datos sin usar cifrado, no funcionaría.Cómo cambiar la contraseña
Creo que eres consciente de esto, pero lo dejaré aquí. Puede ingresar a su panel de WordPress con privilegios de administrador, ir a los usuarios, encontrar un usuario y esta parte es algo mala para sus propósitos porque debe hacer clic en generar nueva contraseña, le dará una sopa aleatoria de letras y símbolos y puede edítela con la suya, pero aun así no podrá ver la contraseña.
fuente
A medida que las contraseñas se cifran, la única forma de probar su seguridad es forzándolas con fuerza bruta. Reúna una lista de contraseñas débiles de uso común y compárelas con los hash almacenados en su base de datos.
A menos que use una lista de contraseñas muy exhaustiva, no detectará todas las contraseñas débiles, pero filtrará las más débiles.
fuente
No puede cambiar forzosamente la contraseña de administrador de wp, a menos que no tenga control en cada base de datos de wordpress, que está almacenada en phpmyadmin.
Y no, no hay una forma rápida de averiguar la contraseña de la semana en el sitio de 500 wordpress. Josip menciona un enlace para verificar la seguridad de la contraseña, pero ese sitio no usó el algoritmo criptográfico md5 para verificar la seguridad de la contraseña.
Echa un vistazo a este enlace SO ( Wordpress usando MD5 ) y verás que la salida es diferente a esa aplicación. Por lo tanto, como ve,
p#aSS*Word14
no es seguro que,Dance With Me Tonight
por lo tanto, no use la aplicación de terceros para verificar su contraseña de Wordpress, ya que pueden estar usando otro algoritmo criptográfico para verificar / asumir la seguridad de la contraseña.Además, debe tener todas las contraseñas y probarlas una por una, no hay ningún truco de magia para descubrir rápidamente.
Otra cosa es que, si un sitio de WordPress es pirateado, no afectará a otro sitio de wp en el mismo servidor (excepto el ataque de DOS). He visto a muchas personas iniciar wp en hosting compartido, y su sitio está siendo pirateado, pero su sitio vecino funcionaba bien, porque cada wp tiene su propia base de datos en phpmyadmin.
fuente
Didn't affect other WP site on same server:
¡Coincidencia! Depende del tipo de ataque / pirateo e intención del hacker / bot.Como las respuestas anteriores han señalado: no puede leer las contraseñas almacenadas.
Una solución alternativa podría ser:
/wp-login.php?action=lostpassword
que restablezcan sus contraseñas.fuente
Las contraseñas de WordPress son hash, como lo haría cualquier aplicación sensata cuando se trata de almacenar contraseñas porque almacenar contraseñas de texto claro es muy inseguro ya que sus usuarios pueden tener la misma contraseña para otros servicios que usan (¿piensan en Gmail?).
No es posible convertir el hash de nuevo a la contraseña, de lo contrario uno podría almacenarlos en texto claro. Anteriormente, las contraseñas solían ser hash,
MD5
pero eso fue demostrado inseguro por un equipo de seguridad, por lo que se actualizó el algoritmo de hashphpass
.Sugerencia: WordPress aún puede administrar el hash correctamente incluso si actualiza MD5 (% contraseña%) en la columna sql.
Ahora, la forma práctica de abordar lo que está tratando de hacer para un solo sitio es forzar un cambio de contraseñas cambiando la columna a otra y haciendo cumplir los requisitos de seguridad de la contraseña en la página donde van a actualizar su contraseña. Pero su caso de uso requiere hacer esto en tantas instalaciones de WP y los propietarios de sitios pueden no apreciar que lo haga sin su consentimiento. Por lo tanto, definitivamente debe limitar el alcance del impacto de sus acciones.
1) Actualice las contraseñas solo para administradores, editores, pero que requiera que encuentre quiénes son esos usuarios. Envíelos por correo electrónico y luego aplique la restricción de contraseña en la página de restablecimiento de contraseña / página de registro, etc. Recuerde que alguien puede tener esos formularios en otra parte del sitio (piense también en los formularios AJAX). Crear un comando WP-CLI que lo ayude aquí a ejecutar este plan, en lugar de cargar el entorno WP y ejecutar scripts.
2) Generar una tabla de arco iris que consiste en una contraseña hash para una cadena conocida (contraseña). Y luego, básicamente, debe hacer coincidir el hash con la contraseña de un usuario en particular y evaluar la fortaleza de esa contraseña. Generar la tabla es el paso más lento aquí, ya que tiene que codificar cada contraseña posible que pueda haber, almacenarla en el disco (varios GB dependiendo de la longitud y combinación de las contraseñas que está contabilizando) y luego actuar según los resultados. 99% seguro de que es una solución exagerada para sus necesidades.
Consejo: Conoces esas sales y secretos que tenemos
wp-config.php
archivados. Cambiarlos invalida las sesiones iniciadas, en caso de que alguna vez lo necesite.fuente
Intenta forzarlo con un ataque de diccionario
¿Qué mejor manera de evaluar la fortaleza de su contraseña? :-) Sí, lo sé, tomará algún tiempo ...
De lo contrario, simplemente podría suponer que todas las contraseñas son débiles (diría que será una suposición muy precisa ) y crear las contraseñas, almacenar los hashes en la base de datos y dar la contraseña de texto sin formato a los administradores utilizando un "seguro" canal
De lo contrario, asuma nuevamente que todas las contraseñas son débiles y obligue a los administradores a cambiarlas, y use un validador de contraseña muy exigente en el sitio web.
fuente