Untuk mengatasi hal ini, WordPress mencoba menerapkan kombinasi tambahan seperti MD5 dan phpass untuk melakukan hash password. Tujuanya, agar password WordPress anda lebih sudah untuk dilakukan reversing oleh para peretas. <\/p>\n\n\n\n
Cara kerja hashing WordPress<\/h2>\n\n\n\n
Fungsi inti wp_hash_password<\/strong> WordPress menggunakan framework phpass dan delapan tingkatan hashing berbasis MD5. Fungsi wp_hash_password menggunakan framework phpass untuk menggabungkan key stretching dengan delapan pass MD5 untuk menghasilkan algoritma<\/a> hashing yang sangat bagus. Namun, pada kenyataannya hal tersebut belum cukup aman.<\/p>\n\n\n\n Password stored dengan menggunakan sistem enkripsi MD5 WordPress adalah metode sederhana. Namun, itu sangat berisiko. Jika peretas menemukan kunci hashing, mereka dapat membalikkan semua kata sandi kembali ke teks.<\/p>\n\n\n\n Bcrypt merupakan fungsi hashing kata sandi yang dirancang berdasarkan cipher Blowfish. Fungsi bcrypt merupakan algoritma hash password dasar untuk OpenBSD dan sistem lain termasuk beberapa distribusi Linux seperti SUSE Linux, namun dapat diimplementasikan pada bahasa pemrograman seperti PHP sehingga dapat diaplikasikan pada WordPress.<\/p>\n\n\n\n Pada panduan kali ini, Rumahweb akan memberikan solusi mengamankan password WordPress<\/em> agar lebih aman dengan menggunakan bcrypt.<\/p>\n\n\n\n Pada langkah awal, Anda wajib membuat folder khusus dengan nama mu-plugins<\/strong> didalam folder wp-content<\/strong>. Mu-plugin merupakan folder manual plugin yang dimaksudkan agar fungsi tombol seperti non-aktifkan\/hapus plugin tidak dapat digunakan melalui menu plugins dashboard admin.<\/p>\n\n\n\n Setelah folder mu-plugins dibuat, silahkan Anda buat lagi satu file PHP dengan nama bcrypt.php <\/strong>dengan isi skrip dibawah:<\/p>\n\n\n\n File bcrypt.php<\/strong> yang telah Anda buat, silahkan disimpan dalam folder mu-plugins<\/strong>. <\/p>\n\n\n\n Pada tahap ini telah selesai, kemudian untuk memastikan plugin telah aktif, dapat dicek melalui menu plugin dashboard admin.<\/p>\n\n\n Pada gambar diatas, silahkan klik “Harus-Gunakan” untuk melihat plugin bcrypt yang terpasang dan akan terlihat seperti gambar dibawah.<\/p>\n\n\n Setelah mengikuti beberapa tahapan diatas, proses hashing tidak langsung dapat diterapkan sebelum Anda mengaplikasikannya secara manual. <\/p>\n\n\n\n Untuk memastikannya, Anda perlu mengakses database melalui phpmyadmin atau command line dan akan melihat algoritma hashing $P$<\/strong> pada table users. Contoh pada gambar dibawah<\/p>\n\n\n\n Gambar diatas, terlihat password yang dihash masih menggunakan tipe MD5. <\/p>\n\n\n\nApa itu bcrypt?<\/h2>\n\n\n\n
Catatan:<\/pre>\n\n\n\n
\n
Pemasangan script plugin<\/h2>\n\n\n\n
\n<?php \n\n\/*\nPossible algorithms: bcrypt $2*$, Blowfish (Unix)\n*\/\n\nif ( version_compare( phpversion(), '5.6', '>=' )\n && ! function_exists( 'wp_check_password' )\n && ! function_exists( 'wp_hash_password' )\n && ! function_exists( 'wp_set_password' )\n) :\n\/*\nPrefix hash md5 = $P$\n*\/\ndefine( 'WP_OLD_HASH_PREFIX', '$P$' );\n\nfunction wp_check_password( $password, $hash, $user_id = '' ) {\n\n if ( 0 === strpos( $hash, WP_OLD_HASH_PREFIX ) ) {\n global $wp_hasher;\n\n if ( empty( $wp_hasher ) ) {\n require_once( ABSPATH . WPINC . '\/class-phpass.php' );\n\n $wp_hasher = new PasswordHash( 10, true );\n }\n\n $check = $wp_hasher->CheckPassword( $password, $hash );\n\n if ( $check && $user_id ) {\n $hash = wp_set_password( $password, $user_id );\n }\n }\n\n $check = password_verify( $password, $hash );\n\n return apply_filters( 'check_password', $check, $password, $hash, $user_id );\n}\n\nfunction wp_hash_password( $password ) {\n\n $options = apply_filters( 'wp_hash_password_options', [] );\n\n return password_hash( $password, PASSWORD_DEFAULT, $options );\n}\n\n\/*\nfunction wordpress_hash_password( $password ) {\n require_once( '\/path\/to\/wp-includes\/class-phpass.php' );\n $wp_hasher = new PasswordHash( 8, TRUE );\n $hashed_password = $wp_hasher->HashPassword( $password );\n return $hashed_password;\n{\n*\/\n\nfunction wp_set_password( $password, $user_id ) {\n\n global $wpdb;\n\n $hash = wp_hash_password( $password );\n\n $wpdb->update( $wpdb->users, [ 'user_pass' => $hash, 'user_activation_key' => '' ], [ 'ID' => $user_id ] );\n wp_cache_delete( $user_id, 'users' );\n\n return $hash;\n}\n\nendif;\n\n<\/code><\/pre>\n\n\n\n![\"install](\"https:\/\/www.rumahweb.com\/journal\/wp-content\/uploads\/2021\/03\/1-4.png\")
<\/a>![\"install](\"https:\/\/www.rumahweb.com\/journal\/wp-content\/uploads\/2021\/03\/2-4.png\")
<\/a><\/figure>\n<\/div>\n\n\nMenjalankan hash Bcrypt<\/h2>\n\n\n\n
![\"ubah](\"https:\/\/www.rumahweb.com\/journal\/wp-content\/uploads\/2021\/03\/3-3.png\")
<\/a>
![\"mengamankan](\"https:\/\/www.rumahweb.com\/journal\/wp-content\/uploads\/2021\/03\/4-3.png\")
<\/a>