Beskrivelse
Important Notice: This plugin is no longer supported on wordpress.org. Please open issues on GitHub.
Målet til denne utvidelsen er å forbedre autentiseringen i WordPress gjennom anbefalinger fra moderne sikkerhetspraksis. På nåværende tidspunkt forbedrer utvidelsen autentisering ved å gjøre følgende:
Håndhever uavslørte passord
Utvidelsen forhindrer enhver fra å bruke passord som har dukket opp etter datainnbrudd. Hver gang noen logger inn på et WordPress-nettsted vil den verifisere passordet ved hjelp av Have I been pwned? API-et. Hvis deres passord har dukket opp etter et datainnbrudd vil utvidelsen forhindre innlogging inntil de har tilbakestilt sitt passord.
Som standard vil dette nivået av håndhevelse skje for en konto med rollen «administrator». Du kan endre hvilke roller som skal få sine passord håndhevet på siden for innstillinger. For brukere som har en rolle uten håndheving av slike passord vil få en advarsel om de logger inn med et kompromittert passord.
Håndhevelsen av ukompromitterte passord skjer også når noen tilbakestiller eller endrer sitt passord. I de situasjonene er bruk av et ukompromittert passord påkrevet. Ingen vil kunne tilbaestille eller endre sitt passord til ett som har dukket opp etter sikkerhetsbrudd. (Så sant utvidelsen er i stand til å kontakte APIet.)
Bruker sterkere passord-avtrykk
Utvidelsen krypterer også passord med enten bcrypt eller Argon2 avtrykksfunksjoner. Dette er de sterkeste avtrykksfunksjonene tilgjengelig i PHP. Argon2 er tilgjengelig opprinnelig fra PHP 7.2, men utvidelsen kan også kryptere passord på eldre PHP-versjoner ved hjelp av kompatibilitetslaget fra libsodium, introdusert i WordPress 5.2.
Du trenger ikke gjøre noe for å konvertere ditt passordavtrykk til sterkere krypteringsstandard. Utvidelsen vil ta seg av å konvertere neste gang du logger inn etter at du har installert utvidelsen. Om du bestemmer deg for å fjerne utvidelsen vil ditt passord fortsette å virke og forbli kryptert inntil du tilbakestiller det.
Det er også verdt å merke seg at å bruke en sterkere avtrykksfunksjon bare er viktig i tilfelle et datainnbrudd. En sterkere passordavtrykksfuksjon gjør det mye vanskeligere å dekryptere et passord etter et innbrudd. Dette kombinert med håndhevelse av ukompromitterte passord vil hjelpe til å sørge for at slike passord aldri blir dekryptert. (Eller i det minste ikke uten betydelig innsats.)
FAQ
-
Vent, så dere sender mitt passord til en tredjepart?
-
Nei, utvidelsen sender aldri ditt fulle passord til en tredjepart for verifisering. Utvidelsen sender bare de fem første tegnene i passordavtrykket laget medSHA-1 til en tredjepart. Tredjeparten returnerer så alle passord med et avtrykk som starter med de fem tegnene.
Utvidelsen håndterer resten av passordverifiseringen selv. Den sammenlikner avtrykket av ditt passord basert på SHA-1 med passordene returnert fra tredjeparten. Vi kaller denne prosessen k-anonymitet. (Du kan lese mer om validering av lekkede passord med det her.)
Vurderinger
Bidragsytere og utviklere
“Passord videreutviklet” er programvare med åpen kildekode. Følgende personer har bidratt til denne utvidelsen.
Bidragsytere“Passord videreutviklet” har blitt oversatt til 4 språk. Takk til oversetterne for deres bidrag.
Oversett “Passord videreutviklet” til ditt språk.
Interessert i utvikling?
Bla gjennom koden, sjekk ut SVN-repositoriet, eller abonner på utviklingsloggen med RSS.
Endringslogg
1.3.4
Released: 2024-11-27
- Update
wp_set_password
function to match current wordpress version [carlalexander]
1.3.3
Released: 2022-09-25
- Use different capabilities for admin pages so that they work when plugins directory isn’t writeable [carlalexander]
1.3.2
Utgitt: 2022-04-19
- Add missing echo on
settings_saved
[cornelraiu-1]
1.3.1
Utgitt: 2022-04-09
- Add
es_MX
andes_CR
translations [riper81]
1.3.0
Utgitt: 2021-03-21
- Remove call to api on every request [carlalexander]
- Add informal (default) and formal german translations [carstenbach]
1.2.0
Utgitt: 2020-01-03
- Fixed fatal error when installed as a mu-plugin [carlalexander]
- Added support for libsodium [carlalexander]
1.1.4
Utgitt: 2019-05-07
- Bump minimum PHP version to 5.6 [carlalexander]
1.1.3
Utgitt: 2018-04-29
- Fixed missing
settings_saved
string in English translation [carlalexander] - Added missing echo when translating
settings_saved
string [carlalexander]
1.1.2
Utgitt: 2018-03-21
- Added Brazilian Portuguese translation [celsobessa]
- Reworked how the plugin handles its default translation [carlalexander]
1.1.1
Utgitt: 2018-03-06
Improved how the API client and password generator handled if the API was online or not.
1.1.0
Utgitt: 2018-03-01
Reworked plugin to use the new version of the HIBP API (Have I been pwned? API) which supports k-anonymity. This allows the plugin to be used in production now.
1.0.0
Utgitt: 2017-08-24
Opprinnelig utgivelse