Hash Bruteforce
Anda bisa memaksa hash yang disimpan dalam database.
WordPress menggunakan phpass untuk hashing. Per default, WordPress tidak menggunakan blowfish atau sejenisnya, tetapi hanya md5 dengan jumlah iterasi 8192. Jika Anda hanya ingin menemukan kata sandi yang benar-benar buruk, bruteforcing tentu layak dilakukan.
Tetapi saya akan menganggap ini sebagai pelanggaran yang agak besar terhadap kepercayaan yang diberikan pengguna kepada Anda, jadi saya tidak akan merekomendasikan pendekatan ini.
Analisis kata sandi mereka saat masuk
Anda dapat menambahkan skrip yang memotong semua permintaan ke skrip login WordPress, dan masuk atau menganalisis kata sandi, karena mereka berada dalam plaintext pada saat itu.
Tentu saja, ini hanya menangkap kata sandi yang lemah begitu pengguna benar-benar masuk. Jika mereka telah meninggalkan situs mereka atau agak tidak aktif, mungkin perlu beberapa saat bagi Anda untuk mengetahui bahwa mereka menggunakan kata sandi yang lemah.
Saya akan menganggap ini sebagai pelanggaran yang bahkan lebih besar daripada bruteforcing hash, dan itu juga membawa beberapa masalah keamanan dengan itu (jika Anda menyimpan kata sandi dalam plaintext, ini jelas akan menjadi masalah, tetapi bahkan jika tidak, Anda dapat secara tidak sengaja menyimpan beberapa informasi dari analisis yang dapat membantu penyerang).
Menerapkan Kebijakan Kata Sandi (dan memaksa pengguna untuk mengubah kata sandi mereka)
Anda dapat menerapkan kebijakan kata sandi. Ketika pengguna mengirimkan kata sandi baru, Anda akan memeriksa apakah kata sandi tersebut sesuai dengan kebijakan Anda atau tidak (idealnya, ini akan terjadi di sisi server, bukan sisi klien melalui JavaScript).
Menulis kebijakan kata sandi yang baik itu sulit, jadi perhatikan kebijakan yang ada untuk membantu Anda di sini.
Tentu saja, kata sandi lama tidak terpengaruh oleh kebijakan tersebut, jadi Anda harus memaksa pengguna untuk mengubah kata sandi lama mereka untuk mematuhi kebijakan tersebut.
Batasi Kerusakan
Menegakkan kata sandi yang kuat tentu bisa menjadi ide yang bagus, tetapi idealnya, contoh WordPress yang diretas tidak benar-benar memengaruhi Anda sebagai webmaster.
Anda harus membatasi kerusakan setelah penyerang memperoleh akses ke instalasi WordPress. Idealnya, Anda ingin hanya satu instance yang terpengaruh, bukan seluruh server Anda (jadi Anda mungkin khawatir tentang penyerang yang meletakkan konten tidak senonoh di situs web - seperti yang dilakukan pengguna yang valid -, tetapi bukan tentang eksekusi kode, atau tindakan jahat lainnya aktivitas).
Ini adalah topik yang agak luas, tetapi beberapa poin termasuk DISALLOW_FILE_EDIT
:, membatasi penggunaan plugin (karena mereka jauh lebih aman dikodekan dari WordPress itu sendiri), melarang JavaScript (misalnya dengan multisite, hanya admin super yang berhak memposting JavaScript, bukan admin), dll.