WordPress 2.5 несекретный “секретный ключ”
Вычитал тут у о улучшении безопасности в новом WordPress 2.5. Забавно получается. И я готов поспорить, что я теперь знаю какой у вас “Секретный ключ”.
Почему я так уверен? Да потому, что большинство из блоггеров даже не знают, что такое SECRET_KEY в новой версии движка.
А все очень просто – до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразованию, и передается уже в зашифрованном виде. Но мы все люди ленивые и указываем простые пароли, md5-хэш которых можно найти в онлайн сервисах. Существуют также и оффлайн утилиты, которые просто генерят словари всех возможных слов. Таким образом, перехватив ваш, даже зашифрованный пароль хакер может запросто его расшифровать.
Разработчики в WordPress 2.5 для улучшения безопасности решили добавить некий случайный элемент в генерацию хэша, который бы не позволил “угадывать” пароль по его md5, не зная этого элемента. Это и есть SECRET_KEY! Но о его существовании знают почти только избранные, и соответственно он имеет значение заданное поумолчанию!
Наверняка, ваш SECRET_KEY до сих пор имеет значение “put your unique phrase here” прописаное в wp-config.php при установке.
Так, что если вам дорог ваш блог то быстренько идем в wp-config.php и меняем в строке
define(‘SECRET_KEY’, ‘put your unique phrase here’);
фразу ‘put your unique phrase here’ на что-то свое, желательно побредовее и неимеющее смысла!
б…, вот засада
Не стоит матерится в комментариях, мне писать по теме расхотелось((