我已经将WordPress站点移动到https服务器上,但现在我想知道是否仍然需要手动加密远程登录的登录凭据。
默认登录在发送之前是否已加密?我读到的所有内容,包括代码在内,都是纯文本,这对http站点非常有害。
在我的其他项目中,我们在发送密码之前使用了类似md5哈希的东西来加密密码。但我没有那个项目,我不知道WP是存储纯文本密码还是散列密码。因此,如果现有的WP登录代码可用,我宁愿使用它,或者在发送之前如何对其进行加密的示例代码会有所帮助。
PS我正在通过远程应用程序登录<嘘,我也看过其他帖子,这不是重复的。
最合适的回答,由SO网友:Mark Kaplun 整理而成
wordpress在客户端不加密任何内容,但客户端加密根本无助于安全性,它只是使密码更强大,但根本无助于抵御中间的Main或屋檐掉落攻击。不管你的密码加密有多强,如果你通过HTTP发送,一旦我知道了,比方说通过监控wifi流量,我可以自己使用它。
使用HTTPS是唯一真正的解决方案,因为协议层确保每个连接的所有内容都以唯一的方式进行加密,因此没有人可以重复相同的数据包并获得访问权限,因为它将在协议级别失败。
简短回答:使用HTTPS,您不需要“加密”您在网上发送的密码。
