Lorsque vous créez un usager WordPress, son mot de passe subit un hashage et un salage avant d'être enregistré dans la base de données.
Sans entrer dans les détails techniques, retenons que WordPress utilise une bibliothèque de cryptage sophistiquée : Portable PHP password hashing framework (phpass) et ce, depuis la version 2.5 en 2008.
La bonne nouvelle, c'est que cet algorithme a été écrit de façon à conserver la compatibilité avec les anciennes versions de WordPress.
De façon pratique, ceci permet de changer un mot de passe dans phpMyAdmin en lui appliquant l'algorithme de hashage MD5 (cet algorithme n'est pas sécuritaire, c'est pourquoi il n'est pas utilisé par WordPress). Lors de l'authentification de cet usager, WordPress détectera que le mot de passe n'est pas correctement protégé et, après avoir accepté l'authentification, il appliquera phpass au mot de passe puis l'enregistrera de nouveau dans la base de données.
« Decoding WordPress SALTS and KEYS ». WisdmLabs. https://wisdmlabs.com/blog/decoding-wordpress-salts-and-keys/
« WordPress salts and security keys explained ». WP Strands. https://wpstrands.com/wordpress-salts-and-security-keys-explained/
« A Closer Look at WordPress Password Hashes ». WP Lift. https://wplift.com/a-closer-look-at-wordpress-password-hashes
« wp_hash_password() ». WordPress. https://developer.wordpress.org/reference/functions/wp_hash_password/
▼Publicité
