Quali sono i requisiti predefiniti per le password in WordPress?

Question

Quali sono i requisiti predefiniti per le password in WordPress?

8 feb 2020, 20:58:14

Visualizzazioni: 13.6K

Voti: 5

I miei utenti hanno la possibilità di cambiare la password da una schermata di amministrazione del plugin. Voglio assicurarmi che la password che creano soddisfi i requisiti minimi. Non sto cercando di modificare i requisiti delle password. Voglio solo sapere quali sono i requisiti predefiniti. C'è una funzione che posso usare per ottenere i requisiti predefiniti?

Kirkland

308

sviluppo plugin password

Tutte le risposte alla domanda

Commenti

Per aggiungere a quanto sopra, la libreria zxcvbn utilizza un modello di punteggio per valutare la forza. Cerca password comuni, nomi, parole inglesi popolari e schemi comuni come date, ripetizioni (aaa), sequenze (abcd) e schemi da tastiera (qwerty). zxcvbn permette molti stili di password purché rilevi una complessità sufficiente in base al suo algoritmo. Tuttavia, WP stesso non ha requisiti specifici per le password (vedi l'altra risposta). Utilizza semplicemente la libreria zxcvbn per determinare la forza. Non è richiesta una forza specifica per creare/aggiornare un utente tramite WP da solo (notando che i plugin possono modificare questo comportamento).

butlerblog

27 gen 2022 16:44:49

Sorprendentemente, per lo sviluppo di plugin, la risposta corretta è nessuna

Dalla documentazione di set password:

wp_set_password( string $password, int $user_id )

Aggiorna la password dell'utente con una nuova versione crittografata.

Se stai pensando alla sicurezza, prova a utilizzare la funzione wp_generate_password

MODIFICA Ho trovato un articolo su come aggiungere un misuratore di forza della password a WordPress che molto probabilmente descrive ciò che vuoi ottenere. Dacci un'occhiata

Pavel Janicek

212

8 feb 2020 21:40:09

Commenti

Stai dicendo che non ci sono requisiti predefiniti per le password o semplicemente che non c'è una funzione per ottenerli?

Kirkland

8 feb 2020 22:23:35

Sto dicendo che non ci sono requisiti predefiniti per le password per lo sviluppo di plugin (ovvero per le operazioni relative agli account utente eseguite dal plugin)

Pavel Janicek

8 feb 2020 22:27:14

Il mio plugin fornisce una schermata che consente all'utente di cambiare la propria password di accesso a WP. La password che gli permette di accedere a WP. Quando inviano una nuova password voglio assicurarmi che soddisfi i requisiti minimi delle password di WP. Questo non riguarda le operazioni eseguite dal plugin. Voglio solo sapere quali sono i requisiti minimi per una password di accesso a WP e se posso ottenere questi requisiti programmaticamente.

Kirkland

10 feb 2020 04:17:23

@Kirkland vedi la modifica. Penso di aver trovato una soluzione per te

Pavel Janicek

10 feb 2020 09:37:17

Rup 4.39K · Accepted Answer · 2020-02-10T14:15:41Z

I requisiti minimi sono che superi il controllo di robustezza della libreria zxcvbn. Non riesco a trovare un riepilogo semplice delle loro regole. Questa è registrata come script 'zxcvbn-async' che puoi accodare / rendere una dipendenza dei tuoi script, e poi puoi eseguire il controllo da solo lato client. Vedi password-strength-meter e i casi multipli in user-profile.js dove zxcvbn non è ancora caricato.

Oggigiorno WordPress ti incoraggia a utilizzare password generate casualmente

le nuove registrazioni utente hanno sempre una password generata casualmente
per cambiare la tua password nell'area amministrativa clicchi 'genera password' per ottenere una nuova password casuale; ti dà la possibilità di sovrascriverla ma disabiliterà il pulsante 'Aggiorna profilo' nella pagina finché la tua password non avrà superato un controllo zxcvbn.

Tuttavia questo viene applicato solo lato client; non c'è alcuna applicazione lato server per quanto ne so. user.php ha effettivamente un'azione check_passwords ma non riceve $errors per segnalare direttamente errori di password deboli; dovresti ricordare l'errore e aggiungerlo in user_profile_update_errors successivamente. Ma non c'è nulla di simile in un'installazione predefinita di WordPress.