由于历史原因,WordPress 至今仍使用加盐 MD5 作为其密码哈希算法。在现在各种超算等的威胁下,如果你对安全性有更高的要求,那么应该使用更现代的哈希方法。
从 PHP5.5+ 开始,PHP 自带了password_hash
函数用于计算密码哈希,该函数使用足够强度的哈希算法,并跟随时代更新,PHP 官方推荐所有开发者使用此函数替代其他任何密码哈希方法。
在 WordPress 中,可以使用插件:PHP Native password hash 实现这一点,安装启用插件后,会自动使用password_hash
作为默认的密码哈希函数并逐步替换掉用户表中已经存在的哈希值。