쿠키가 워드 프레스에서 생성되었습니다. (최신)

Question

저는 방금 WordPress (최신 버전)를 설치했으며, WordPress와 같은 수준의 보안을 위해 워드 프레스를 연구하려고합니다.

나는 wordpress에 로그인 할 때 알아 차렸으므로 3 개의 쿠키를 만들었습니다.

내가 알아 내려고하는 것은 - wordpress에 로그인 한 후 사용자를위한 쿠키를 만든 후입니다. 쿠키에 삽입되는 해시 값은 해당 값이 사용자를 인증하는 방법은 무엇입니까? 쿠키에 저장된 값을 wp_users라는 데이터베이스 테이블에 저장된 값과 비교했는데 일치하지 않습니다.

사용자가 등록 할 때 일반적으로 수행하는 작업은 다음과 같습니다. table은 tbl_users가 hash를 호출하고이 열에 들어가는 값은 사용자 이름 (등록시 생성 된 사용자)의 sha1 변환이 될 것이라고 말합니다. 로그인 페이지에 로그인하고 db에 있는지 등을 확인하여 사용자를 인증 한 후. 나는 그 사용자를위한 쿠키를 만들 것이다. 쿠키에 DB에 존재하는 해시를 삽입하고 쿠키에 저장합니다. 그것이 내가 페이지를 통해 사용자를 추적 한 방법입니다. WordPress가 어떻게하는지 누구나 알고 있습니까? 아니면 잘못하고있는 중이 야? 나는 모른다.

미리 감사드립니다.

Answer 1

사용자 인증 해시가 쿠키에 있으면 읽고 읽을 수 있으며 데이터베이스에있는 내용과 이미 일치하므로 쿠키를 보는 방법을 알고있는 사람은 누구나 사용할 수 있습니다. Wordpress는 약간의 사후 처리를 사용자 해시에 적용합니다. wp_settings.php에있는 것 같습니다.

나는 사용자 해시를 wp_config.php의 변수 중 하나에 쓰는 고유 키와 결합한다고 생각합니다. 그런 다음 사용자 이름 해시 또는 공개 키가 무엇이든간에 공개적으로 사용할 수있는 것과 스크립트에서만 사용할 수있는 키로 구성되는 고유 한 키가 있습니다. 공개적으로 이용 가능하지 않다. 이 조합은 db에있는 내용과 일치하고 사용자를 인증합니다.

희망이 있습니다. 어떤 사람들은 PHP 보안에 관해 더 나은 조언을 해줄 수 있으므로 질문을 좀 더 일반적으로하고 싶을 수도 있습니다.

Answer 2

나는 MD5 암호화를 살펴보고 wordPress db에서 유효성을 검사하려고합니다. 나는 그것을 시도하지 않았지만 같은 것을하고 싶다.

그냥 메모 해주세요. 웹 앱을 만드는 동안 같은 문제에 직면했을 때 나는 그 일을 피하고 단지 내 앱용 래퍼로 wordpress를 사용하기로 마음 먹었습니다. PHP 페이지가 될 수있는 선택한 템플릿에 직접 로그인 할 수 있으므로 원하는 내용을 마음대로 할 수는 있지만 응용 프로그램은 Wordpress에 의해 보호되고 상황이 바뀌면서 보안이 업데이트됩니다. 지금까지 나에게 이것은이기는 승리를 얻었습니다.

wordPress를 사용하여 내 사용자의 유효성을 검사합니다. Wordpress에있는 기능을 호출하여 로그인 한 사람을 확인하고 앱을 사용할 수 있습니다. 그런 다음 WordPress의 모든 기능을 활용할 수 있습니다. 나는 워드 프레스 관리자 패널 안에 PHPMyAdmin을 가지고있는 것을 좋아합니다. 이것은 최근에 내 인생을 놀라 울 정도로 쉽게 만들었고 보안에 대해 내가 모르는 것에 대해 걱정할 필요가 없습니다. 보안 전문가없이 개발하면이 옵션을 사용하는 것이 좋습니다. 내가 어떻게 설정하는지 더 알고 싶다면 알려줘.