ワードプレスのユーザーのパスワードはデータベースにハッシュ化して記録されています。このハッシュ値について解説いたします。
ハッシュ値とは?
ワードプレスの管理者等のユーザーのパスワードは、平文ではなくハッシュ化という処理が施されて記録されています。この為、データベースの記録内容を閲覧しても本来のパスワードがわからないようになっています。(つまり万が一データベースの内容が漏れてもワードプレスにログインできないようになっています)
ハッシュ化は、元の平文と1対1対応する文字列を生成する仕組みで、ハッシュ文字列から元の平文は解読できないようになっておりmd5やsha等様々なアルゴリズムがあります。
ワードプレスのパスワードのハッシュ化
ワードプレスのパスワードのハッシュ値は、
$P$BBgyQem3CXrMpPhjU78iwRWON0CozK0
のような形になっており、このハッシュ値は、 Portable PHP password hashing framework というフレームワークで実装されています。ハッシュ化のアルゴリズムは著名なmd5ではなく,それをより強くしたカスタマイズ版のmd5ハッシュ値を利用しています。
※md5のハッシュ値は総当たり攻撃に対してそれほど強くないことが明らかになっているためです
※ただし、md5値をデータベースに入れても動作しますのでmd5値でパスワードを書き換えることも可能です。(ワードプレスはmd5のハッシュ値を自動でより強力なハッシュ値に書き換えてくれます)
上記ワードプレスの特殊なハッシュ値は、WordPress Password Hash Generator で作成することも可能です。
WordPress ワードプレスサイトの作成・カスタマイズ・移行・修正などご依頼・ご相談はWPドクターまでお気軽にお送りください