Hashes fuerza bruta
Podría aplicar fuerza bruta al hash que está almacenado en la base de datos.
WordPress usa phpass para el hash. Por defecto, WordPress no usa blowfish o similar, sino solo md5 con un recuento de iteraciones de 8192. Si solo desea encontrar contraseñas realmente malas, la fuerza bruta es ciertamente factible.
Pero consideraría esto como una violación bastante grande de la confianza que los usuarios depositan en usted, por lo que no recomendaría este enfoque.
Analizar sus contraseñas al iniciar sesión
Puede agregar una secuencia de comandos que intercepte todas las solicitudes a las secuencias de comandos de inicio de sesión de WordPress y registrar o analizar las contraseñas, ya que están en texto sin formato en ese momento.
Por supuesto, esto solo detecta las contraseñas débiles una vez que el usuario inicia sesión. Si han abandonado su sitio o están más bien inactivos, puede demorar un tiempo descubrir que usan una contraseña débil.
Consideraría que esto es una violación aún mayor que la fuerza bruta de los hashes, y también conlleva algunas preocupaciones de seguridad (si almacena las contraseñas en texto sin formato, obviamente sería una preocupación, pero incluso si no, puede almacenar accidentalmente alguna información de El análisis que puede ayudar a un atacante).
Implemente una política de contraseñas (y obligue a los usuarios a cambiar sus contraseñas)
Podría implementar una política de contraseña. Cuando un usuario envía una nueva contraseña, debe verificar si cumple con su política o no (idealmente, esto sucedería del lado del servidor, no del lado del cliente a través de JavaScript).
Escribir una buena política de contraseña es difícil, así que eche un vistazo a las políticas existentes para ayudarlo aquí.
Por supuesto, las contraseñas antiguas no se ven afectadas por la política, por lo que debe obligar a los usuarios a cambiar sus contraseñas antiguas para cumplir con la política.
Limitar Daño
La aplicación de contraseñas seguras puede ser una buena idea, pero idealmente, una instancia de WordPress pirateada no debería afectarte realmente como webmaster.
Debería limitar el daño una vez que un atacante haya obtenido acceso a una instalación de WordPress. Idealmente, desearía que solo esa instancia se vea afectada, no todo el servidor (por lo que puede preocuparse de que un atacante ponga contenido indecente en un sitio web, tal como lo haría un usuario válido), pero no sobre la ejecución de código u otro tipo de malware actividad).
Este es un tema bastante amplio, pero algunos puntos incluyen: DISALLOW_FILE_EDIT
limitado el uso de complementos (ya que están mucho menos codificados de forma segura que WordPress), no permite JavaScript (por ejemplo, con sitios múltiples, solo los superadministradores tienen derecho a publicar JavaScript, no administradores), etc.