Плагин WP jCryption Security

 

(Страница плагина на English и обсуждение)

WP jCryption — плагин к WordPress — защищает данные, которые отправляются из форм на сайте,
прежде те форм, где вводится пароль.

https://wordpress.org/plugins/wp-jcryption/

Это актуально для небольших сайтов, которые не используют SSL-сертификат, тогда все данные с сервера и на сервер передаются в открытом виде, в том числе и пароль (см. в Википедии о том, почему это важно иметь ввиду).

Так как в этом случае передача данных всегда происходит по цепочке серверов от вашего компьютера к серверу сайта, никогда нельзя быть уверенным, что передача не прослушивается, поэтому риск кражи пароля всегда присутствует.

в особенности, если владельцу или участникам сайта приходится часто авторизовываться, тем более, если пользоваться интернетом в общественных местах.

Все крупные интернет-сервисы и коммерческие сайты имеют SSL-сертификаты (и адреса страниц начинаются с https вместо http, а возле адресной строки показывается иконка-замок), тогда данные, идущие с от сайта к пользователю и обратно, шифруются.

Но для небольших сайтов покупка SSL-сертификата и настройка сервера может быть затратной.

Плагин WP jCryption решает задачу шифрования данных для небольших интернет-проектов в самых важных случаях — при вводе данных в формы.

Как работает WP jCryption

Когда вы заполнили форму и нажали на кнопку отправки, передача данных не происходит сразу. Вместо этого сначала браузер запрашивает у сайта публичный ключ RSA1. Получив этот ключ, браузер создает случайную строку символов, назовём её «одноразовый ключ», затем при помощи публичного ключа шифрует одноразовый ключ и отправляет его на сервер.

После подтверждения от сервера, javascript в браузере шифрует при помощи алгоритма AES2 все данные, введенные в форму, создаёт в форме скрытое поле jCryption, кладет в него строку с зашифрованными данными и отключает все исходные поля формы. После этого зашифрованные данные отправляются на сервер.

Программа на сервере расшифровывает при помощи приватного RSA ключа одноразовый ключ и при помощи него обратным алгоритмом AES расшифровывает данные, полученные из формы.

В плагине используется библиотека jCryption, разработанная Daniel Griesser.

Я адаптировал эту библиотеку для WordPress и упростил настройку, необходимую для начала её использования. Фактически, ничего не надо настраивать.

Как только вы установили и активировали плагин, создается пара ключей RSA и указываются формы, которые нужно защитить в первую очередь: форма авторизации, форма ввода нового пароля и форма редактирования профиля.

При следующей авторизации вы увидите поля ввода логина и пароля в зелёном цвете, это символизирует тот факт, что ваш логин и пароль по пути к сайту пойдут в защищенном виде.

Комментарии оставляйте, пожалуйста, здесь.

1) RSA — «несимметричный» алгоритм шифрования, использующий пару ключей: публичный и приватный. Сообщение, зашифрованное публичным ключом, можно расшифровать при помощи приватного ключа, и наоборот — зашифрованное приватным ключом расшифровывается при помощи публичного.

2) AES — Advanced Encryption Standard — «симметричный» алгоритм шифрования, выбранный правительством США в качестве стандарта.