WordPress wachtwoorden

Welke hashmethode gebruikt WordPress?

WordPress gebruikt PHPass (Portable PHP Password Hashing Framework) als standaardmechanisme voor het hashen van wachtwoorden. Concreet gaat het om een iteratieve MD5-hash met salt, waarbij meerdere rondes hashing worden toegepast om brute-force aanvallen te vertragen.

Sinds WordPress 5.5 ondersteunt WordPress óók bcrypt via password_hash() wanneer de server dit toestaat. Bestaande wachtwoorden blijven werken; nieuwe of opnieuw ingestelde wachtwoorden kunnen automatisch met bcrypt worden opgeslagen. WordPress controleert dit transparant voor de gebruiker.

Je herkent WordPress-hashes in de database meestal aan een waarde die begint met:

$P$B...

Dit duidt op een PHPass-hash.

Wat is een hash?

Een hash is het resultaat van een eenrichtingsfunctie die invoer (zoals een wachtwoord) omzet naar een vaste reeks tekens. Belangrijke eigenschappen:

• Niet omkeerbaar (je kunt het originele wachtwoord niet terughalen)
• Altijd dezelfde invoer → dezelfde hash
• Kleine wijziging → compleet andere hash

WordPress slaat nooit het wachtwoord zelf op, alleen de hash.
Bij inloggen wordt het ingevoerde wachtwoord opnieuw gehasht en vergeleken met de opgeslagen hash.

Wat is de rol van salts?

Een salt is een willekeurige extra waarde die aan het wachtwoord wordt toegevoegd vóór het hashen. Dit voorkomt dat:

• Gelijke wachtwoorden dezelfde hash krijgen
• Rainbow tables effectief zijn

WordPress gebruikt twee niveaus van salts:

1. Globale salts in wp-config.php
   Deze worden gedefinieerd als: define('AUTH_SALT', '...'); define('SECURE_AUTH_SALT', '...'); define('LOGGED_IN_SALT', '...'); define('NONCE_SALT', '...'); Ze beschermen cookies, nonces en sessies.
2. Per-wachtwoord salt
   PHPass voegt intern een unieke salt toe aan elke wachtwoordhash.

Samen zorgen deze salts ervoor dat zelfs bij een database-lek wachtwoorden extreem moeilijk te kraken zijn.

Wachtwoord resetten via de WordPress-database (stappenplan)

Stap 1 – Open de database

• Ga naar phpMyAdmin of een andere database-tool
• Selecteer de juiste WordPress-database

Stap 2 – Open de tabel wp_users

Let op: de prefix (wp_) kan afwijken

Stap 3 – Bewerk de gebruiker

• Zoek de juiste gebruiker
• Klik op Bewerken
• Zoek het veld user_pass

Stap 4 – Stel een tijdelijk wachtwoord in

• Vul de password hash in, die je hierboven genereert.
• Sla de wijziging op

Stap 5 – Direct opnieuw instellen

• Log in op WordPress, met het wachtwoord wat je hierboven hebt ingegeven.
• Ga naar Gebruikers → Profiel
• Stel direct een nieuw wachtwoord in

WordPress herhasht het wachtwoord nu automatisch met de juiste (moderne) methode, passend bij jouw server.