wordpress - Apache mod-auth-mysql 与 phpass 加密密码 (Wordpress)

Question

我需要对 WordPress 主站点之外的某些网页进行密码保护。用户更愿意使用他们在 WordPress 中已有的用户名和密码。

显而易见的解决方案似乎是使用 Apace 模块进行基于 Mysql 的身份验证:mod-auth-mysql。

但这似乎不可能，因为 Wordpress 使用 Phpass 密码加密，而 mod-auth-mysql 不支持该加密。

• http://modauthmysql.sourceforge.net/CONFIGURE
• http://www.openwall.com/phpass/
• https://wordpress.stackexchange.com/questions/32004/how-to-validate-wordpress-generated-password-in-db-using-php

有什么办法可以绕过这个限制吗？

Answer 1

您可以使用 mod-auth-mysql 的修补版本来接受 Phpass 加密密码。我将提供有关如何在 ubuntu 和 debian 中执行此操作的说明。

The raw patch file is available here

在 Ubuntu/Debian 中修补 Mod-auth-mysql 以支持 Phpass

这些说明已在 Ubuntu 10.4、12.04 和 14.04.5 中进行了测试，但只需进行最小的更改即可在许多其他基于 Debian 的平台上运行。

创建用于构建修补的 .deb 包的工作目录

mkdir mod-auth-mysql-phpass
cd mod-auth-mysql-phpass

获取构建包和包源所需的依赖项。

sudo apt-get build-dep mod-auth-mysql fakeroot
apt-get source mod-auth-mysql

转到新创建的源文件夹。

cd mod-auth-mysql-4.3.9

使用 Debian 工具创建正确的 Debian 格式补丁 (.dpatch)。首先检查当前的补丁列表。

cat debian/patches/00list

最后一个官方补丁将位于列表的末尾。使用最后一个补丁的名称作为下面 dpatch-edit-patch 命令的最后一个参数。还为新 phpass 补丁的名称选择一个更大的数字。就我而言，列表中的最后一个补丁是 017-doc_persistent_conn.dpatch，phpass 补丁的名称是 018-phpass。

dpatch-edit-patch patch 018-phpass 017-doc_persistent_conn.dpatch

dpatch-edit-patch 将在一个特殊文件夹中启动一个新的 shell，该文件夹它将用于构建自定义 debian 格式的补丁。

下载原始补丁

wget https://pelam.fi/published_sources/mod-auth-mysql-phpass/patch.diff

应用原始补丁并将其删除。

patch < patch.diff
rm patch.diff

告诉 dpatch-edit-patch 我们的自定义补丁可以生成。

exit

对你的新的正确 Debian 格式的补丁感到惊讶。你也应该如果您关心安全性，请查看此非官方补丁所做的更改:)

cat debian/patches/018-phpass.dpatch 

将新补丁添加到构建 .deb 包时要应用的补丁列表中。

echo 018-phpass.dpatch >> debian/patches/00list 

构建修补包

dpkg-buildpackage -b -uc

现在您可以安装自定义构建的 .deb 软件包(构建的软件包名称可能会根据您的系统而有所不同)。

sudo dpkg --install ../libapache2-mod-auth-mysql_4.3.9-13.1ubuntu3_amd64.deb

配置 Mod-auth-mysql 以使用 Phpass 对 Wordpress 进行身份验证

启用 mod-auth-mysql:

sudo a2enmod auth_mysql

重启apache以使新模块生效:

sudo service apache2 restart

可以使用例如查看文档(现在包括 Phpass)。更少的命令

zless /usr/share/doc/libapache2-mod-auth-mysql/DIRECTIVES.gz

下面是一个示例 .htaccess 文件，仅允许 WordPress 管理员访问:

AuthType Basic
AuthName "Give Wordpress Administrator username and password"

Auth_MySQL_User YOUR_MYSQL_USER_HERE
Auth_MySQL_Password YOUR_MYSQL_PASSWORD_HERE
Auth_MySQL_Host YOUR_MYSQL_SERVER_HERE

AuthBasicAuthoritative Off
# I don't know a better way to disable the default password file authentication
AuthUserFile /dev/null
Auth_MySQL on
Auth_MySQL_DB YOUR_WORDPRESS_MYSQL_SCHEMA_NAME_HERE
Auth_MySQL_Password_Table wp_users
Auth_MySQL_Username_Field wp_users.user_login
Auth_MySQL_Password_Field wp_users.user_pass
Auth_MySQL_Encryption_Types PHPass PHP_MD5

Auth_MySQL_Group_Table "wp_users, wp_usermeta"
Auth_MySQL_Group_Clause "AND wp_users.ID = wp_usermeta.user_id AND wp_usermeta.meta_key='wp-capabilities' and m.meta_value like '%s:13:\"administrator\"%'"
Auth_MySQL_Persistent On
Auth_MySQL_Authoritative Off
Auth_MySQL_CharacterSet utf8

Require valid-user
Order allow,deny
Allow from all