Специалисты Университета Пирея (Греция) изучили 49 популярных CMS, уделив особое внимание используемому по умолчанию механизму хранения паролей. Как оказалось, в 60% случаев использовались либо ненадежные алгоритмы шифрования MD5 и SHA1, либо функции SHA256, SHA512, PBKDF2, которые можно взломать с помощью графического процессора.
Из всех CMS с MHF (memory hard function) 40,82% используют BCRYPT, в том числе Joomla, phpBB, Vanilla Forums, vBulletin и SilverStripe. Ни один проект не использует SCRYPT или Argon2. У проекта SCRYPT отсутствует «родная» библиотека PHP. Большинство CMS написаны на PHP, что делает для них поддержку SCRYPT невозможной. Функция Argon2 только недавно была добавлена в релиз PHP 7.2, поэтому на ее развертывание понадобится время.
14,29% изученных исследователями CMS не используют соль. Более того, 36,73% систем не используют итерацию для хеш-функций, что существенно снижает стоимость взлома пользовательских паролей. В 38,78% CMS не установлены требования по минимальному числу символов в паролях. К примеру, WordPress и Drupal позволяют устанавливать пароли длиной в один символ.