WordPress Salts 和安全密钥终极指南

WordPress 是世界上最引人注目和最受欢迎的内容管理系统之一。 因此,WordPress 是安全漏洞的常见目标,例如暴力攻击、SQL 注入、恶意软件、跨站点脚本和 DDoS 攻击。 事实上,最近,一种名为 快闪 正在对 WordPress 网站发起暴力攻击,通过剪贴板劫持窃取加密货币。

WordPress 的安全性取决于您为提高网站安全性所付出的努力。 作为网站所有者,您有责任保持警惕并实施主动安全策略以防止恶意攻击。 使用弱密码和用户名、未能更新 WordPress 核心和插件以及质量差的托管是网站所有者常犯的安全错误,这些错误使恶意黑客可以轻松访问。

WordPress 以自己的方式是一种高度安全的 CMS。 但是,要保护您的 WordPress 驱动的网站免受网络犯罪分子的侵害,您需要改善您的安全状况并提高您的在线可信度。 简单的步骤,例如更新 WordPress 核心、选择安全的 WordPress 托管服务提供商、注意 域名 安全性,使用安全密码有助于阻止恶意机器人和攻击者。

在这篇文章中,我们将重点介绍 WordPress 盐和安全密钥以及它们在确保您不必处理恶意软件攻击的后果方面的作用。

什么是 WordPress 安全密钥和盐?

当用户登录 WordPress 站点时,会在计算机上创建许多 cookie。 这些用于验证登录用户的身份。 如果黑客进入您的数据库或找到您的 cookie,他们可能会读取您的密码,从而使您的网站容易受到攻击。

WordPress 使用安全密钥和盐为您提供存储在数据库或 cookie 中的神秘输出,为您的网站增加一层安全性。

其中两个 cookie 是:

  • WordPress_[hash] 仅在管理页面或 WordPress 仪表板上使用。
  • WordPress_logged_in_[hash] 在整个 WordPress 中使用来确定您是否登录到 WordPress。

WordPress 存储在这些 cookie 中的身份验证详细信息使用 WordPress 安全密钥中指定的随机模式进行散列(分配的加密值)。

WordPress 安全密钥

WordPress 安全密钥 是一个密码,其中包含一组随机、长且复杂的变量,这些变量可以改进加密,几乎不可能破解您的密码。 最新版本的 WordPress 使用四个安全密钥,每个安全密钥都有一个相应的盐,可以提高 WordPress 驱动的网站的安全性。

这些都是:

  1. 授权键 可用于对站点进行更改。 它可以帮助您签署非 SSL 的授权 cookie。
  2. SECURE_AUTH_KEY 用于签署 SSL 管理员的授权 cookie,并用于对网站进行更改。
  3. LOGGED_IN_KEY 用于为登录用户创建 cookie。 它不能用于对站点进行更改。
  4. NONCE_KEY 用于签署 随机数键. 此密钥可防止生成随机数,从而保护您的站点免受攻击。

您将在 wp-config.php 文件,位于 WordPress 根文件夹中。

WordPress盐 是散列安全密钥的随机数据字符串,并为站点和您的凭据添加额外的保护层。

WordPress盐

如图所示,每个安全密钥都有一个对应的盐,即 AUTH_SALT、SECURE_AUTH_SALT、LOGGED_IN_SALT 和 NONCE_SALT。

为什么使用 WordPress 安全密钥和盐?

WordPress 使用 cookie 来跟踪登录到您网站的用户的身份。 这些 cookie 存储在您网站的仪表板帐户中,即客户端。 为了更好地加密,身份验证详细信息(用户名和密码)使用 WordPress 安全密钥中指定的一组随机值进行哈希处理。

因此,与未加密的密码相比,随机生成的加密密码(如“65a3ds2873ba27us36sd89s0fc”)极难破解。 因此,网站所有者应使用 WordPress 安全密钥来保护其网站的 cookie 并阻止恶意黑客访问该网站。

如何手动更改 WordPress 键和盐

您可以手动或使用 WordPress 安全插件配置密钥和盐。 如果您有一个自托管的 WordPress 站点,则必须自己添加安全密钥。

请注意:如果您是开发人员或习惯使用中级或更高级别的代码,我们仅建议您手动编辑 WordPress 文件。 如果您是初学者,请跳到下面推荐的插件。

首先,使用 WordPress 上的随机生成器来获取唯一的密钥。

生成密钥

接下来,登录您的控制面板文件管理器或通过 FTP。 从这里找到 wp-config.php 文件来修改它。

找到 WP-Config 文件

打开文件并向下滚动到“Authentication Unique Keys and Salts”部分。 您可以在此处添加之前生成的密钥。

身份验证唯一密钥和盐

保存文件后,您将需要重新登录。

使用插件更新密钥和盐

像 WordPress 中的大多数事情一样,您不必手动执行此操作。 可以使用几个 WordPress 插件来代表您自动执行该过程。 它们是更改 WordPress 密钥和盐的快速简便方法。 这是我们推荐的两个。

iThemes 安全

BuddyPress Freemium WordPress 插件的 iThemes 安全性

信息和下载

当前版本的 iThemes Security(免费 v4.6+ 或 iThemes Security Pro v1.14+)带有一个省时的安全功能,可以轻松更新 WordPress 安全密钥和盐。 它每月提供更新提醒,避免手动生成一组新密钥或编辑 wp-config.php 文件的需要。

要更新密钥和盐,请转到“高级选项卡”中的“WordPress 盐”部分,单击“更改 WordPress 盐”复选框,最后单击“更改 WordPress 盐”按钮。

iThemes WordPress 盐

iThemes Security Pro 提供额外的功能,如双重身份验证、预定的恶意软件扫描和 reCAPTCHA 以检测恶意软件并为您的 WordPress 登录页面添加额外的安全层。

盐瓶

盐瓶插件

同样,Salt Shaker 提供了令人印象深刻的功能和设置,例如手动和即时 WP 安全密钥和盐更改,以提高您的 WordPress 安全性。

Salt Shaker WordPress 密钥和盐

此外,安装 Salt Shaker 插件后,您可以设置自动换盐的计划作业。 您需要做的就是选中该框并选择每日、每周或每月设置。

在这两种情况下,该插件都被编程为发送自动提醒以更新 WordPress 密钥。 结果,它还强制所有登录的用户再次进行登录过程。 所有这些功能都有助于保护网站免受暴力攻击和其他黑客攻击。


在保护您的 WordPress 网站时,预防是必经之路。 WordPress 安全密钥和盐的强硬组合使黑客很难破解网站密码。 这就是 WordPress 为用户会话提供改进的安全性并保护数据的方式。

总而言之,在更新 WordPress 安全密钥和盐时,需要牢记以下几点。

  • 启动 WordPress 站点后,更改安全密钥和盐。
  • 始终使用 WordPress salt 密钥生成器来创建安全密钥。 不要自己做。 或者,您可以使用 WordPress 插件自动执行该过程。
  • 更新 WordPress 安全密钥和盐将使所有现有 cookie 无效,导致所有用户立即注销。 因此,在更改它们时,请注意某些用户可能在线。
  • 如果您看到您的网站受到攻击的任何迹象,请更新 WordPress 安全密钥并鼓励您的用户更改密码。

您对盐和安全密钥有任何疑问吗? 或者您要添加的提示? 让我们在评论中知道!

  如何为 WordPress 创建临时站点

类似文章