WordPress盐和安全密钥的终极指南

[ad_1]

WordPress是世界上最引人注目的和最受欢迎的内容管理系统之一。因此,WordPress经常成为安全漏洞利用的目标,例如暴力攻击,SQL注入,恶意软件,跨站点脚本和DDoS攻击。实际上,最近有一种新的恶意软件 Clipsa 正在WordPress网站中发起暴力攻击,通过剪贴板劫持窃取加密货币。

WordPress的安全性与您为提高网站安全性所付出的努力一样多。作为网站所有者,您有责任保持警惕并实施主动的安全策略以防止恶意攻击。使用弱密码和用户名,无法更新WordPress核心和插件以及质量低劣的托管是网站所有者常犯的常见安全错误,使恶意黑客易于访问。

WordPress本身就是一种高度安全的CMS。但是,要使基于WordPress的网站免受网络犯罪分子的侵扰,就需要您改善安全状况并提高在线信誉。简单的步骤,例如更新WordPress核心,选择安全的 WordPress托管 提供者,注意 域名 安全性以及使用安全密码可以帮助阻止恶意的僵尸程序和攻击者。

在本文中,我们将重点介绍WordPress盐和安全密钥及其在确保您不必应对恶意软件攻击的后果方面的作用。

什么是WordPress安全密钥和盐?

当用户登录WordPress网站时,计算机上会创建许多cookie。这些用于验证已登录用户的身份。如果黑客进入您的数据库或找到您的cookie,则他们可能能够读取您的密码,从而使您的站点容易受到攻击。

WordPress使用安全密钥和盐为您提供存储在数据库或cookie中的加密输出,从而为您的网站增加了一层安全保护。

这些cookie中的两个是:

  • WordPress_(hash)仅在管理页面或WordPress仪表板上使用。

  • 在整个WordPress中使用WordPress_logged_in_(hash)来确定您是否登录WordPress。

使用WordPress安全密钥中指定的随机模式对WordPress存储在这些Cookie中的身份验证详细信息进行哈希处理(分配的加密值)。

WordPress安全金钥

WordPress安全密钥是一种密码,其中包含一组随机,长而复杂的变量,这些变量可以改善加密,从而几乎不可能破解您的密码。 WordPress的最新版本使用四个安全密钥,每个密钥都有对应的盐,可以增强WordPress驱动的网站的安全性。

这些是:

  1. AUTH_KEY可用于对站点进行更改。它可以帮助您签署非SSL的授权cookie。

  2. SECURE_AUTH_KEY用于对SSL管理员签名授权cookie,并用于对网站进行更改。

  3. LOGGED_IN_KEY用于为登录用户创建cookie。它不能用于更改站点。

  4. NONCE_KEY用于签名 随机数键。此密钥可防止生成随机数,从而保护您的站点免遭攻击。

您可以在以下位置找到这些身份验证密钥和盐 wp-config.php文件,位于WordPress根文件夹中。

WordPress盐是随机散列的数据字符串,可对安全密钥进行哈希处理,并为站点和您的凭据添加额外的保护层。

WordPress盐

如您在该图中所看到的,每个安全密钥都有一个对应的盐,即AUTH_SALT,SECURE_AUTH_SALT,LOGGED_IN_SALT和NONCE_SALT。

为什么要使用WordPress安全密钥和盐?

WordPress使用Cookie来跟踪登录到您网站的用户的身份。这些Cookie存储在您网站的仪表板帐户(即客户端)上。为了更好地加密,使用WordPress安全密钥中指定的一组随机值对身份验证详细信息(用户名和密码)进行哈希处理。

因此,与未加密的密码相比,随机生成的加密密码(如“ 65a3ds2873ba27us36sd89s0fc”)极难破解。因此,网站所有者应使用WordPress安全密钥来保护其网站的Cookie,并阻止恶意黑客访问该网站。

如何手动更改WordPRess键和盐

您可以手动或使用WordPress安全插件配置密钥和盐。如果您拥有一个自托管的WordPress网站,则必须自己添加安全密钥。

请注意:如果您是开发人员或对中级或更高级别的代码感到满意,我们仅建议手动编辑WordPress文件。如果您是初学者,请跳到下面的推荐插件。

首先,在WordPress上使用随机生成器来获取唯一的密钥。

产生金钥

接下来,登录到控制面板文件管理器或通过FTP。从此处找到wp-config.php文件进行修改。

找到WP-Config文件

打开文件并向下滚动到“身份验证唯一密钥和盐''部分。您可以在此处添加您先前生成的密钥。

身份验证唯一密钥和盐

保存文件后,将需要重新登录。

使用插件更新密钥和盐

像WordPress中的大多数事情一样,您不必手动执行此操作。几个WordPress插件可用于代表您自动执行该过程。它们是更改您的WordPress键和盐的快速简便的方法。我们推荐两个。

iThemes安全

BuddyPress Freemium WordPress插件的iThemes安全性

了解更多并下载

当前版本的iThemes Security(免费v4.6 +或iThemes Security Pro v1.14 +)具有节省时间的安全功能,可轻松更新WordPress安全密钥和盐。它每月提供一次更新提醒,避免了手动生成一组新密钥或编辑wp-config.php文件的需要。

要更新键和盐,请转到“高级选项卡”中的“ WordPress盐”部分,单击“更改WordPress盐”复选框,最后单击“更改WordPress盐”按钮。

iThemes WordPress盐

iThemes Security Pro提供了其他功能,例如两因素身份验证,计划的恶意软件扫描和reCAPTCHA,以检测恶意软件并为WordPress登录页面添加额外的安全性。

盐瓶

Salt Shaker插件

了解更多并下载

同样,Salt Shaker提供令人印象深刻的功能和设置,例如手动和即时WP安全密钥,以及更改Salt可以提高WordPress安全性。

盐瓶WordPress按键和盐

此外,在安装Salt Shaker插件后,您可以设置计划的作业以进行自动换盐。您需要做的就是选中该复选框,然后选择每日,每周或每月设置。

在这两种情况下,插件均经过编程以发送自动提醒以更新WordPress密钥。结果,它也迫使所有已登录的用户再次经历登录过程。所有这些功能有助于保护网站免受暴力攻击和其他黑客攻击。

当要保护您的WordPress网站时,必须采取预防措施。 WordPress安全密钥和盐的强硬组合使黑客很难破解网站密码。 WordPress就是通过这种方式为用户会话提供改进的安全性并保护数据。

总而言之,在更新WordPress安全密钥和盐时,需要牢记一些注意事项。

  • 启动WordPress网站后,更改安全密钥和盐。
  • 始终使用WordPress盐密钥生成器来创建安全密钥。不要自己做。或者,您可以使用WordPress插件或自动执行该过程。
  • 更新WordPress安全密钥和盐将使所有现有cookie无效,从而导致所有用户立即注销。因此,在更改它们时,请注意某些用户可能在线。
  • 如果您发现您的网站受到攻击的任何迹象,请更新WordPress安全密钥并鼓励您的用户更改其密码。

您对盐和安全密钥有疑问吗?或您要添加的提示?让我们在评论中知道!

相关文章