[ad_1]
WordPress是世界上最引人注目的和最受歡迎的內容管理系統之一。因此,WordPress經常成為安全漏洞利用的目標,例如暴力攻擊,SQL注入,惡意軟體,跨站點腳本和DDoS攻擊。實際上,最近有一種新的惡意軟體 Clipsa 正在WordPress網站中發起暴力攻擊,通過剪貼板劫持竊取加密貨幣。
WordPress的安全性與您為提高網站安全性所付出的努力一樣多。作為網站所有者,您有責任保持警惕並實施主動的安全策略以防止惡意攻擊。使用弱密碼和用戶名,無法更新WordPress核心和插件以及質量低劣的託管是網站所有者常犯的常見安全錯誤,使惡意黑客易於訪問。
WordPress本身就是一種高度安全的CMS。但是,要使基於WordPress的網站免受網路犯罪分子的侵擾,就需要您改善安全狀況並提高在線信譽。簡單的步驟,例如更新WordPress核心,選擇安全的 WordPress託管 提供者,注意 域名 安全性以及使用安全密碼可以幫助阻止惡意的殭屍程序和攻擊者。
在本文中,我們將重點介紹WordPress鹽和安全密鑰及其在確保您不必應對惡意軟體攻擊的後果方面的作用。
什麼是WordPress安全密鑰和鹽?
當用戶登錄WordPress網站時,計算機上會創建許多cookie。這些用於驗證已登錄用戶的身份。如果黑客進入您的資料庫或找到您的cookie,則他們可能能夠讀取您的密碼,從而使您的站點容易受到攻擊。
WordPress使用安全密鑰和鹽為您提供存儲在資料庫或cookie中的加密輸出,從而為您的網站增加了一層安全保護。
這些cookie中的兩個是:
-
WordPress_(hash)僅在管理頁面或WordPress儀錶板上使用。
-
在整個WordPress中使用WordPress_logged_in_(hash)來確定您是否登錄WordPress。
使用WordPress安全密鑰中指定的隨機模式對WordPress存儲在這些Cookie中的身份驗證詳細信息進行哈希處理(分配的加密值)。
WordPress安全密鑰是一種密碼,其中包含一組隨機,長而複雜的變數,這些變數可以改善加密,從而幾乎不可能破解您的密碼。 WordPress的最新版本使用四個安全密鑰,每個密鑰都有對應的鹽,可以增強WordPress驅動的網站的安全性。
這些是:
-
AUTH_KEY可用於對站點進行更改。它可以幫助您簽署非SSL的授權cookie。
-
SECURE_AUTH_KEY用於對SSL管理員簽名授權cookie,並用於對網站進行更改。
-
LOGGED_IN_KEY用於為登錄用戶創建cookie。它不能用於更改站點。
-
NONCE_KEY用於簽名 隨機數鍵。此密鑰可防止生成隨機數,從而保護您的站點免遭攻擊。
您可以在以下位置找到這些身份驗證密鑰和鹽 wp-config.php文件,位於WordPress根文件夾中。
WordPress鹽是隨機散列的數據字元串,可對安全密鑰進行哈希處理,並為站點和您的憑據添加額外的保護層。
如您在該圖中所看到的,每個安全密鑰都有一個對應的鹽,即AUTH_SALT,SECURE_AUTH_SALT,LOGGED_IN_SALT和NONCE_SALT。
為什麼要使用WordPress安全密鑰和鹽?
WordPress使用Cookie來跟蹤登錄到您網站的用戶的身份。這些Cookie存儲在您網站的儀錶板帳戶(即客戶端)上。為了更好地加密,使用WordPress安全密鑰中指定的一組隨機值對身份驗證詳細信息(用戶名和密碼)進行哈希處理。
因此,與未加密的密碼相比,隨機生成的加密密碼(如「 65a3ds2873ba27us36sd89s0fc」)極難破解。因此,網站所有者應使用WordPress安全密鑰來保護其網站的Cookie,並阻止惡意黑客訪問該網站。
如何手動更改WordPRess鍵和鹽
您可以手動或使用WordPress安全插件配置密鑰和鹽。如果您擁有一個自託管的WordPress網站,則必須自己添加安全密鑰。
請注意:如果您是開發人員或對中級或更高級別的代碼感到滿意,我們僅建議手動編輯WordPress文件。如果您是初學者,請跳到下面的推薦插件。
首先,在WordPress上使用隨機生成器來獲取唯一的密鑰。
接下來,登錄到控制面板文件管理器或通過FTP。從此處找到wp-config.php文件進行修改。
打開文件並向下滾動到“身份驗證唯一密鑰和鹽''部分。您可以在此處添加您先前生成的密鑰。
保存文件後,將需要重新登錄。
使用插件更新密鑰和鹽
像WordPress中的大多數事情一樣,您不必手動執行此操作。幾個WordPress插件可用於代表您自動執行該過程。它們是更改您的WordPress鍵和鹽的快速簡便的方法。我們推薦兩個。
iThemes安全
當前版本的iThemes Security(免費v4.6 +或iThemes Security Pro v1.14 +)具有節省時間的安全功能,可輕鬆更新WordPress安全密鑰和鹽。它每月提供一次更新提醒,避免了手動生成一組新密鑰或編輯wp-config.php文件的需要。
要更新鍵和鹽,請轉到「高級選項卡」中的「 WordPress鹽」部分,單擊「更改WordPress鹽」複選框,最後單擊「更改WordPress鹽」按鈕。
iThemes Security Pro提供了其他功能,例如兩因素身份驗證,計劃的惡意軟體掃描和reCAPTCHA,以檢測惡意軟體並為WordPress登錄頁面添加額外的安全性。
鹽瓶
同樣,Salt Shaker提供令人印象深刻的功能和設置,例如手動和即時WP安全密鑰,以及更改Salt可以提高WordPress安全性。
此外,在安裝Salt Shaker插件後,您可以設置計劃的作業以進行自動換鹽。您需要做的就是選中該複選框,然後選擇每日,每周或每月設置。
在這兩種情況下,插件均經過編程以發送自動提醒以更新WordPress密鑰。結果,它也迫使所有已登錄的用戶再次經歷登錄過程。所有這些功能有助於保護網站免受暴力攻擊和其他黑客攻擊。
當要保護您的WordPress網站時,必須採取預防措施。 WordPress安全密鑰和鹽的強硬組合使黑客很難破解網站密碼。 WordPress就是通過這種方式為用戶會話提供改進的安全性並保護數據。
總而言之,在更新WordPress安全密鑰和鹽時,需要牢記一些注意事項。
- 啟動WordPress網站後,更改安全密鑰和鹽。
- 始終使用WordPress鹽密鑰生成器來創建安全密鑰。不要自己做。或者,您可以使用WordPress插件或自動執行該過程。
- 更新WordPress安全密鑰和鹽將使所有現有cookie無效,從而導致所有用戶立即註銷。因此,在更改它們時,請注意某些用戶可能在線。
- 如果您發現您的網站受到攻擊的任何跡象,請更新WordPress安全密鑰並鼓勵您的用戶更改其密碼。
您對鹽和安全密鑰有疑問嗎?或您要添加的提示?讓我們在評論中知道!