從深層次上講,WordPress Salts是一種通過幫助安全地儲存和驗證站點使用者密碼來確保WordPress站點安全的方法。
在本文中,您將瞭解到:
- 什麼是WordPress alts?
- WordPress Salts位於何處?
- WordPress Salts是如何工作的
- 您需要更改WordPress Salts和安全金鑰嗎?
- 如何更改WordPress Salts(兩種方法)
什麼是WordPress Salts?
WordPress Salts及其配套的安全金鑰是一種加密工具,可幫助保護您的WordPress站點登入。
具體來說,Salts和安全金鑰可以保護WordPress用於登入的cookie中的資訊。
看,一旦您登入WordPress,您就可以選擇保持登入狀態,這樣您就無需每次都輸入使用者名稱和密碼。為此,WordPress將您的登入資訊儲存在cookie中,而不是使用PHP會話。
這對使用者來說非常方便,但如果有人能夠劫持您瀏覽器的cookie ,它也會帶來安全問題的可能性。
為避免這種情況,WordPress使用Salts和安全金鑰來保護您的登入資訊,以便惡意主體無法對其進行任何操作。把它們想象成你網站的“額外”密碼,惡意行為者幾乎不可能猜到。
由於它們的重要性,您永遠不應該與任何人分享您的 WordPress 鹽和安全金鑰。
WordPress Salts位於何處?
預設情況下,WordPress帶有自己的Salts和安全金鑰。它們位於您站點的wp-config.php檔案中。您應該總共看到八個鍵:
- 前四個條目是您的安全金鑰。
- 最後四個條目是您的WordPress Salts。
wp-config.php檔案中的Salts示例
WordPress Salts是如何工作的?
假設您的WordPress網站的密碼是“mypassword”(這是一個可怕的密碼,但它符合我們的目的)。
要登入,請輸入您的使用者名稱和密碼。然後,WordPress將該資訊儲存在兩個瀏覽器cookie中,以便您保持登入狀態(此資訊也儲存在您站點的資料庫中)。
但是,如果WordPress像這樣儲存您的密碼 – “mypassword” – 那麼它就在那裡,惡意行為者可以看到。這稱為以明文形式儲存密碼,在安全性方面這是一個很大的禁忌。
安全金鑰和鹽通過共同合作將明文密碼加密地轉換為隨機混亂的字元來避免這個問題,如果沒有訪問您的金鑰和Salts某人就不可能進行逆向工程。
因此,即使您輸入“mypassword”進行登入,WordPress 也會將您的密碼轉換為“hsd78q34%7832$4jkhkjsfd78782^^429nsdf”之類的內容進行儲存。
除非有人可以訪問您的Salts和安全金鑰,否則他們不可能將隨機的混亂字元轉換為您的實際密碼。
您需要更改WordPress Salts和安全金鑰嗎?
預設情況下,新的 WordPress 安裝帶有自己的一組金鑰和Salts,因此您的WordPress站點已經是安全的,而無需您執行任何操作。
但是,有一些理由需要考慮定期更改Salts和金鑰。
基本概念是,通過定期更改您的金鑰和Salts,您可以使惡意行為者更難獲得您的鹽。
此外,更改您的鹽將自動登出您站點上所有已登入的使用者並強制他們重新登入,這是另一個潛在的好處。例如,如果您不小心登入了公共計算機並忘記退出,這將允許您強制退出該帳戶以確保沒有人可以訪問。
如何更改WordPress Salts(兩種方法)
如果您想更改WordPress中的Salts,您有兩個主要選擇:
以下是使用這兩種方法的方法:
如何手動更改WordPress Salts
要手動更改站點的Salts,您需要通過 FTP 連線到站點的伺服器並編輯wp-config.php檔案。
連線後,前往官方WordPress.org提供的Salts生成器。該頁面會為您隨機生成Salts和安全金鑰,就像您在上面看到的那樣。它應該生成四個安全金鑰和四個Salts(總共八個):
WordPress.org可以幫助您生成新的金鑰和Salts
然後,刪除wp-config.php檔案中的現有金鑰,並通過貼上來自 WordPress.org的Salts生成器的金鑰來替換它們:
如何在wp-config.php中更改Salts
完成後,它看起來應該和以前完全一樣——只是隨機字串會有所不同。
確保儲存您的更改並在需要時重新上傳您的wp-config.php檔案。
如何使用外掛更改WordPress Salts
作為上述手動方法的替代方法,您還可以使用外掛來更改站點的鹽。
Salt Shaker外掛是一個優勢手動方法流行的自由選擇:
您可以將其設定為按照您定義的時間表自動更改Salts。或者,您也可以僅使用它來手動更改Salts。
安裝並啟用外掛後,轉到Tools → Salt Shaker。
如果您想立即手動更改Salts,只需單擊“Change Now”按鈕。
或者,您也可以使用Scheduled Change功能按照以下計劃之一自動更改Salts:
- 日常的
- 每週
- 每月
- 每季度(每三個月)
- 每半年(每六個月)
如何使用Salt Shaker外掛
一些WordPress安全外掛,特別是iThemes Security,還包括可以輕鬆更改WordPress Salts的功能。
小結
WordPress Salts和安全金鑰有助於保護您網站的登入過程和WordPress用於驗證使用者身份的cookie。
預設情況下,您的站點帶有自己的一組Salts和鍵,因此您無需設定任何內容即可從Salts中受益。
但是,定期更改您的Salts分使惡意行為者更難訪問它們具有安全優勢。
要更改Salts,您可以使用WordPress.org的Salts生成器並手動編輯您的wp-config.php檔案,或者您可以使用免費外掛,如 Salt Shaker。
評論留言