WordPress 是世界上最引人注目和最受欢迎的内容管理系统之一。因此,WordPress 通常是暴力攻击、SQL 注入、恶意软件、跨站点脚本和 DDoS 攻击等安全攻击的目标。事实上,一种新的恶意软件 Clipsa 最近正在对 WordPress 网站发起暴力攻击,通过剪贴板劫持窃取加密货币。
WordPress 的安全性与您为使您的网站更安全而付出的努力一样多。作为网站所有者,您有责任保持警惕并实施主动安全策略以防止恶意攻击。使用弱密码和用户名、未能更新 WordPress 核心和插件以及质量差的托管是网站所有者常犯的安全错误,使恶意黑客很容易访问它们。
WordPress 本身就是一个高度安全的 CMS。但是,要保护基于 WordPress 的网站免受网络犯罪分子的侵害,您需要改善安全状况并提高在线声誉。更新 WordPress 核心、选择安全的 WordPress 托管服务提供商、注意域名安全以及使用安全密码等简单步骤可以帮助阻止恶意机器人和攻击者。
在本文中,我们将重点介绍 WordPress 盐和安全密钥及其在确保您不必处理恶意软件攻击后果方面的作用。
什么是 WordPress 安全密钥和盐?
当用户登录 WordPress 网站时,计算机上会创建许多 cookie。这些用于验证登录用户。如果黑客进入您的数据库或找到您的 cookie,他们可能会读取您的密码,从而使您的网站容易受到攻击。
WordPress 使用安全密钥和盐为您提供存储在数据库或 cookie 中的加密输出,从而为您的网站增加额外的安全层。
其中两个 cookie 是:
-
WordPress_(hash) 仅用于管理页面或 WordPress 控制面板。
-
WordPress_logged_in_(hash) 在整个 WordPress 中用于确定您是否已登录 WordPress。
WordPress 存储在这些 cookie 中的身份验证详细信息使用 WordPress 安全密钥中指定的随机模式进行哈希处理(分配加密值)。
WordPress安全密钥是一种密码,由一组随机的、长的、复杂的变量组成,这些变量提高了加密能力,几乎不可能破解你的密码。最新版本的 WordPress 使用四个安全密钥,每个密钥都有相应的盐,以增强 WordPress 支持的网站的安全性。
它们是:
-
AUTH_KEY 可用于对站点进行更改。它可以帮助您签署非 SSL 授权 cookie。
-
SECURE_AUTH_KEY 用于向 SSL 管理员签署授权 cookie 以及对站点进行更改。
-
LOGGED_IN_KEY 用于为登录用户创建 cookie。它不能用于更改站点。
-
NONCE_KEY 用于对随机数密钥进行签名。此密钥可防止随机数生成,从而保护您的站点免受攻击。
您可以在位于 WordPress 根文件夹中的 wp-config.php 文件中找到这些身份验证密钥和盐。
WordPress 盐是随机散列的数据字符串,散列安全密钥并为站点和您的凭据添加额外的保护层。
如果你在这个图片中可以看到,每个安全密钥都有对应的salt,分别是AUTH_SALT、SECURE_AUTH_SALT、LOGGED_IN_SALT和NONCE_SALT。
为什么要使用 WordPress 安全密钥和盐?
WordPress 使用 cookie 来跟踪登录您网站的用户的身份。这些 cookie 存储在您网站的仪表板帐户(即客户端)中。为了更好的加密,身份验证详细信息(用户名和密码)使用 WordPress 安全密钥中指定的一组随机值进行哈希处理。
因此,与未加密的密码相比,随机生成的加密密码(例如“65a3ds2873ba27us36sd89s0fc”)极难破解。因此,网站所有者应使用 WordPress 安全密钥来保护其网站的 cookie,防止恶意黑客访问网站。
如何手动更改 WordPress 密钥和盐
您可以手动或使用 WordPress 安全插件配置密钥和盐。如果您有一个自托管的 WordPress 站点,您必须自己添加安全密钥。
请注意:如果您是开发人员或熟悉中级或高级编码,我们只建议您手动编辑 WordPress 文件。如果您是初学者,请跳到下面推荐的插件。
首先,在 WordPress 上使用随机生成器来获取唯一密钥。
生成密钥
接下来,登录到控制面板文件管理器或通过 FTP。从这里找到 wp-config.php 文件并修改它。
打开文件去向下滚动到“身份验证唯一密钥和盐”部分。您可以在此处添加您之前生成的密钥。
保存文件后,您需要重新登录。
使用插件更新密钥和盐
p>像 WordPress 中的大多数事情一样,您不需要必须手动执行此操作。有几个 WordPress 插件可以代表您自动执行该过程。它们是更改 WordPress 密钥和盐的快速简便的方法。推荐两个。
iThemes Security
p>
了解更多并下载
当前版本的 iThemes Security(免费 v4.6+ 或 iThemes Security Pro v1.14+)具有省时的安全功能,可轻松更新 WordPress安全密码密钥和盐。它提供每月更新提醒,避免手动生成一组新密钥或编辑 wp-config.php 文件的需要。
要更新密钥和盐,请转到高级选项卡,在 WordPress 盐部分,单击“更改 WordPress Salt”复选框,最后单击“更改 WordPress Salt”按钮。
iThemes Security Pro 提供额外的功能,例如双因素身份验证、计划的恶意软件扫描和 reCAPTCHA 以检测恶意软件并为 WordPress 登录页面增加额外的安全性。
盐瓶了解更多并下载
同样,Salt Shaker 提供了令人印象深刻的功能和设置,例如手动和即时 WP 安全密钥,更改 Salt 可以提高 WordPress 的安全性。
另外,安装后Salt 使用 Shaker 插件,您可以设置自动更改盐的计划作业。您需要做的就是选中该框并选择每日、每周或每月设置。
在这两种情况下,插件都被编程为发送自动提醒以更新 WordPress 密钥。结果,它还强制所有已登录的用户重新进行登录过程。所有这些功能都有助于保护网站免受暴力攻击和其他黑客攻击。
在保护您的 WordPress 网站时,必须采取预防措施。 WordPress 安全密钥和盐的强硬组合使黑客很难破解网站密码。这就是 WordPress 为用户会话提供改进的安全性并保护数据的方式。
总而言之,在更新您的 WordPress 安全密钥和盐时需要牢记一些事项。
- 启动您的 WordPress 网站后,更改安全密钥和盐。
- 始终使用 WordPress 盐密钥生成器来创建安全密钥。不要自己做。或者,您可以使用 WordPress 插件或自动执行该过程。
- 更新 WordPress 安全密钥和盐将使所有现有 cookie 失效,导致所有用户立即注销。因此,在更改它们时,请注意某些用户可能在线。
- 如果您发现任何迹象表明您的网站已遭到入侵,请更新您的 WordPress 安全密钥并鼓励您的用户更改他们的密码。
您对盐和安全密钥有疑问吗?或要添加的提示?让我们在评论中知道!