Ostateczny przewodnik po solach WordPress i kluczach bezpieczeństwa

WordPress jest jednym z najbardziej znanych i popularnych systemów zarządzania treścią na świecie. W związku z tym WordPress jest częstym celem ataków bezpieczeństwa, takich jak ataki siłowe, wstrzykiwanie SQL, złośliwe oprogramowanie, skrypty między witrynami i ataki DDoS. W rzeczywistości niedawno pojawił się nowy szczep złośliwego oprogramowania Clipsa przeprowadza ataki typu brute force na stronach WordPress, kradnąc kryptowalutę poprzez przejęcie schowka.


WordPress jest tak bezpieczny, jak wysiłek włożony w poprawę bezpieczeństwa witryny. Jako właściciel witryny Twoim obowiązkiem jest zachowanie czujności i wdrożenie proaktywnej strategii bezpieczeństwa w celu zapobiegania złośliwym atakom. Używanie słabych haseł i nazw użytkowników, brak aktualizacji rdzenia i wtyczek WordPress oraz niskiej jakości hosting to jedne z najczęstszych błędów bezpieczeństwa popełnianych przez właścicieli witryn, dających łatwy dostęp do złośliwych hakerów.

WordPress to bardzo bezpieczny CMS na swój sposób. Jednak ochrona witryny opartej na WordPress przed cyberprzestępcami wymaga poprawy bezpieczeństwa i wiarygodności online. Proste kroki, takie jak aktualizacja rdzenia WordPress, wybór bezpiecznego dostawcy hostingu WordPress, zwracanie uwagi Nazwa domeny bezpieczeństwo i używanie bezpiecznego hasła może pomóc w blokowaniu złośliwych botów i atakujących.

W tym poście skupimy się na solach WordPress i kluczach bezpieczeństwa oraz ich roli w zapewnieniu, że nie będziesz musiał radzić sobie z opadaniem ataków złośliwego oprogramowania.

Co to są klucze bezpieczeństwa i sole WordPress?

Gdy użytkownik loguje się na stronie WordPress, na komputerze tworzona jest pewna liczba plików cookie. Służą one do weryfikacji tożsamości zalogowanych użytkowników. Jeśli haker dostanie się do Twojej bazy danych lub znajdzie Twoje pliki cookie, może być w stanie odczytać Twoje hasło, narażając w ten sposób Twoją witrynę na ataki.

WordPress używa kluczy bezpieczeństwa i soli, aby uzyskać tajemnicze wyjście, które jest przechowywane w bazie danych lub pliku cookie, dodając warstwę bezpieczeństwa do Twojej witryny.

Dwa z tych plików cookie to:

  • WordPress_ [hash] używany tylko na stronie administratora lub pulpicie WordPress.
  • WordPress_logged_in_ [hash] używane w całym WordPressie w celu ustalenia, czy jesteś zalogowany w WordPress.

Dane uwierzytelniające przechowywane w tych plikach cookie przez WordPress są mieszane (przypisane wartości kryptyczne) przy użyciu losowych wzorców określonych w kluczach bezpieczeństwa WordPress.

Klucz bezpieczeństwa WordPress

Klucz bezpieczeństwa WordPress to hasło zawierające losowy, długi i skomplikowany zestaw zmiennych, które poprawiają szyfrowanie, dzięki czemu złamanie hasła jest prawie niemożliwe. Najnowsza wersja WordPress używa czterech kluczy bezpieczeństwa, z których każdy ma odpowiednią sól, która może podnieść bezpieczeństwo twojej strony internetowej opartej na WordPress.

To są:

  1. KLUCZ AUTORYZUJĄCY mogą być użyte do wprowadzenia zmian na stronie. Pomaga podpisać autoryzacyjny plik cookie dla non-SSL.
  2. SECURE_AUTH_KEY służy do podpisywania autoryzującego pliku cookie administratora SSL i służy do wprowadzania zmian na stronie internetowej.
  3. LOGGED_IN_KEY służy do utworzenia pliku cookie dla zalogowanego użytkownika. Nie można go używać do wprowadzania zmian w witrynie.
  4. NONCE_KEY służy do podpisania klucz jednorazowy. Ten klucz chroni nonces przed wygenerowaniem, tym samym chroniąc twoją stronę przed atakiem.

Te klucze uwierzytelniające i sole znajdziesz w plik wp-config.php, znajduje się w folderze głównym WordPress.

Sole WordPress są losowymi ciągami danych, które mieszają klucze bezpieczeństwa i dodają dodatkową warstwę ochrony do witryny i poświadczeń.

Sole WordPress

Jak widać na tym obrazie, każdy klucz bezpieczeństwa ma odpowiednią sól, a mianowicie AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT i NONCE_SALT.

Dlaczego warto korzystać z kluczy i soli zabezpieczających WordPress?

WordPress używa plików cookie do śledzenia tożsamości użytkowników zalogowanych na Twojej stronie. Te pliki cookie są przechowywane na koncie panelu witryny, czyli po stronie klienta. W celu lepszego szyfrowania szczegóły uwierzytelnienia (zarówno nazwa użytkownika, jak i hasło) są mieszane przy użyciu zestawu losowych wartości określonych w kluczach bezpieczeństwa WordPress.

Tak więc, losowo generowane zaszyfrowane hasło, takie jak „65a3ds2873ba27us36sd89s0fc”, jest niezwykle trudne do złamania w porównaniu do hasła nieszyfrowanego. Dlatego właściciele witryn powinni używać kluczy bezpieczeństwa WordPress, aby zabezpieczyć pliki cookie swojej witryny i powstrzymać złośliwych hakerów przed dostępem do witryny.

Jak ręcznie zmieniać klucze i sole WordPRess

Możesz skonfigurować tajne klucze i sole ręcznie lub za pomocą wtyczki zabezpieczającej WordPress. Jeśli masz własną witrynę WordPress, musisz samodzielnie dodać klucze bezpieczeństwa.

Uwaga: zalecamy ręczną edycję plików WordPress tylko wtedy, gdy jesteś programistą lub dobrze pracujesz z kodem na poziomie pośrednim lub wyższym. Jeśli jesteś początkujący, przejdź do zalecanych wtyczek poniżej.

Najpierw użyj losowego generatora WordPress, aby zdobyć unikalny tajny klucz.

Generuj klucze

Następnie zaloguj się do menedżera plików panelu sterowania lub przez FTP. Stąd znajdź plik wp-config.php, aby go zmodyfikować.

Znajdź plik WP-Config

Otwórz plik i przewiń w dół do sekcji „Unikalne klucze i sole uwierzytelniania”. Tutaj możesz dodać swoje tajne klucze, które wcześniej wygenerowałeś.

Uwierzytelnianie Unikalne klucze i sole

Po zapisaniu pliku konieczne będzie ponowne zalogowanie się.

Użyj wtyczki, aby zaktualizować klucze i sole

Jak większość rzeczy w WordPress, nie musisz tego robić ręcznie. Za pomocą kilku wtyczek WordPress można zautomatyzować proces w Twoim imieniu. To szybki i łatwy sposób na zmianę klawiszy i soli WordPress. Oto dwa, które zalecamy.

iThemes Security

iThemes Security for BuddyPress Freemium WordPress Plugin

Informacje i pobieranie

Obecna wersja iThemes Security (Free v4.6 + lub iThemes Security Pro v1.14 +) jest wyposażona w oszczędzającą czas funkcję bezpieczeństwa, która z łatwością aktualizuje klucze i sole zabezpieczeń WordPress. Oferuje przypomnienie o aktualizacji co miesiąc i pozwala uniknąć konieczności ręcznego generowania nowego zestawu kluczy lub edytowania pliku wp-config.php.

Aby zaktualizować klucze i sole, przejdź do sekcji „Sole WordPress” na karcie „Zaawansowane”, kliknij pole wyboru obok opcji „Zmień sole WordPress”, a na koniec kliknij przycisk „Zmień sole WordPress”.

iThemes WordPress Salts

IThemes Security Pro oferuje dodatkowe funkcje, takie jak uwierzytelnianie dwuskładnikowe, zaplanowane skanowanie w poszukiwaniu złośliwego oprogramowania i reCAPTCHA w celu wykrycia złośliwego oprogramowania i dodania dodatkowej warstwy bezpieczeństwa do stron logowania WordPress.

Solniczka

Wtyczka Salt Shaker

Podobnie, Salt Shaker oferuje imponujące funkcje i ustawienia, takie jak ręczne i natychmiastowe klucze bezpieczeństwa WP i zmiany soli, aby poprawić bezpieczeństwo WordPress.

Solniczka WordPress Klawisze i sole

Ponadto po zainstalowaniu wtyczki Salt Shaker można ustawić zaplanowane zadanie automatycznej zmiany soli. Wszystko, co musisz zrobić, to zaznaczyć pole i wybrać ustawienie dzienne, tygodniowe lub miesięczne.

W obu przypadkach wtyczka jest zaprogramowana do wysyłania automatycznych przypomnień o aktualizacji kluczy WordPress. W rezultacie wymusza również na wszystkich zalogowanych użytkownikach ponowne przejście procesu logowania. Wszystkie te funkcje pomagają chronić witrynę przed atakami siłowymi i innymi próbami włamania.


Jeśli chodzi o zabezpieczenie witryny WordPress, zapobieganie jest najlepszym rozwiązaniem. Mocno uderzająca kombinacja kluczy bezpieczeństwa i soli WordPress sprawia, że ​​hakerzy mają trudności z łamaniem haseł internetowych. W ten sposób WordPress oferuje zwiększone bezpieczeństwo sesji użytkowników i zabezpiecza dane.

Podsumowując, oto kilka rzeczy, o których należy pamiętać przy aktualizacji kluczy bezpieczeństwa i soli WordPress.

  • Po uruchomieniu witryny WordPress zmień klucze bezpieczeństwa i sole.
  • Zawsze używaj generatora kluczy solnych WordPress do tworzenia kluczy bezpieczeństwa. Nie rób tego sam. Alternatywnie możesz lub zautomatyzować proces za pomocą wtyczki WordPress.
  • Aktualizacja kluczy zabezpieczeń i soli WordPress spowoduje unieważnienie wszystkich istniejących plików cookie, co spowoduje natychmiastowe wylogowanie wszystkich użytkowników. Dlatego zmieniając je, pamiętaj, że niektórzy użytkownicy mogą być online.
  • Jeśli zauważysz jakiekolwiek oznaki zaatakowania witryny, zaktualizuj klucze bezpieczeństwa WordPress i zachęć użytkowników do zmiany hasła.

Czy masz pytania dotyczące soli i kluczy bezpieczeństwa? Lub wskazówki, które dodasz? Daj nam znać w komentarzach!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me