WordPressソルトとセキュリティキーの究極のガイド

WordPressソルトとセキュリティキーの究極のガイド

WordPressは、世界で最も注目を集め、人気のあるコンテンツ管理システムの1つです。その結果、WordPressは、ブルートフォース攻撃、SQLインジェクション、マルウェア、クロスサイトスクリプティング、DDoS攻撃などのセキュリティエクスプロイトの頻繁な標的になります。実際、最近では、 クリプサ WordPressサイトでブルートフォース攻撃を開始し、クリップボードハイジャックを介して暗号通貨を盗みます.


WordPressは、サイトのセキュリティを向上させるためにあなたが費やした努力の量と同じくらい安全です。ウェブサイトの所有者は、悪意のある攻撃を防ぐために警戒を怠らず、予防的なセキュリティ戦略を実装する責任があります。脆弱なパスワードとユーザー名の使用、WordPressコアとプラグインの更新の失敗、低品質のホスティングは、Webサイト所有者が犯す一般的なセキュリティミスの1つであり、悪意のあるハッカーに簡単にアクセスできます.

WordPressは独自の方法で非常に安全なCMSです。ただし、WordPressを使用するサイトをサイバー犯罪者から安全に保つには、セキュリティ体制を改善し、オンラインの信頼性を向上させる必要があります。 WordPressコアの更新、安全なWordPressホスティングプロバイダーの選択、 ドメイン名 セキュリティ、および安全なパスワードを使用すると、悪意のあるボットや攻撃者をブロックできます.

この投稿では、WordPressのソルトとセキュリティキー、およびマルウェア攻撃のフォールアウトに対処する必要がないようにするためのそれらの役割に焦点を当てます.

WordPressのセキュリティキーとソルトとは?

ユーザーがWordPressサイトにログインすると、コンピューター上にいくつかのCookieが作成されます。これらは、ログインしているユーザーの身元を確認するために使用されます。ハッカーがデータベースに侵入したり、Cookieを見つけたりすると、ハッカーがパスワードを読み取ることができるため、サイトが攻撃に対して脆弱になります。.

WordPressはセキュリティキーとソルトを使用して、データベースまたはCookieに保存される暗号化された出力を提供し、Webサイトにセキュリティのレイヤーを追加します.

これらのCookieの2つは次のとおりです。

  • WordPress_ [ハッシュ] 管理ページまたはWordPressダッシュボードでのみ使用されます.
  • WordPress_logged_in_ [ハッシュ] WordPress全体で使用され、WordPressにログインしているかどうかを判断します.

WordPressによってこれらのCookieに保存された認証の詳細は、WordPressセキュリティキーで指定されたランダムパターンを使用してハッシュされます(割り当てられた暗号値)。.

WordPressセキュリティキー

WordPressセキュリティキー は、暗号化を改善するランダムで長く複雑な変数のセットを含むパスワードであり、パスワードを解読することはほとんど不可能です。 WordPressの最新バージョンは4つのセキュリティキーを使用しており、それぞれにWordPressを利用したWebサイトのセキュリティを強化できる対応するソルトがあります.

これらは:

  1. 認証キー サイトを変更するために使用できます。非SSLの認証Cookieに署名するのに役立ちます.
  2. SECURE_AUTH_KEY SSL管理者の承認Cookieに署名するために使用され、Webサイトに変更を加えるために使用されます.
  3. LOGGED_IN_KEY ログインしたユーザーのCookieを作成するために使用されます。サイトの変更には使用できません.
  4. NONCE_KEY 署名に使用されます ナンスキー. このキーはナンスが生成されるのを防ぎ、それによりサイトが攻撃されるのを防ぎます.

これらの認証キーとソルトは、 wp-config.phpファイル, WordPressルートフォルダにあります.

ワードプレスソルト セキュリティキーをハッシュし、サイトと資格情報に保護の追加レイヤーを追加するデータのランダムな文字列です.

ワードプレスソルト

この画像からわかるように、各セキュリティキーには対応するソルト、つまりAUTH_SALT、SECURE_AUTH_SALT、LOGGED_IN_SALT、NONCE_SALTがあります。.

WordPressのセキュリティキーとソルトを使用する理由?

WordPressはCookieを使用して、WebサイトにログインしているユーザーのIDを追跡します。これらのCookieは、サイトのダッシュボードアカウント(クライアント側)に保存されます。より良い暗号化のために、認証の詳細(ユーザー名とパスワードの両方)は、WordPressセキュリティキーで指定された一連のランダムな値を使用してハッシュされます.

したがって、「65a3ds2873ba27us36sd89s0fc」のようにランダムに生成された暗号化パスワードは、暗号化されていないパスワードと比較して、解読することが非常に困難です。したがって、ウェブサイトの所有者はWordPressのセキュリティキーを使用してサイトのCookieを保護し、悪意のあるハッカーによるサイトへのアクセスを阻止する必要があります.

WordPRessのキーとソルトを手動で変更する方法

手動またはWordPressセキュリティプラグインを使用して、秘密鍵とソルトを設定できます。自己ホスト型のWordPressサイトがある場合は、セキュリティキーを自分で追加する必要があります.

注:WordPressファイルを手動で編集することをお勧めするのは、開発者であるか、中級以上のレベルでコードを扱うことに慣れている場合のみです。初心者の方は、以下の推奨プラグインに進んでください.

まず、WordPressのランダムジェネレーターを使用して一意の秘密鍵を入手します.

キーを生成

次に、コントロールパネルのファイルマネージャーまたはFTPを介してログインします。ここからwp-config.phpファイルを見つけて変更します.

WP-Configファイルを見つける

ファイルを開き、[Authentication Unique Keys and Salts]セクションまでスクロールします。これは、以前に生成した秘密鍵を追加できる場所です.

認証固有の鍵とソルト

ファイルを保存したら、再度ログインする必要があります.

プラグインを使用してキーとソルトを更新する

WordPressのほとんどのことと同様に、これを手動で行う必要はありません。いくつかのWordPressプラグインを使用して、プロセスを自動化できます。 WordPressのキーとソルトをすばやく簡単に変更できます。おすすめの2つを次に示します.

iThemesのセキュリティ

iThemes Security for BuddyPress Freemium WordPressプラグイン

情報とダウンロード

現在のバージョンのiThemes Security(無料v4.6 +またはiThemes Security Pro v1.14 +)には、WordPressのセキュリティキーとソルトを簡単に更新できる時間節約のセキュリティ機能が付属しています。それは毎月更新のリマインダーを提供し、手動で新しいキーのセットを生成したり、wp-config.phpファイルを編集したりする必要を回避します.

キーとソルトを更新するには、[詳細設定]タブの[WordPressソルト]セクションに移動し、[WordPressソルトの変更]のチェックボックスをクリックして、最後に[WordPressソルトの変更]ボタンをクリックします。.

iThemesワードプレスソルト

iThemes Security Proは、2要素認証、スケジュールされたマルウェアスキャン、悪意のあるソフトウェアを検出してWordPressログインページにセキュリティの層を追加するreCAPTCHAなどの追加機能を提供します.

ソルトシェーカー

Salt Shakerプラグイン

同様に、Salt Shakerは、WordPressのセキュリティを改善するために手動および即時のWPセキュリティキーやソルトの変更などの印象的な機能と設定を提供します.

ソルトシェーカーのワードプレスのキーとソルト

さらに、Salt Shakerプラグインをインストールした後、自動ソルト変更のスケジュールジョブを設定できます。チェックボックスをオンにして、毎日、毎週、または毎月の設定を選択するだけです.

どちらの場合も、プラグインはWordPressキーを更新するための自動リマインダーを送信するようにプログラムされています。その結果、ログインしているすべてのユーザーに再度ログインプロセスを強制することにもなります。これらの機能はすべて、ブルートフォース攻撃やその他のハッキングの試みからWebサイトを保護するのに役立ちます.


それはあなたのワードプレスサイトを保護することになるとなると、予防は行くべき道です。 WordPressのセキュリティキーとソルトの強力な組み合わせにより、ハッカーはWebサイトのパスワードを解読することが困難になります。これは、WordPressがユーザーセッションのセキュリティを改善し、データを保護する方法です.

要約すると、WordPressのセキュリティキーとソルトを更新する際に注意すべき点がいくつかあります.

  • WordPressサイトを起動したら、セキュリティキーとソルトを変更します.
  • セキュリティキーを作成するには、常にWordPressソルトキージェネレーターを使用してください。自分でしないでください。または、WordPressプラグインを使用してプロセスを自動化することもできます.
  • WordPressのセキュリティキーとソルトを更新すると、既存のCookieがすべて無効になり、すべてのユーザーが即座にログアウトされます。したがって、それらを変更するときは、一部のユーザーがオンラインになっている可能性があることに注意してください.
  • サイトが攻撃されている兆候が見られる場合は、WordPressのセキュリティキーを更新し、ユーザーにパスワードの変更を促す.

ソルトとセキュリティキーについて質問がありますか?または、追加したいヒントは?コメントで教えてください!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map