Share
Om du någonsin har tittat på kärnkonfigurationsfilen (wp-config.php) för en WordPress-webbplats så har du förmodligen lagt märke till en sektion som definierar åtta WordPress-konstanter relaterade till säkerhetsnycklar och salter:
Accentsconagua
AUTH_KEYSECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTNotera: wp-config.php ligger som standard i root-mappen i din WordPress-installation.
Dessa konstanter innehåller säkerhetsnycklar och salter som används internt av WordPress för att lägga till ytterligare ett lager av autentisering och för att förbättra säkerheten.
WordPress använder cookies (i stället för PHP-sessioner) för att hålla reda på vem som är inloggad. Den här informationen är lagrad i cookies i din webbläsare.
För att säkerställa att autentiseringsuppgifterna är så säkra som möjligt används unika nycklar och salter för att öka nivån på cookie kryptering. Dessa rekommenderas vara långa strängar (typiskt 64 tecken långa) av slumpmässiga alfanumeriska och symboltecken.
De AUTH_KEY, SECURE_AUTH_KEY, och LOGGED_IN_KEY säkerhetsnyckelkonstanter läggs till i WordPress 2.6, som ersatte en enda all-in-one-nyckel som först infördes i WordPress 2.5.
NONCE_KEY läggs till kort efter, i WordPress 2.7. Motsvarande salter AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, och NONCE_SALT har lagts till tillsammans med varje säkerhetsnyckel, men det var inte förrän WordPress 3.0 som de fanns till wp-config.php.
Innan WordPress 3.0 kan du eventuellt lägga till egna saltkonstantiska definitioner till wp-config.php, annars skulle de genereras av WordPress och lagras i databasen.
Medan de fyra säkerhetsnyckelkonstanterna krävs, om du tar bort saltkonstanterna från WordPress config-filen, lämnar dem till standardvärdena, eller om något salt är ett duplikat av en annan, hämtar WordPress saltet från databasen istället.
För nya WordPress-webbplatser kommer salter att genereras och lagras i databasen.
Under installationen genererar WordPress inte unika säkerhetsnycklar / salter i wp-config.php. I stället anges samma standardmeddelande för varje konstant.
Om du just har installerat WordPress på en fjärrserver rekommenderar vi att du ändrar standardmeddelandet för varje säkerhetsnyckel / saltkonstant till ett korrekt och unikt värde.
Ibland gör din värd det här för dig om du installerar WordPress via ett anpassat skript. Ändå, för lugn och ro, kanske du vill uppdatera säkerhetsnycklarna / salterna ändå snart efter installationen är klar.
Även efter att säkerhetsnycklarna och salterna har inletts, är det en bra idé att uppdatera dem så ofta. Allt du kan göra för att göra din webbplats säkrare är i allmänhet en bra idé.
Och även om det är mycket osannolikt att dina lösenord (tillsammans med säkerhetsnycklar / salter) kan brytas upp, är uppdateringen periodiskt meningsfullt eftersom det skyddar mot oförutsedda omständigheter, som till exempel att dina sidbackupar avlyssnas av oönskade tredje parter, etc..
Så hur uppdaterar du faktiskt dina säkerhetsnycklar och salter? Låt oss titta på några olika metoder.
Du kan manuellt skapa nya värden för varje konstant, men det är ganska tråkigt att göra, speciellt om du har mer än ett WordPress-site att uppdatera! Också, varje nyckel / salt kanske inte är så säker som det kan vara.
Lyckligtvis har de trevliga på WordPress gjort denna process väldigt enkel genom att ge ett API för att automatiskt generera nyckel / saltvärdena för dig. Allt du behöver göra är att besöka en hemlig nyckeladress:
https://api.wordpress.org/secret-key/1.1/salt/
När sidan laddas kommer du att presenteras med unika strängar för varje konstant, som visas nedan:
Som du kan se är varje genererad WordPress-nyckel / salt en slumpmässig sekvens med 64 tecken. Försök uppdatera sidan några gånger för att försäkra dig om att webbadressen genererar helt slumpmässiga nycklar / salter varje gång.
Om du utvecklar din WordPress-webbplats lokalt kan du helt enkelt kopiera och klistra in de genererade nycklarna / salterna direkt i wp-config.php att ersätta befintliga poster.
Tips: Jag rekommenderar alltid att du använder webbadressen ovan, som använder det säkra HTTP-protokollet.
Detta eliminerar effektivt chansen att någon avlyssnar de genererade nycklarna / salterna när de återförs till dig innan de visas i webbläsaren.
Om din webbplats är värd på en fjärrserver så uppdaterar du nycklarna / salterna måste du antingen komma åt och redigera wp-config.php via din serverkontrollpanel eller via en FTP-klient som tillåter redigering av fjärrfiler, till exempel FileZilla (gratis).
Om tanken på att manuellt redigera fjärrserverfiler skickar huvudet till en snurr, kanske du vill överväga att använda ett plugin istället. Det här är ett mycket enkelt sätt att uppdatera dina säkerhetsnycklar / salter med ett klick.
Det finns olika plugins tillgängliga för att generera och uppdatera dina säkerhetsnycklar och salter. En relativt ny plugin som heter Salt Shaker, släpptes i oktober 2016, är en lättlösning med den extra bonusen att du kan schemalägga automatiska uppdateringar av nycklar / salter som ska inträffa när du vill. Och bäst av allt är det gratis. Låt oss ta en titt på hur man använder den.
Hämta Salt Shaker från WordPress-förvaret eller installera det direkt från din WordPress-administratör på vanligt sätt. Gå till Plugins> Lägg till nytt och börja skriva Saltkar i Sök plugins ... textruta. När du ser plugin visas i listan klickar du på Installera nu.
När plugin är installerat, an Aktivera knappen kommer att visas. Klicka här för att slutföra installationen.
Nu när plugin är aktiv kan vi testa det. För att komma åt plugin-inställningarna, gå till Verktyg> Salt Shaker i WordPress admin.
Här kan vi uppdatera säkerhetsnycklarna / salterna genast med ett enda musklick. Så snart som Ändra nu knappen klickas, en spinnikon visas till höger för att indikera plugin uppdateras wp-config.php. Så snart ikonen försvinner, vet du att säkerhetsnycklarna / salterna har uppdaterats.
Sammantaget fungerar plugin mycket bra och kan potentiellt spara dig mycket tid, speciellt om du har flera WordPress-webbplatser. Jag skulle kanske vilja se några fler alternativ för att välja tidsintervaller, till exempel tre månader och sex månader, för att öka plugins flexibilitet.
Ett meddelande som tydligt anger när nycklarna / salterna har uppdaterats skulle vara användbara-liksom ett ytterligare plugin-alternativ för att automatiskt omdirigera till inloggningssidan efter att nycklarna / salterna har uppdaterats.
Alternativt kan vi kolla Ändra WP-nycklar och salter rutan och välj när wp-config.php konstanter uppdateras. Det här är en riktigt trevlig funktion och låter dig i princip glömma att behöva uppdatera säkerhetsnycklar / salter. Låt pluggen göra allt för dig!
Kom ihåg, men när säkerhetsnycklarna / salterna uppdateras måste du logga in igen. Det beror på att cookies som rör inloggningar är ogiltiga, och så måste användarna logga in igen för att uppdatera cookien.
Därför, innan du ändrar dina säkerhetsnycklar / salter, är det en bra idé att få din inloggningsinformation till hands så att du inte oavsiktligt spärras av din webbplats.
Om du inte vill använda ett plugin och du har många Remote WordPress-webbplatser kan du överväga att använda ett skript för att direkt uppdatera säkerhetsnycklarna / salterna.
Nackdelen med detta är att du måste vara skicklig i skript. Det finns dock flera färdiga lösningar tillgängliga, så du behöver inte nödvändigtvis koda din egen.
Ett sådant skript, som kallas WP-Salts-Update-CLI av Ahmad Awais, uppdaterar säkerhetsnycklar / salter på din lokala dator eller fjärrserver.
För att installera detta skript på din dator (endast macOS), öppna ett terminalfönster och ange följande:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo installera ./wpsucli / usr / local / bin / wpsucli
Detta gör ett körbart skript globalt tillgängligt via wpsucli kommando. Du kan köra den på din lokala maskin för att aktivt söka efter alla instanser av WordPress config-filer och ersätta säkerhetsnycklarna / salterna med nya värden direkt från WordPress Secret Key API-URL.
När man kör skriptet på en fjärrserver rekommenderas det att göra det från rotmappen, dvs. CD /, och kör sedan wpsucli. Mer information om skriptet finns på huvudinformationen.
I den här handledningen har vi täckt vilka WordPress-säkerhetsnycklar / -salter som är och varför det är viktigt att uppdatera dem regelbundet. Vi har också tittat på olika sätt att uppdatera dem, från manuellt kopiera / klistra in (om du har direkt tillgång till wp-config.php) för att använda ett plugin för att helt automatisera processen. Om du är bekant med kommandoraden kan du också använda ett anpassat skript för att uppdatera lokala / avlägsna webbplatser ganska enkelt.
Nackdelen är att du fortfarande måste manuellt köra skript som lätt kan glömmas, så snarare än att behöva schemalägga detta i ditt arbetsflöde, med hjälp av ett plugin för att automatisera processen kan vara det bästa sättet att gå.
Oavsett vilken metod du väljer är det viktigt att du kommer ihåg att du lägger till ett annat säkerhetslager på din WordPress-webbplats, och allt du kan göra för att uppnå det med minimal ansträngning kan bara vara en bra sak!
Och om du letar efter andra verktyg för att hjälpa dig att bygga ut din växande uppsättning verktyg för WordPress eller för att kod ska studera och bli mer välbevandrad i WordPress, glöm inte att se vad vi har tillgängliga på Envato Market.
