Share
Hvis du noen gang har sett kjernekonfigurasjonsfilen (wp-config.php) for et WordPress-nettsted, så har du sannsynligvis lagt merke til en seksjon som definerer åtte WordPress-konstanter knyttet til sikkerhetsnøkler og -salter:
Accentsconagua
AUTH_KEYSECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTMerk: wp-config.php er plassert i rotmappen til WordPress-installasjonen som standard.
Disse konstantene inneholder sikkerhetsnøkler og salter som brukes internt av WordPress for å legge til et ekstra lag med godkjenning og for å øke sikkerheten.
WordPress bruker informasjonskapsler (i stedet for PHP-økter) for å holde oversikt over hvem som er logget inn. Denne informasjonen er lagret i informasjonskapsler i nettleseren din.
For å sikre at autentiseringsdetaljer er så sikre som mulig, brukes unike nøkler og salter til å øke nivået av informasjonskapselkryptering. Disse anbefales å være lange strenger (typisk 64 tegn lang) av tilfeldige alfanumeriske og symbol tegn.
De AUTH_KEY, SECURE_AUTH_KEY, og LOGGED_IN_KEY Sikkerhetsnøkkelkonstanter ble lagt til i WordPress 2.6, som erstattet en enkelt all-in-one-nøkkel som først ble introdusert i WordPress 2.5.
NONCE_KEY ble lagt til kort tid etter, i WordPress 2.7. Tilsvarende salter AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, og NONCE_SALT ble lagt sammen med hver sikkerhetsnøkkel, men det var ikke før WordPress 3.0 at de ble lagt til wp-config.php.
Før WordPress 3.0, kan du eventuelt legge til dine egne saltkonstante definisjoner til wp-config.php, ellers ville de bli generert av WordPress og lagret i databasen.
Mens de fire sikkerhetsnøkkelkonstantene er påkrevd, hvis du fjerner saltkonstantene fra WordPress config-filen, lar dem stå på standardinnstillingene, eller noe salt er funnet å være et duplikat av en annen, henter WordPress saltet fra databasen i stedet.
For nye WordPress-nettsteder vil salter bli generert og lagret i databasen.
Under installasjonen genererer WordPress ikke unike sikkerhetsnøkler / -salter i wp-config.php. I stedet oppgis samme standardmelding for hver konstant.
Hvis du nettopp har installert WordPress på en ekstern server, anbefales det at du endrer standardmeldingen for hver sikkerhetsnøkkel / saltkonstant til en riktig og unik verdi.
Noen ganger vil verten din gjøre dette for deg hvis du installerer WordPress via et tilpasset skript. Likevel, for trygghet, vil du kanskje oppdatere sikkerhetsnøklene / saltene uansett snart etter at installasjonen er fullført.
Selv etter at sikkerhetsnøklene og salter er satt opp, er det en god ide å oppdatere dem så ofte. Alt du kan gjøre for å gjøre nettstedet ditt mer sikkert, er vanligvis en god ide.
Og selv om det er svært lite sannsynlig at passordene dine (sammen med sikkerhetsnøkler / -salter) kan bli ødelagt, vil det oppdatere dem regelmessig, da de beskytter mot uforutsette omstendigheter, for eksempel at sikkerhetskopiene dine blir fanget av uønskede tredjeparter mv..
Så hvordan oppdaterer du faktisk sikkerhetsnøklene og saltene dine? La oss se på noen forskjellige metoder.
Du kan manuelt opprette nye verdier for hver konstant, men dette er ganske kjedelig å gjøre, spesielt hvis du har mer enn ett WordPress-nettsted for å oppdatere! Også, hver nøkkel / salt er kanskje ikke så sikker som den kunne være.
Heldigvis har de hyggelige folkene på WordPress gjort denne prosessen veldig enkel ved å gi en API for å automatisk generere nøkkel / saltverdiene for deg. Alt du trenger å gjøre er å besøke en hemmelig nøkkeladresse:
https://api.wordpress.org/secret-key/1.1/salt/
Når siden lastes, vil du bli presentert med unike strenger for hver konstant, som vist nedenfor:
Som du kan se, er hver genererte WordPress-nøkkel / salt en tilfeldig sekvens på 64 tegn. Prøv å forfriskne siden noen ganger for å tilfredsstille deg selv at nettadressen genererer helt tilfeldige nøkler / salter hver gang.
Hvis du utvikler ditt WordPress-område lokalt, kan du enkelt kopiere og lime inn de genererte nøklene / saltene direkte inn i wp-config.php å erstatte de eksisterende oppføringene.
Tips: Jeg anbefaler alltid å bruke URL-adressen over, som bruker den sikre HTTP-protokollen.
Dette vil effektivt eliminere sjansen for at noen avlyser de genererte nøklene / saltene når de blir returnert til deg før de vises i nettleseren.
Hvis nettstedet ditt er vert på en ekstern server, så for å oppdatere nøklene / saltene, må du enten få tilgang til og redigere wp-config.php via serverens kontrollpanel eller via en FTP-klient som tillater redigering av eksterne filer, for eksempel FileZilla (gratis).
Hvis tanken på å manuelt redigere eksterne serverfiler sender hodet til et snurr, kan du kanskje vurdere å bruke et plugin i stedet. Dette er en veldig enkel måte å oppdatere dine sikkerhetsnøkler / -salter på ved å klikke på en knapp.
Det finnes ulike plugins tilgjengelig for å generere og oppdatere sikkerhetsnøkler og -salter. En relativt ny plugin kalt Salt Shaker, utgitt i oktober 2016, er en lett løsning med den ekstra bonusen at du kan planlegge automatiske oppdateringer av nøkler / salter som skal forekomme når du vil. Og best av alt, det er gratis. La oss ta en titt på hvordan du bruker den.
Last ned Salt Shaker fra WordPress-depotet eller installer det direkte fra WordPress-administrasjonen din på vanlig måte. Gå til Plugins> Legg til nytt og begynn å skrive Saltbøsse i Søk plugins ... tekstboks. Når du ser pluginet vises i listen, klikker du Installere nå.
Etter at plugin er installert, an Aktiver knappen vises. Klikk på dette for å fullføre oppsettet.
Nå som pluginet er aktivt, kan vi teste det. For å få tilgang til plugininnstillingene, gå til Verktøy> Salt Shaker i WordPress admin.
Her kan vi oppdatere sikkerhetsnøklene / saltene umiddelbart med et enkelt museklikk. Så snart som Endre nå knappen klikkes, et spinnikon vises til høyre for å indikere at pluginet oppdateres wp-config.php. Så snart ikonet forsvinner, vet du at sikkerhetsnøklene / saltene er oppdatert.
Samlet fungerer plugin veldig bra, og kan potensielt spare deg for mye tid, spesielt hvis du har flere WordPress-nettsteder. Jeg vil kanskje se et par flere alternativer for å velge tidsintervaller, for eksempel tre måneder og seks måneder, for å øke pluginets fleksibilitet.
Også en melding som tydelig angir når nøklene / saltene har blitt oppdatert, ville være nyttige - som ville et ytterligere plugin-alternativ for å automatisk omdirigere til påloggingssiden etter at nøklene / saltene er oppdatert.
Alternativt kan vi sjekke Endre WP Keys and Salts boksen og velg når wp-config.php konstanter er oppdatert. Dette er en veldig fin funksjon, og lar deg i utgangspunktet glemme å måtte oppdatere sikkerhetsnøkler / -salter. Bare la plugin gjøre alt for deg!
Husk imidlertid, når sikkerhetsnøklene / saltene er oppdatert, må du logge på igjen. Dette skyldes at informasjonskapsler knyttet til pålogginger er ugyldiggjort, og derfor må brukerne logge på igjen for å oppdatere informasjonskapselen.
Derfor, før du endrer sikkerhetsnøkler / -salter, er det en god ide å ha innloggingsinformasjonen din, slik at du ikke ved et uhell blir sperret ut av nettstedet ditt.
Hvis du ikke vil bruke et plugin og du har mange eksterne WordPress-nettsteder, kan du vurdere å bruke et skript for å oppdatere sikkerhetsnøklene / -salter direkte..
Ulempen med dette er at du må være dyktig i skripting. Det er imidlertid flere ferdige løsninger tilgjengelig, så du trenger ikke nødvendigvis å kode din egen.
Et slikt skript, kalt WP-Salts-Update-CLI av Ahmad Awais, oppdaterer sikkerhetsnøkler / -salter på din lokale datamaskin eller ekstern server.
For å installere dette skriptet på datamaskinen din (kun macOS), åpne et terminalvindu og skriv inn følgende:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo installere ./wpsucli / usr / local / bin / wpsucli
Dette vil gjøre et kjørbart skript globalt tilgjengelig via wpsucli kommando. Du kan kjøre den på din lokale maskin for aktivt å søke etter alle forekomster av WordPress config-filer og erstatte sikkerhetsnøklene / saltene med nye verdier direkte fra WordPress Secret Key API-URL.
Når du kjører skriptet på en ekstern server, anbefales det å gjøre det fra rotmappen, dvs.. cd /, og kjør deretter wpsucli. For mer informasjon om skriptet, se hovedinformasjonssiden.
I denne opplæringen har vi dekket hvilke WordPress-sikkerhetsnøkler / -salter som er, og hvorfor det er viktig å oppdatere dem med jevne mellomrom. Vi har også sett på forskjellige måter du kan oppdatere dem, fra manuelt kopiere / lime inn (hvis du har direkte tilgang til wp-config.php) til å bruke et plugin for å fullstendig automatisere prosessen. Hvis du er kjent med kommandolinjen, kan du også bruke et tilpasset skript for å oppdatere lokale / eksterne nettsteder ganske enkelt.
Ulempen er at du fortsatt må manuelt kjøre skript som lett kan glemmes, så heller enn å måtte planlegge dette inn i arbeidsflyten din, kan du bruke en plugin for å automatisere prosessen, den beste måten å gå på..
Uansett hvilken metode du velger, er det viktig å huske at du legger til et nytt lag med sikkerhet på WordPress-nettstedet ditt, og alt du kan gjøre for å oppnå det med minimal innsats, kan bare være en god ting!
Og hvis du leter etter andre verktøy for å hjelpe deg med å bygge ut ditt voksende sett med verktøy for WordPress eller for å kodes for å studere og bli mer velbevandret i WordPress, ikke glem å se hva vi har tilgjengelig i Envato Market.
