目录
从深层次上讲,WordPress Salts是一种通过帮助安全地存储和验证站点用户密码来确保WordPress站点安全的方法。
在本文中,您将了解到:
- 什么是WordPress alts?
- WordPress Salts位于何处?
- WordPress Salts是如何工作的
- 您需要更改WordPress Salts和安全密钥吗?
- 如何更改WordPress Salts(两种方法)
什么是WordPress Salts?
WordPress Salts及其配套的安全密钥是一种加密工具,可帮助保护您的WordPress站点登录。
具体来说,Salts和安全密钥可以保护WordPress用于登录的cookie中的信息。
看,一旦您登录WordPress,您就可以选择保持登录状态,这样您就无需每次都输入用户名和密码。为此,WordPress将您的登录信息保存在cookie中,而不是使用PHP会话。
这对用户来说非常方便,但如果有人能够劫持您浏览器的cookie ,它也会带来安全问题的可能性。
为避免这种情况,WordPress使用Salts和安全密钥来保护您的登录信息,以便恶意主体无法对其进行任何操作。把它们想象成你网站的“额外”密码,恶意行为者几乎不可能猜到。
由于它们的重要性,您永远不应该与任何人分享您的 WordPress 盐和安全密钥。
WordPress Salts位于何处?
默认情况下,WordPress带有自己的Salts和安全密钥。它们位于您站点的wp-config.php文件中。您应该总共看到八个键:
- 前四个条目是您的安全密钥。
- 最后四个条目是您的WordPress Salts。
wp-config.php文件中的Salts示例
WordPress Salts是如何工作的?
假设您的WordPress网站的密码是“mypassword”(这是一个可怕的密码,但它符合我们的目的)。
要登录,请输入您的用户名和密码。然后,WordPress将该信息存储在两个浏览器cookie中,以便您保持登录状态(此信息也存储在您站点的数据库中)。
但是,如果WordPress像这样存储您的密码 – “mypassword” – 那么它就在那里,恶意行为者可以看到。这称为以明文形式存储密码,在安全性方面这是一个很大的禁忌。
安全密钥和盐通过共同合作将明文密码加密地转换为随机混乱的字符来避免这个问题,如果没有访问您的密钥和Salts某人就不可能进行逆向工程。
因此,即使您输入“mypassword”进行登录,WordPress 也会将您的密码转换为“hsd78q34%7832$4jkhkjsfd78782^^429nsdf”之类的内容进行存储。
除非有人可以访问您的Salts和安全密钥,否则他们不可能将随机的混乱字符转换为您的实际密码。
您需要更改WordPress Salts和安全密钥吗?
默认情况下,新的 WordPress 安装带有自己的一组密钥和Salts,因此您的WordPress站点已经是安全的,而无需您执行任何操作。
但是,有一些理由需要考虑定期更改Salts和密钥。
基本概念是,通过定期更改您的密钥和Salts,您可以使恶意行为者更难获得您的盐。
此外,更改您的盐将自动注销您站点上所有已登录的用户并强制他们重新登录,这是另一个潜在的好处。例如,如果您不小心登录了公共计算机并忘记退出,这将允许您强制退出该帐户以确保没有人可以访问。
如何更改WordPress Salts(两种方法)
如果您想更改WordPress中的Salts,您有两个主要选择:
- 通过编辑wp-config.php文件
- 使用免费插件进行更改
以下是使用这两种方法的方法:
如何手动更改WordPress Salts
要手动更改站点的Salts,您需要通过 FTP 连接到站点的服务器并编辑wp-config.php文件。
连接后,前往官方WordPress.org提供的Salts生成器。该页面会为您随机生成Salts和安全密钥,就像您在上面看到的那样。它应该生成四个安全密钥和四个Salts(总共八个):
WordPress.org可以帮助您生成新的密钥和Salts
然后,删除wp-config.php文件中的现有密钥,并通过粘贴来自 WordPress.org的Salts生成器的密钥来替换它们:
如何在wp-config.php中更改Salts
完成后,它看起来应该和以前完全一样——只是随机字符串会有所不同。
确保保存您的更改并在需要时重新上传您的wp-config.php文件。
如何使用插件更改WordPress Salts
作为上述手动方法的替代方法,您还可以使用插件来更改站点的盐。
Salt Shaker插件是一个优势手动方法流行的自由选择:
您可以将其设置为按照您定义的时间表自动更改Salts。或者,您也可以仅使用它来手动更改Salts。
安装并激活插件后,转到Tools → Salt Shaker。
如果您想立即手动更改Salts,只需单击“Change Now”按钮。
或者,您也可以使用Scheduled Change功能按照以下计划之一自动更改Salts:
- 日常的
- 每周
- 每月
- 每季度(每三个月)
- 每半年(每六个月)
如何使用Salt Shaker插件
一些WordPress安全插件,特别是iThemes Security,还包括可以轻松更改WordPress Salts的功能。
小结
WordPress Salts和安全密钥有助于保护您网站的登录过程和WordPress用于验证用户身份的cookie。
默认情况下,您的站点带有自己的一组Salts和键,因此您无需设置任何内容即可从Salts中受益。
但是,定期更改您的Salts分使恶意行为者更难访问它们具有安全优势。
要更改Salts,您可以使用WordPress.org的Salts生成器并手动编辑您的wp-config.php文件,或者您可以使用免费插件,如 Salt Shaker。
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家