Если вы когда-либо просматривали основной файл конфигурации ( wp-config.php
) для сайта WordPress, вы, вероятно, заметили раздел, определяющий восемь констант WordPress, относящихся к ключам безопасности и солям:
-
AUTH_KEY
-
SECURE_AUTH_KEY
-
LOGGED_IN_KEY
-
NONCE_KEY
-
AUTH_SALT
-
SECURE_AUTH_SALT
-
LOGGED_IN_SALT
-
NONCE_SALT
Примечание: wp-config.php
по умолчанию находится в корневой папке вашей установки WordPress.
Эти константы содержат ключи безопасности и соли, которые используются внутри WordPress для добавления дополнительного уровня аутентификации и повышения безопасности.
WordPress использует файлы cookie (а не сеансы PHP ) для отслеживания того, кто в данный момент вошел в систему. Эта информация хранится в файлах cookie в вашем браузере.
Чтобы обеспечить максимальную безопасность данных аутентификации, используются уникальные ключи и соли для повышения уровня шифрования cookie. Рекомендуется, чтобы это были длинные строки (обычно длиной 64 символа) из случайных буквенно-цифровых и символьных символов.
AUTH_KEY,
LOGGED_IN_KEY
безопасности AUTH_KEY,
SECURE_AUTH_KEY
и LOGGED_IN_KEY
были добавлены в WordPress 2.6, который заменил один ключ «все в одном», впервые представленный в WordPress 2.5.
NONCE_KEY
был добавлен вскоре после этого, в WordPress 2.7. Соответствующие соли AUTH_SALT
, SECURE_AUTH_SALT
, LOGGED_IN_SALT
и NONCE_SALT
были добавлены вместе с каждым ключом безопасности, но только в WordPress 3.0 они были добавлены в wp-config.php
.
До WordPress 3.0 вы могли по желанию добавить свои собственные определения постоянных солей в wp-config.php
, иначе они будут сгенерированы WordPress и сохранены в базе данных.
Хотя четыре константы ключа безопасности являются обязательными, если вы удалите константы соли из файла конфигурации WordPress, оставьте их по умолчанию или любая соль будет найдена дубликатом другой, тогда WordPress извлечет соль из базы данных.
Для новых сайтов WordPress соли будут генерироваться и храниться в базе данных.
Первоначально настройка ключей безопасности и солей
Во время установки WordPress не генерирует уникальные ключи / соли безопасности в wp-config.php
. Вместо этого для каждой константы вводится одно и то же сообщение по умолчанию.
Если вы только что установили WordPress на удаленный сервер, рекомендуется изменить сообщение по умолчанию для каждого ключа безопасности / постоянной соли на правильное и уникальное значение.
Иногда ваш хост будет делать это для вас, если вы устанавливаете WordPress с помощью специального скрипта. Тем не менее, для спокойствия, вы можете захотеть обновить защитные ключи / соли в любом случае вскоре после завершения установки.
Зачем обновлять ключи и соли?
Даже после того, как ключи безопасности и соли были изначально установлены, рекомендуется регулярно обновлять их. Все, что вы можете сделать, чтобы сделать ваш сайт более безопасным, обычно является хорошей идеей.
И хотя весьма маловероятно, что ваши пароли (вместе с ключами / солями безопасности) могут быть взломаны, их периодическое обновление имеет смысл, поскольку это защищает от непредвиденных обстоятельств, таких как резервное копирование вашего сайта, перехваченное нежелательными третьими лицами и т. Д.
Как обновить ключи безопасности и соли
Так как же на самом деле обновить ваши ключи безопасности и соли? Давайте посмотрим на несколько разных методов.
Обновление ключей и солей вручную
Вы можете вручную создавать новые значения для каждой константы, но это довольно утомительно, особенно если у вас есть более одного сайта WordPress для обновления! Кроме того, каждый ключ / соль может быть не таким безопасным, как мог бы быть.
К счастью, приятные люди в WordPress сделали этот процесс очень простым, предоставив API для автоматической генерации значений ключа / соли для вас. Все, что вам нужно сделать, это посетить URL секретного ключа:
https://api.wordpress.org/secret-key/1.1/salt /
Когда страница загрузится, вы увидите уникальные строки для каждой константы, как показано ниже:
Как видите, каждая сгенерированная клавиша / соль WordPress представляет собой случайную последовательность из 64 символов. Попробуйте обновить страницу несколько раз, чтобы убедиться, что URL каждый раз генерирует совершенно случайные ключи / соли.
Если вы разрабатываете свой сайт WordPress локально, вы можете просто скопировать и вставить сгенерированные ключи / соли непосредственно в wp-config.php
чтобы заменить существующие записи.
Совет: я бы рекомендовал всегда использовать вышеуказанный URL, который использует безопасный протокол HTTP.
Это эффективно исключает вероятность того, что кто-либо перехватит сгенерированные ключи / соли, когда они будут возвращены вам перед отображением в браузере.
Если ваш сайт размещен на удаленном сервере, то для обновления ключей / солей вам потребуется либо получить доступ к файлу wp-config.php
и отредактировать его через панель управления вашего сервера, либо через FTP-клиент, который позволяет редактировать удаленные файлы, такие как FileZilla (бесплатно).
Использование плагина для обновления ключей и солей
Если мысль о ручном редактировании файлов удаленного сервера заставляет вас задуматься, вы можете вместо этого рассмотреть возможность использования плагина. Это очень простой способ обновить ваши защитные ключи / соли одним нажатием кнопки.
Существуют различные плагины для генерации и обновления ваших ключей безопасности и солей. Относительно новый плагин под названием Salt Shaker , выпущенный в октябре 2016 года, представляет собой облегченное решение с дополнительным бонусом, который позволяет планировать автоматическое обновление ключей / солей в любое время. И самое главное, это бесплатно. Давайте посмотрим, как его использовать.
Скачайте Salt Shaker из репозитория WordPress или установите его прямо из вашего администратора WordPress обычным способом. Перейдите в Плагины> Добавить новый и начните вводить Salt Shaker в текстовое поле Поиск плагинов … Когда вы увидите плагин в списке, нажмите « Установить сейчас» .
После установки плагина появится кнопка Активировать . Нажмите, чтобы завершить настройку.
Теперь, когда плагин активен, мы можем проверить его. Чтобы получить доступ к настройкам плагина, зайдите в Инструменты> Солонка в админке WordPress.
Здесь мы можем обновить ключи безопасности / соли сразу одним щелчком мыши. Как только кнопка « Изменить сейчас» нажата, справа появляется вращающийся значок, указывающий, что плагин обновляет wp-config.php
. Как только значок исчезнет, вы знаете, что ключи / соли безопасности были обновлены.
В целом, плагин работает очень хорошо и потенциально может сэкономить вам много времени, особенно если у вас есть несколько сайтов WordPress. Возможно, мне бы хотелось увидеть еще пару вариантов выбора интервалов времени, таких как три месяца и шесть месяцев, для повышения гибкости плагина.
Также было бы полезно сообщение о том, что ключи / соли были обновлены, а также дополнительная опция плагина для автоматического перенаправления на страницу входа после обновления ключей / солей.
Кроме того, мы можем установить флажок « Изменить ключи и соли WP» и выбрать, когда обновляются константы wp-config.php
. Это действительно хорошая функция, которая позволяет забыть об обновлении ключей / солей безопасности. Просто позвольте плагину сделать все это за вас!
Помните, что всякий раз, когда ключи безопасности / соли обновляются, вам необходимо будет войти снова. Это связано с тем, что файлы cookie, относящиеся к входам в систему, становятся недействительными, и поэтому пользователям необходимо снова войти в систему, чтобы обновить файлы cookie.
Поэтому, прежде чем менять свои защитные ключи / соли, рекомендуется подать регистрационную информацию, чтобы вы не были случайно заблокированы на своем сайте.
Использование скрипта автоматизации для обновления ключей и солей
Если вы не хотите использовать плагин и у вас есть много удаленных сайтов WordPress, то вы можете использовать скрипт для непосредственного обновления ключей безопасности / солей.
Недостатком этого является то, что вы должны быть опытными в написании сценариев. Тем не менее, есть несколько готовых решений, поэтому вам не обязательно кодировать свои собственные.
Один из таких скриптов, названный Ахмадом Авайсом под названием WP-Salts-Update-CLI , обновляет ключи безопасности / соли на локальном компьютере или на удаленном сервере.
Чтобы установить этот скрипт на свой компьютер (только для macOS), откройте окно терминала и введите следующее:
sudo wget -qO wpsucli
https://git.io/vykgu
&& sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucli
Это сделает исполняемый скрипт глобально доступным с помощью команды wpsucli
. Вы можете запустить его на своем локальном компьютере, чтобы активно искать все экземпляры конфигурационных файлов WordPress и заменять ключи / соли безопасности новыми значениями непосредственно из URL-адреса API секретного ключа WordPress.
При запуске сценария на удаленном сервере рекомендуется сделать это из корневой папки, т.е. cd /
, а затем запустить wpsucli
. Более подробную информацию о скрипте смотрите на главной информационной странице .
Вывод
В этом уроке мы рассмотрели, что такое ключи / соли безопасности WordPress и почему важно периодически их обновлять. Мы также рассмотрели различные способы их обновления: от копирования / вставки вручную (если у вас есть прямой доступ к wp-config.php
) до использования плагина для полной автоматизации процесса. Если вы знакомы с командной строкой, то вы также можете использовать собственный скрипт, чтобы довольно легко обновлять локальные / удаленные сайты.
Недостатком является то, что вам все равно придется вручную запускать скрипты, которые можно легко забыть, поэтому вместо того, чтобы планировать это в своем рабочем процессе, лучше всего использовать плагин для автоматизации процесса.
Какой бы метод вы ни выбрали, важно помнить, что вы добавляете еще один уровень безопасности на свои сайты WordPress, и все, что вы можете сделать, чтобы достичь этого с минимальными усилиями, может быть только хорошей вещью!
И если вы ищете другие утилиты, которые помогут вам создать свой растущий набор инструментов для WordPress или кода для изучения и стать более опытным в WordPress, не забудьте посмотреть, что у нас есть в Envato Market .