Что такое солевые ключи безопасности WordPress?

Приветствую, друзья!

В этом посте я бы хотел рассказать вам что такое солевые ключи безопасности в WordPress.

На первый взгляд это не понятные слова, но прочитав эту статью, вы поймете что это очень нужная тема. Поехали!

Когда дело доходит до защиты вашего веб-сайта WordPress, экран входа в систему является важной линией защиты.

Значительная часть этого — обеспечение безопасности вашего пароля, что снижает вероятность того, что злоумышленники смогут взломать его и получить доступ.

WordPress использует так называемые «солевые» ключи для защиты ваших паролей.

С этими ключами ваш пароль хранится в безопасности, поэтому злоумышленники не могут использовать их, даже если они получат доступ к вашим данным.

В этой статье мы поговорим о том, что такое солевые ключи и как их использует WordPress. Затем я научу вас двум способам изменить их, в том числе с помощью плагина Salt Shaker.

Давай приступим к работе!

Что такое солевые ключи (и как они работают в WordPress)

Солевые ключи — это криптографические элементы, используемые для «хеширования» данных с целью их защиты.

Фактически, большинство серьезных платформ и систем используют аналогичные механизмы для защиты конфиденциальных данных.

По сути, соль — это случайные данные, обычно дополнительные символы, добавленные к паролю.

WordPress использует соли для защиты паролей, когда они хранятся в серверной части.

Ключ безопасности — это пароль, содержащий случайный, длинный и сложный набор переменных, которые улучшают шифрование, делая почти невозможным взломать ваш пароль.

В настоящее время WordPress использует четыре ключа безопасности, каждый с солью, для повышения безопасности вашего сайта.

Вы найдете ключи безопасности и соли WordPress в файле «wp-config.php», расположенном в корневой папке.

Вот эти четыре ключа безопасности и соли WordPress:

1. «AUTH_KEY»: используется для внесения изменений на сайт, помогает подписать авторизационный файл cookie для не-SSL. Соответствующая соль — «AUTH_SALT».
2. «SECURE_AUTH_KEY»: используется для подписи авторизационного файла cookie для администратора SSL и используется для внесения изменений на веб-сайт. Соответствующая соль — «SECURE_AUTH_SALT».
3. «LOGGED_IN_KEY»: используется для создания файла cookie для вошедшего в систему пользователя, но не может использоваться для внесения изменений на веб-сайт. Соответствующая соль — «LOGGED_IN_SALT».
4. «NONCE_KEY»: используется для подписи одноразового ключа. Этот ключ защищает одноразовые номера от генерации, тем самым защищая вас от взлома. Соответствующая соль — «NONCE_SALT».

Процесс работает с использованием солевых ключей для шифрования вашего пароля при его сохранении в WordPress.

Таким образом, злоумышленники не смогут увидеть ваши пароли в открытом виде, даже если они каким-то образом получат доступ к вашей базе данных.

Солевые ключи также используются для подписи файлов cookie вашего веб-сайта.

Это не позволяет злоумышленникам получить доступ, даже если они могут перехватить ваши файлы cookie.

Все это происходит в фоновом режиме, и нет причин, по которым вам когда-либо понадобится поделиться своими солевыми ключами WordPress с третьей стороной.

Если бы кто-то заполучил их, он мог бы использовать их, чтобы получить доступ к вашим паролям и взломать ваш сайт.

По этой причине я рекомендую вам время от времени менять солевые ключи WordPress, чтобы снизить риск.

Однако WordPress не включает в себя какие-либо функции, которые позволят вам сделать это из коробки, а это означает, что вам нужно знать, как это сделать самостоятельно.

Давайте посмотрим, как это сделать сейчас.

Как работают ключи безопасности и соли WordPress

WordPress использует файлы cookie для отслеживания личности пользователей, вошедших на ваш сайт.

Эти файлы cookie хранятся в учетной записи панели управления вашего сайта, то есть на стороне клиента.

Для лучшего шифрования данные аутентификации хешируются с использованием набора случайных значений, указанных в ключах безопасности WordPress, поскольку зашифрованный пароль сложнее взломать, чем пароль, который не является паролем.

Регулярно меняя ключи безопасности и соли WordPress, вы усложняете хакеру несанкционированный доступ к вашему сайту.

Изменение ваших солей также автоматически выйдет из системы всех зарегистрированных пользователей и заставит их войти снова.

Например, если кто-то зашел на ваш сайт на общедоступном компьютере и забыл выйти из системы, он автоматически выйдет из системы, когда вы измените свои соли.

Это предотвращает доступ к вашему сайту неавторизованных пользователей.

Как изменить солевые ключи WordPress (и почему вам это нужно)

Как часто вы меняете солевые ключи WordPress, зависит от вас.

Один или два раза в год должно быть более чем достаточно, чтобы ваш сайт оставался в безопасности.

Однако, если вы хотите быть особенно осторожными, вы можете менять ключи каждые пару месяцев.

Важно отметить, что каждый раз, когда ваши солевые ключи меняются, все учетные записи пользователей будут выходить из системы, включая вашу собственную.

Это может быть незначительной проблемой, но поможет защитить вас в случае взлома учетной записи из-за файлов cookie.

Теперь я собираюсь показать вам два метода, которые вы можете использовать для обновления солевых ключей.

Вы можете сделать это вручную, отредактировав основной файл WordPress, или использовать плагины для автоматизации процесса.

В любом случае я рекомендую вам заранее создать резервную копию вашего сайта на всякий случай.

Измените солевые ключи вручную

WordPress хранит ваши солевые ключи в виде цепочек цифр, букв и символов в файле «wp-config.php».

Чтобы изменить их вручную, вам необходимо обновить их в этом файле.

Для этого вам необходимо войти на свой веб-сайт через FTP, используя такой клиент, как FileZilla.

Как только вы войдете, перейдите в корневую папку WordPress, которая обычно называется «public_html», «www» или так же точно, как и ваш сайт:

Внутри этой папки вы найдете файл «wp-config.php».

Щелкните его правой кнопкой мыши и выберите опцию «View/Edit» (Просмотр/Правка).

Это загрузит копию файла на ваш компьютер и откроет его с помощью текстового редактора по умолчанию.

Воспользуйтесь функцией поиска текстового редактора, чтобы найти строку с надписью «Authentication Unique Keys and Salts» (Уникальные ключи и соли для аутентификации), как показано ниже:

Вверху есть несколько инструкций в виде комментариев о том, как обновить ключи.

Справа внизу вы найдете восемь строк, включая все ваши электронные ключи и соли.

Чтобы заменить их, вам нужно будет сгенерировать новый набор ключей, что вы можете сделать через WordPress API.

Просто перейдите по этой ссылке, и платформа сгенерирует вам новый набор уникальных ключей, которые вы можете использовать, например:

Все, что вам нужно сделать сейчас, это взять новые ключи и заменить существующие в файле «wp-config.php».

Вы можете копировать и вставлять ключи по одному или заменить сразу весь раздел. Если вы сделаете это правильно, это изменение не повлияет на работу вашего сайта.

Единственное изменение, которое вы заметите, это то, что вам нужно будет снова войти в свою учетную запись, как только вы обновите свои соли, как и все ваши пользователи.

После замены ключей сохраните изменения в файле «wp-config.php» и закройте его.

FileZilla спросит вас, хотите ли вы заменить существующий файл «wp-config.php» только что отредактированной версией.

Выберите вариант «Да», после чего вы можете продолжить и снова войти на свой веб-сайт.

Используйте плагин Salt Shaker

Плагин Salt Shaker может помочь вам упростить этот процесс еще больше.

С помощью этого плагина вы можете автоматизировать весь процесс изменения ваших солевых ключей.

Кроме того, плагин даже позволяет вам регулярно планировать автоматические изменения ваших солевых ключей.

Чтобы использовать плагин, вам необходимо сначала установить и активировать его.

Как только это будет сделано, новый вариант «Salt Shaker» будет отображаться в панели управления под вкладкой «Настройки».

Внутри вы найдете два варианта. Первый из них позволяет вам планировать изменения ваших солевых ключей WordPress.

Вы можете переключать их ежедневно, еженедельно или ежемесячно:

В большинстве случаев ежедневные изменения излишни, поскольку вы заставляете всех своих пользователей выходить из системы.

Таким образом, я бы рекомендовал вносить ежедневные изменения только в том случае, если ваш веб-сайт не открыт для регистрации и вы хотите, чтобы он был максимально безопасным.

Для обычных сценариев я считаю, что ежемесячные изменения — лучший вариант.

После того, как вы установите расписание, плагин автоматически обновит ваши солевые ключи с заданным интервалом.

Если вы не хотите автоматизировать процесс или хотите изменить их сразу, вы можете вместо этого нажать кнопку «Изменить сейчас».

Это немедленно изменит ваши солевые ключи, после чего WordPress предложит вам снова войти в систему.

Как и в случае ручного метода, вы не заметите никакой разницы после этого, и вы сможете использовать свою панель управления как обычно.

Используйте плагин iThemes Security

iThemes Security — ранее называвшийся Better WordPress security — это плагин, который я использую почти на всех своих клиентских сайтах.

Это серьезный, обязательный плагин, который укрепляет веб-сайт WordPress 30 различными способами. Один из таких способов — обновить WordPress Salt и ключи безопасности.

Перво-наперво. Установите и активируйте плагин безопасности iThemes на своем веб-сайте WordPress.

После активации в меню слева нажмите «Безопасность», а затем найдите «соли».

Нажмите «Настроить параметры», если вам автоматически не предоставляется возможность настроить параметры солей.

Теперь установите флажок «Изменить соли WordPress». Затем сохраните свои настройки.

Вот и все. Помните, что вы и все остальные, вошедшие в систему, выйдете из системы.

Вывод

Хранение паролей в виде открытого текста — всегда плохая идея, и именно здесь на помощь приходят соляные ключи безопасности.

WordPress использует уникальные солевые ключи для защиты ваших паролей, которые не позволяют злоумышленникам получить доступ к вашим паролям, даже если они должны были получить доступ к вашей базе данных.

Вы можете сделать их еще более безопасными, регулярно меняя их.

Есть два способа изменить солевые ключи WordPress:

1. Изменить ключи вручную, отредактировав файл «wp-config.php».
2. Использовать плагин «Salt Shaker» или «iThemes Security».

Давайте поговорим о них в разделе комментариев ниже!

А я на этом буду прощаться с вами — до скорых встреч! И не болейте!