Ponad 30% wszystkich stron internetowych na świecie jest obsługiwanych przez WordPress, co czyni go zdecydowanie najpopularniejszym CMS. Mimo to ludzie wciąż słusznie zastanawiają się, jak bezpieczny jest WordPress. Ochrona strony internetowej jest najwyższym priorytetem w dzisiejszym świecie, ponieważ hakerzy wiedzą, jak obejść najbardziej złożone środki bezpieczeństwa. Na szczęście hakerzy nie wyznaczają jasnych celów, chyba że naprawdę mają ku temu powód. W większości sytuacji szukają najsłabszego łącza i przejmują strony internetowe lub oprogramowanie, które są podatne na ataki.
Przede wszystkim witryny WordPress powinny być chronione silnymi danymi uwierzytelniającymi, ale istnieją inne czynniki, które mają równie duże znaczenie, jak bezpieczne hasło. Aby mieć pewność, że osoby atakujące prawdopodobnie nie włamią się do Twojej witryny, powinieneś zapoznać się z tymi dodatkowymi środkami i zastosować je.
Ten artykuł stworzony przez nasz zespół wpDataTables przedstawi fakty na temat kluczy soli WordPress. Klucze „solne" mają na celu ochronę haseł do Twojej witryny przez cały czas. Dzięki silnym kluczom soli osoby atakujące nie będą mogły zobaczyć ani użyć Twoich poświadczeń, nawet jeśli mogą uzyskać dostęp do bazy danych Twojej witryny. Tutaj znajdziesz szczegółowe informacje o tym, czym są sole WordPress i jak możesz je zmienić za pomocą wtyczki Salt Shaker lub ręcznie, więc czytaj dalej.
Zrozumienie kluczy solnych WordPress
Sole WordPress to elementy kryptograficzne, które mają na celu zabezpieczenie danych w procesie zwanym haszowaniem. Większość platform, które polegają na samych poświadczeniach w celu zapewnienia bezpieczeństwa swoich użytkowników i treści, które hostują za pośrednictwem platformy, używa kluczy soli do ochrony poufnych danych przed hakerami. Proces haszowania szyfruje hasła za każdym razem, gdy są one wpisywane do formularza logowania i zapisywane w bazie danych. Ponadto pliki cookie stron trzecich w Twojej przeglądarce są również zahaszowane kluczami soli, aby uniemożliwić atakującym podszywanie się pod Ciebie po kradzieży plików cookie.
Korzystając z kluczy soli WordPress, możesz mieć pewność, że włamanie do obszaru logowania jest znacznie trudniejsze. To samo dotyczy informacji przechowywanych w plikach cookie przeglądarki, co może być dość niebezpieczne, jeśli nie dostarczysz soli do ich haszowania. Na szczęście WordPress ma wbudowaną obsługę dodawania własnych soli. Można je znaleźć w pliku wp-config.php, znajdującym się w folderze public_html. Zwykle wyglądają mniej więcej tak:
Rodzaje soli WordPress
Jeśli masz aktualną wersję WordPressa, klucze bezpieczeństwa są dostępne w czterech rodzajach i są używane przy każdym logowaniu do witryny. Dla każdego klucza bezpieczeństwa musisz mieć odpowiedni klucz soli WordPress. Domyślnie są one generowane automatycznie przez WordPress, więc nie musisz dodawać ich ręcznie. Rodzaje soli WordPress to:
LOGGED_IN_KEY – Służy do generowania plików cookie dla zalogowanego użytkownika. Te pliki cookie nie mogą być używane do wprowadzania zmian w witrynie.
SECURE_AUTH_KEY — służy administratorowi SSL do generowania pliku cookie autoryzacji. Te pliki cookie mogą być używane do wprowadzania zmian w witrynie.
AUTH_KEY — jest używany przez administratora bez SSL do wygenerowania pliku cookie autoryzacji. Te pliki cookie mogą być używane do wprowadzania zmian na stronie.
NONCE_KEY — służy do podpisywania klucza jednorazowego, który chroni generowane identyfikatory jednorazowe. Jest to rodzaj soli WordPress, która chroni Twoją witrynę przed wieloma formami cyberataków.
Jak działają sole WordPress?
Istnieją platformy internetowe, które opierają się na sesjach PHP w celu śledzenia użytkowników i ich sesji logowania. Nie WordPress. W WordPressie weryfikacja wszystkich użytkowników, od administratorów po komentatorów, odbywa się poprzez analizę plików cookie lub informacji przechowywanych w historii przeglądarki. Za każdym razem, gdy dana osoba loguje się do pulpitu WordPress, niektóre pliki cookie są tworzone natychmiast, a następnie zapisywane, za zgodą użytkownika. Tworzone pliki cookie wyglądają tak:
wordpress_[hash]Funkcja soli WordPress jest bardzo łatwa do zrozumienia. Załóżmy, że Twoje hasło to „hasło demonstracyjne”. Jest to bardzo proste hasło, które można szybko odgadnąć lub zhakować. Klucze reprezentują losowe zmienne, które są dodawane do istniejącego hasła w celu jego zaszyfrowania. Za każdym razem, gdy się logujesz, hasło jest przechowywane w plikach cookie przeglądarki, dzięki czemu nie musisz wpisywać swoich danych uwierzytelniających za każdym razem, gdy odwiedzasz witrynę. W tym miejscu wkraczają klucze soli. Przechowywane hasło staje się bardzo trudne do złamania po zaszyfrowaniu i to może się zdarzyć tylko przy pomocy soli WordPress.
Jak zmienić sole WordPress?
W niektórych przypadkach może być konieczne samodzielne wygenerowanie soli WordPress. W innych przypadkach klucze bezpieczeństwa są wstępnie zdefiniowane. Sprawdź, jaki jest Twój przypadek i – jeśli brakuje kluczy soli – wykonaj te bardzo proste kroki, aby je skonfigurować:
Ręcznie
Aby zrobić to ręcznie, musisz wygenerować tajny klucz. Możesz to zrobić bezpośrednio w WordPressie, korzystając z generatora losowego klucza oferowanego przez platformę. Zamiast samodzielnie tworzyć tajny klucz, skorzystaj z tej metody, ponieważ postacie są trudniejsze do złamania. Zajmie Ci to tylko kilka sekund, więc zdecydowanie nie jest to strata czasu.
Następnie wejdź na https://api.wordpress.org/secret-key/1.1/salt/ i sprawdź listę, która się pojawi. Jest to lista kluczy zamiennych i kluczy solnych. To powinno wyglądać tak:
Następnym krokiem jest skopiowanie tych soli WordPress i otwarcie klienta FTP. Przejdź do folderu głównego witryny i kliknij prawym przyciskiem myszy plik wp-config.php, aby go edytować. Wyszukaj wiersz „Unikalne klucze i sole uwierzytelniania” i zastąp wszystko, co znajdziesz w tej sekcji, właśnie skopiowanymi solami WordPress. Nie zapomnij zapisać zmian i przesłać plik z powrotem na serwer. Robienie tego co trzy do sześciu miesięcy to najlepszy sposób na zabezpieczenie witryny. Zawsze korzystaj z usługi tajnego klucza WordPress.org, aby wygenerować klucze.
Korzystanie z wtyczki
Jeśli powyższe kroki są dla Ciebie zbyt skomplikowane, możesz skorzystać z prostszej metody, jaką jest użycie wtyczki. Salt Shaker to darmowa wtyczka, która automatyzuje wszystkie kroki, o których przeczytałeś powyżej. Wystarczy go pobrać i aktywować. Korzystanie z wtyczki zapewnia dodatkową funkcję, której nie można ustawić podczas ręcznego wprowadzania zmian. Dzięki Salt Shaker możesz zaplanować, kiedy chcesz zmienić sole WordPress, pozbywając się w ten sposób niektórych obowiązków. Pamiętaj, że Ty i każda inna osoba korzystająca z Twojej witryny będziecie musieli zalogować się ponownie za pomocą strony logowania WordPress po każdej zmianie soli WordPress.
Zalety kluczy bezpieczeństwa WordPress
Gdy witryna zostanie zhakowana, większość danych na niej – jeśli nie wszystkie – zostanie naruszona. Zamiast panikować, musisz zastanowić się, jaki krok powinieneś wykonać dalej. Zmiana soli WordPress i unikalnych kluczy, których używasz, spowoduje unieważnienie wszystkich zalogowanych użytkowników, w tym hakerów. To powinno dać ci trochę czasu na uratowanie witryny przed całkowitym uszkodzeniem. Oprócz używania kluczy soli WordPress, nie zapomnij uzyskać certyfikatu SSL, aby wymusić korzystanie z bezpiecznych klientów FTP, ukryć wszelkie ważne pliki i ograniczyć dostęp do nich i tak dalej. Klucze bezpieczeństwa WordPress to tylko jedna warstwa ochrony. Nie zapominaj, że musisz je wszystkie objąć.
Zakończyć
Zapewnienie bezpieczeństwa Twojej witryny WordPress nie jest łatwym procesem, ale jest warte całego wysiłku. Używanie soli WordPress do zabezpieczania procesu uwierzytelniania i zapisywania danych na wypadek cyberataku to jedno z działań, których nie możesz pominąć. Pamiętaj, aby zastosować wszystko, czego nauczyłeś się w tym artykule, aby uzyskać dodatkową ochronę.
Jeśli podobało Ci się czytanie tego artykułu na temat soli i kluczy WordPress, powinieneś zapoznać się z tym artykułem o wtyczce SSL WordPress.
Pisaliśmy również o kilku powiązanych tematach, takich jak wtyczki skanera złośliwego oprogramowania i zabezpieczenia WordPressa.