Более 30% всех веб-сайтов в мире работают на WordPress, что делает его самой популярной CMS на сегодняшний день. Несмотря на это, люди по-прежнему справедливо задаются вопросом, насколько безопасен WordPress. Защита веб-сайта является главным приоритетом в современном мире, потому что хакеры знают, как обойти самые сложные меры безопасности. К счастью, хакеры не ставят перед собой четких целей, если только у них нет на это веских причин. В большинстве случаев они ищут самое слабое звено и захватывают уязвимые веб-сайты или программные продукты.
Прежде всего, веб-сайты WordPress должны быть защищены надежными учетными данными, но есть и другие факторы, которые имеют не меньшее значение, чем надежный пароль. Чтобы убедиться, что злоумышленники вряд ли проникнут на ваш сайт, вы должны узнать об этих дополнительных мерах и применить их.
В этой статье, созданной нашей командой в wpDataTables, будут представлены факты о солевых ключах WordPress. Ключи «Salt» предназначены для постоянной защиты паролей вашего веб-сайта. С сильными солевыми ключами злоумышленники не смогут увидеть или использовать ваши учетные данные, даже если они могут завладеть базой данных вашего веб-сайта. Здесь вы найдете подробную информацию о том, что такое соли WordPress и как вы можете изменить свои с помощью плагина Salt Shaker или вручную, так что продолжайте читать.
Понимание солевых ключей WordPress
Соли WordPress — это криптографические элементы, предназначенные для защиты данных с помощью процесса, называемого хэшированием. Большинство платформ, которые полагаются только на учетные данные для безопасности своих пользователей и контента, который они размещают через платформу, используют сольные ключи для защиты конфиденциальных данных от хакеров. Процесс хеширования шифрует пароли всякий раз, когда они вводятся в форму входа и сохраняются в базе данных. Кроме того, сторонние файлы cookie вашего браузера также хэшируются с помощью солевых ключей, чтобы злоумышленники не могли выдать себя за вас после кражи ваших файлов cookie.
При использовании солевых ключей WordPress вы можете быть уверены, что взломать вашу область входа гораздо сложнее. То же самое касается информации, хранящейся в файлах cookie браузера, которые могут быть довольно опасными, если вы не предоставляете соли для их хеширования. К счастью, WordPress поставляется со встроенной поддержкой добавления собственных солей. Их можно найти в файле wp-config.php, расположенном в папке public_html. Обычно они выглядят примерно так:
Типы солей WordPress
Если у вас установлена текущая версия WordPress, ключи безопасности бывают четырех типов и используются каждый раз, когда вы входите на свой сайт. Для каждого ключа безопасности вам необходимо иметь соответствующий солевой ключ WordPress. По умолчанию они генерируются WordPress автоматически, поэтому вам не нужно добавлять их вручную. Типы солей WordPress:
LOGGED_IN_KEY — используется для создания файлов cookie для пользователя, который входит в систему. Эти файлы cookie нельзя использовать для внесения изменений на сайт.
SECURE_AUTH_KEY — используется администратором SSL для создания авторизирующего файла cookie. Эти файлы cookie могут использоваться для внесения изменений на сайт.
AUTH_KEY — используется администратором без SSL для создания авторизирующего файла cookie. Эти файлы cookie могут использоваться для внесения изменений на сайте.
NONCE_KEY — используется для подписи одноразового ключа, который защищает создаваемые одноразовые номера. Это тип соли WordPress, который защищает ваш сайт от различных форм кибератак.
Как работают соли WordPress?
Существуют платформы веб-сайтов, которые полагаются на сеансы PHP для отслеживания пользователей и их сеансов входа в систему. Не Вордпресс. В WordPress проверка всех пользователей, от администраторов до комментаторов, осуществляется путем анализа файлов cookie или информации, которая сохраняется в истории браузера. Всякий раз, когда человек входит в панель инструментов WordPress, некоторые файлы cookie создаются мгновенно, а затем сохраняются с согласия пользователя. Создаваемые файлы cookie выглядят следующим образом:
wordpress_[hash]Функция солей WordPress очень проста для понимания. Допустим, ваш пароль «демонстрационный пароль». Это очень простой пароль, который можно довольно быстро угадать или взломать. Ключи представляют собой случайные переменные, которые добавляются к вашему существующему паролю, чтобы сделать его зашифрованным. Каждый раз, когда вы входите в систему, пароль хранится в файлах cookie вашего браузера, поэтому вам не нужно вводить свои учетные данные каждый раз, когда вы посещаете веб-сайт.Здесь вступают в действие солевые ключи. это может произойти только с помощью солей WordPress.
Как вы можете изменить соли WordPress?
В некоторых случаях вам может потребоваться самостоятельно создать соли WordPress. В других случаях ключи безопасности предварительно определены. Посмотрите, каков ваш случай, и — если солевые ключи отсутствуют — выполните следующие очень простые шаги для их настройки:
Вручную
Чтобы сделать это вручную, вам нужно будет сгенерировать секретный ключ. Вы можете сделать это прямо в WordPress, используя генератор случайных ключей, который предлагает платформа. Вместо того, чтобы самостоятельно создавать секретный ключ, используйте этот метод, так как символы сложнее взломать. Это займет у вас всего пару секунд, так что это определенно не пустая трата времени.
Затем зайдите на https://api.wordpress.org/secret-key/1.1/salt/ и проверьте появившийся список. Это список сменных ключей и солевых ключей. Это должно выглядеть так:
Следующим шагом будет копирование этих солей WordPress и открытие вашего FTP-клиента. Перейдите в корневую папку вашего сайта и щелкните правой кнопкой мыши файл wp-config.php, чтобы отредактировать его. Найдите строку «Уникальные ключи и соли аутентификации» и замените все, что вы найдете в этом разделе, на соли WordPress, которые вы только что скопировали. Не забудьте сохранить изменения и загрузить файл обратно на сервер. Делать это каждые три-шесть месяцев — лучший способ обеспечить безопасность вашего сайта. Всегда используйте службу секретных ключей WordPress.org для генерации ключей.
Использование плагина
Если шаги, описанные выше, кажутся вам слишком сложными, вы можете прибегнуть к более простому методу — использованию плагина. Salt Shaker — это бесплатный плагин, который автоматизирует все шаги, о которых вы читали выше. Вам просто нужно скачать и активировать его. Использование плагина дает вам дополнительную функцию, которую вы не можете установить, когда вносите изменения вручную. С помощью Salt Shaker вы можете запланировать, когда вы хотите, чтобы ваши соли WordPress были изменены, тем самым избавляясь от некоторых обязанностей. Имейте в виду, что вам и любому другому человеку, который использует ваш веб-сайт, придется снова входить в систему, используя страницу входа в WordPress после каждого изменения солей WordPress.
Преимущества ключей безопасности WordPress
Когда сайт взломан, большая часть данных на нем — если не все — будет скомпрометирована. Вместо того, чтобы паниковать, вам нужно выяснить, какой шаг вы должны предпринять дальше. Изменение солей WordPress и уникальных ключей, которые вы использовали, сделает недействительными всех вошедших в систему пользователей, включая хакеров. Это должно дать вам некоторое время, чтобы спасти ваш сайт от полной порчи. Помимо использования солевых ключей WordPress, не забудьте получить SSL-сертификат, чтобы обеспечить использование безопасных FTP-клиентов, скрыть все жизненно важные файлы и ограничить доступ к ним и так далее. Ключи безопасности WordPress — это всего лишь один уровень защиты. Не забывайте, что вам нужно покрыть их все.
Заворачивать
Обеспечение безопасности вашего сайта WordPress — непростая задача, но она стоит всех усилий. Использование солей WordPress для обеспечения безопасности процесса аутентификации и сохранения ваших данных в случае кибератаки — это одно из действий, которое вы не можете пропустить. Обязательно примените все, что вы узнали из этой статьи, для дополнительной защиты.
Если вам понравилось читать эту статью о солях и ключах WordPress, вы должны прочитать эту о плагине WordPress SSL.
Мы также писали о нескольких связанных темах, таких как плагины для сканирования вредоносных программ и безопасность WordPress.