WordPress Salts and Keys: Allt du behöver veta
Mer än 30 % av alla webbplatser i världen drivs av WordPress, vilket gör det till det överlägset mest populära CMS. Trots det undrar folk fortfarande med rätta över hur säkert WordPress är. Att skydda en webbplats är en högsta prioritet i dagens värld eftersom hackare vet hur man hittar runt de mest komplexa säkerhetsåtgärderna. Lyckligtvis sätter hackare inte tydliga mål, såvida de inte verkligen har en anledning till det. I de flesta situationer letar de efter den svagaste länken och tar över webbplatser eller mjukvaruprodukter som är sårbara.
Först och främst bör WordPress-webbplatser skyddas med starka referenser, men det finns andra faktorer som spelar lika stor roll som ett säkert lösenord. För att säkerställa att det är mycket osannolikt att angripare tar sig in på din webbplats bör du lära dig om och tillämpa dessa extra åtgärder.
Den här artikeln skapad av vårt team på wpDataTables kommer att presentera fakta om WordPress saltnycklar. "Salt"-nycklar är avsedda att hålla din webbplats lösenord skyddade hela tiden. Med starka saltnycklar kommer angripare inte att kunna se eller använda dina referenser, även om de kan få tag i din webbplatsdatabas. Här hittar du information om vad WordPress-salter är och hur du kan ändra dina med Salt Shaker -plugin eller manuellt, så fortsätt läsa.
Förstå WordPress Salt Keys
WordPress-salter är kryptografiska element som är avsedda att säkra data genom en process som kallas hashing. De flesta plattformar som förlitar sig på enbart referenser för säkerheten för sina användare och innehållet som de är värd för genom plattformen använder saltnycklar för att skydda känslig data från hackare. Hashingprocessen krypterar lösenorden när de skrivs in i inloggningsformuläret och sparas i databasen. Dessutom hashas även din webbläsares tredjepartscookies med saltnycklar för att förhindra att angripare utger sig för att vara dig efter att ha stulit dina cookies.
När du använder WordPress saltnycklar kan du vara säker på att ditt inloggningsområde är mycket svårare att bryta sig in i. Detsamma gäller informationen som lagras i cookies i en webbläsare, vilket kan vara ganska farligt om du inte tillhandahåller salter att hasha dem med. Som tur är kommer WordPress med inbyggt stöd för att lägga till egna salter. Dessa kan hittas i filen wp-config.php, som finns i mappen public_html. De ser vanligtvis ut ungefär så här:
Typer av WordPress-salter
Om du har den nuvarande versionen av WordPress finns säkerhetsnycklar i fyra typer och de används varje gång du loggar in på din webbplats. För varje säkerhetsnyckel måste du ha en motsvarande WordPress saltnyckel. Som standard genereras de automatiskt av WordPress, så du behöver inte lägga till dem för hand. Typerna av WordPress-salter är:
LOGGED_IN_KEY – Detta används för att generera cookies för en användare som loggar in. Dessa cookies kan inte användas för att göra ändringar på webbplatsen.
SECURE_AUTH_KEY – Detta används för att SSL-administratören ska generera en auktoriserande cookie. Dessa cookies kan användas för att göra ändringar på webbplatsen.
AUTH_KEY – Detta används för icke-SSL-admin för att generera en auktoriserande cookie. Dessa cookies kan användas för att göra ändringar på webbplatsen.
NONCE_KEY – Detta används för att signera nonce-nyckeln som skyddar de nonce som genereras. Detta är den typ av WordPress-salt som håller din webbplats säker från flera former av cyberattacker.
Hur fungerar WordPress Salts?
Det finns webbplatsplattformar som förlitar sig på PHP-sessioner för att spåra användarna och deras inloggningssessioner. Inte WordPress. På WordPress görs verifieringen av alla användare, varierande från administratörer till kommentatorer, genom att analysera cookies eller informationen som lagras i en webbläsares historik. Varje gång en person loggar in på WordPress Dashboard skapas vissa cookies omedelbart och sparas sedan, med användarens godkännande. De kakor som skapas ser ut så här:
wordpress_[hash]Funktionen av WordPress-salter är mycket lätt att förstå. Låt oss säga att ditt lösenord är "demo-lösenord". Detta är ett mycket enkelt lösenord som kan gissas eller hackas ganska snabbt. Nycklar representerar randomiserade variabler som läggs till i ditt befintliga lösenord för att göra det krypterat. Varje gång du loggar in lösenordet lagras i din webbläsares cookiefiler så att du inte behöver skriva in dina referenser varje gång du besöker webbplatsen. Det är här saltnycklar kliver in. Det lagrade lösenordet blir mycket svårt att knäcka när du väl får det krypterat, och det kan bara ske med hjälp av WordPress-salter.
Hur kan du ändra WordPress-salter?
I vissa fall kan du behöva generera WordPress-salter själv. I andra fall är säkerhetsnycklarna fördefinierade. Se vad ditt fall är och – om saltnycklarna saknas – följ dessa mycket enkla steg för att konfigurera dem:
Manuellt
För att göra det manuellt måste du skapa en hemlig nyckel. Du kan göra det direkt i WordPress, med hjälp av den slumpmässiga nyckelgeneratorn som plattformen erbjuder. Istället för att skapa en hemlig nyckel själv, använd den här metoden, eftersom karaktärerna är svårare att knäcka. Det tar bara ett par sekunder att göra det, så det är definitivt inte slöseri med tid.
Gå sedan till https://api.wordpress.org/secret-key/1.1/salt/ och kolla in listan som dyker upp. Det är en lista över ersättningsnycklar och saltnycklar. Det ska se ut så här:
Nästa steg är att kopiera dessa WordPress-salter och öppna din FTP-klient. Navigera till rotmappen på din webbplats och högerklicka på filen wp-config.php för att redigera den. Sök efter raden "Autentisering av unika nycklar och salter" och ersätt allt du hittar under det här avsnittet med WordPress-salterna du just har kopierat. Glöm inte att spara ändringarna och ladda upp filen tillbaka till servern. Att göra detta var tredje till var sjätte månad är det bästa sättet att hålla din webbplats säker. Använd alltid WordPress.org hemliga nyckeltjänsten för att få dina nycklar genererade.
Använder ett plugin
Om du tycker att stegen ovan är för komplicerade kan du ta till den enklare metoden som är att använda ett plugin. Salt Shaker är ett gratis plugin som automatiserar alla steg som du läst om ovan. Du behöver bara ladda ner och aktivera den. Att använda ett plugin ger dig en extra funktion som du inte kan ställa in när du gör ändringarna manuellt. Med Salt Shaker kan du schemalägga när du vill att dina WordPress-salter ska ändras och därmed bli av med en del ansvar. Tänk på att du och alla andra personer som använder din webbplats måste logga in igen med inloggningssidan för WordPress efter varje ändring av WordPress-salterna.
Fördelarna med WordPress säkerhetsnycklar
När en webbplats hackas kommer de flesta av data på den – om inte alla – att äventyras. Istället för att få panik måste du ta reda på vilket steg du ska följa härnäst. Om du ändrar WordPress-salterna och de unika nycklarna du har använt kommer alla inloggade användare att ogiltigförklaras, inklusive hackare. Detta bör ge dig lite tid att rädda din webbplats från fullständig korruption. Förutom att använda WordPress saltnycklar, glöm inte att skaffa ett SSL-certifikat, för att upprätthålla användningen av säkra FTP-klienter, dölja alla filer som är viktiga och minska åtkomsten till dem, och så vidare. WordPress säkerhetsnycklar är bara ett lager av skydd. Glöm inte att du måste täcka dem alla.
Sammanfatta
Att säkerställa säkerheten för din WordPress-webbplats är inte en lätt process, men det är värt all ansträngning. Att använda WordPress-salter för att hålla autentiseringsprocessen säker och spara dina data i händelse av en cyberattack är en av de åtgärder du inte kan hoppa över. Se till att tillämpa allt du har lärt dig i den här artikeln för extra skydd.
Om du gillade att läsa den här artikeln om WordPress-salter och nycklar, bör du kolla in den här om WordPress SSL-plugin.
Vi skrev också om några relaterade ämnen som skannerplugin för skadlig programvara och WordPress-säkerhet.