Сіль і ключі WordPress: все, що вам потрібно знати
Понад 30% усіх веб-сайтів у світі працюють на базі WordPress, що робить її найпопулярнішою CMS. Незважаючи на це, люди все ще справедливо дивуються, наскільки безпечним є WordPress. Захист веб-сайту є головним пріоритетом у сучасному світі, оскільки хакери знають, як знайти шлях до найскладніших заходів безпеки. На щастя, хакери не ставлять чітких цілей, якщо у них справді немає для цього причини. У більшості ситуацій вони шукають найслабшу ланку та захоплюють веб-сайти чи програмні продукти, які є вразливими.
Перш за все, веб-сайти WordPress повинні бути захищені надійними обліковими даними, але є й інші фактори, які важливі не менше, ніж надійний пароль. Щоб переконатися, що зловмисники дуже мало ймовірно зламатимуть ваш веб-сайт, ви повинні дізнатися про ці додаткові заходи та застосувати їх.
У цій статті, створеній нашою командою wpDataTables, будуть представлені факти про сольові ключі WordPress. Ключі Salt призначені для постійного захисту паролів вашого сайту. Завдяки надійним сольовим ключам зловмисники не зможуть побачити або використати ваші облікові дані, навіть якщо вони можуть заволодіти базою даних вашого веб-сайту. Тут ви знайдете подробиці про те, що таке солі WordPress і як ви можете змінити свою за допомогою плагіна Salt Shaker або вручну, тому продовжуйте читати.
Розуміння сольових ключів WordPress
Сіль WordPress — це криптографічні елементи, призначені для захисту даних за допомогою процесу, що називається хешуванням. Більшість платформ, які покладаються лише на облікові дані для безпеки своїх користувачів і вмісту, який вони розміщують через платформу, використовують сольові ключі для захисту конфіденційних даних від хакерів. Процес хешування шифрує паролі щоразу, коли вони вводяться у форму входу та зберігаються в базі даних. Крім того, сторонні файли cookie вашого веб-переглядача також хешуються за допомогою сольових ключів, щоб зловмисники не видавали себе за вас після викрадення файлів cookie.
Використовуючи сольові ключі WordPress, ви можете бути впевнені, що вашу область входу набагато складніше зламати. Те саме стосується інформації, що зберігається в файлах cookie браузера, яка може бути досить небезпечною, якщо ви не надасте солі для їх хешування. На щастя, WordPress має вбудовану підтримку для додавання власних солей. Їх можна знайти у файлі wp-config.php, який знаходиться в папці public_html. Зазвичай вони виглядають приблизно так:
Типи солей WordPress
Якщо у вас поточна версія WordPress, ключі безпеки бувають чотирьох типів, і вони використовуються щоразу, коли ви входите на свій сайт. Для кожного ключа безпеки потрібно мати відповідний сольовий ключ WordPress. За замовчуванням вони генеруються WordPress автоматично, тому вам не потрібно додавати їх вручну. Типи солей WordPress:
LOGGED_IN_KEY – використовується для створення файлів cookie для користувача, який входить у систему. Ці файли cookie не можна використовувати для внесення змін на сайті.
SECURE_AUTH_KEY – це використовується адміністратором SSL для створення файлу cookie авторизації. Ці файли cookie можна використовувати для внесення змін на сайт.
AUTH_KEY – це використовується для адміністратора без SSL для створення файлу cookie авторизації. Ці файли cookie можна використовувати для внесення змін на сайті.
NONCE_KEY – використовується для підпису ключа nonce, який захищає генеровані nonce. Це тип солі WordPress, який захищає ваш веб-сайт від різноманітних форм кібератак.
Як працюють солі WordPress?
Існують платформи веб-сайтів, які покладаються на PHP-сеанси для відстеження користувачів та їхніх сеансів входу. Не WordPress. У WordPress перевірка всіх користувачів, від адміністраторів до коментаторів, здійснюється шляхом аналізу файлів cookie або інформації, яка зберігається в історії браузера. Кожного разу, коли людина входить на інформаційну панель WordPress, деякі файли cookie створюються миттєво, а потім зберігаються, якщо користувач погоджується. Створені файли cookie виглядають так:
wordpress_[hash]Функцію солей WordPress дуже легко зрозуміти. Припустімо, що ваш пароль – «демо-пароль». Це дуже простий пароль, який можна вгадати або зламати досить швидко. Ключі являють собою випадкові змінні, які додаються до вашого існуючого пароля, щоб зробити його зашифрованим. Щоразу, коли ви входите в систему, пароль зберігається у файлах cookie вашого веб-переглядача, тож вам не потрібно вводити свої облікові дані щоразу, коли ви відвідуєте веб-сайт. Тут на допомогу приходять сольові ключі. Збережений пароль стає дуже важко зламати, коли ви його зашифрували, і це може статися лише за допомогою солей WordPress.
Як змінити солі WordPress?
У деяких випадках вам може знадобитися самостійно створити солі WordPress. В інших випадках ключі безпеки заздалегідь визначені. Подивіться, який у вас випадок, і – якщо ключі солі відсутні – виконайте ці дуже прості кроки, щоб налаштувати їх:
Вручну
Щоб зробити це вручну, вам знадобиться згенерувати секретний ключ. Ви можете зробити це прямо в WordPress, використовуючи генератор випадкових ключів, який пропонує платформа. Замість того, щоб самостійно створювати секретний ключ, використовуйте цей метод, оскільки символи складніше зламати. Це займе у вас лише кілька секунд, тому це точно не марна трата часу.
Потім перейдіть на сторінку https://api.wordpress.org/secret-key/1.1/salt/ і перегляньте список, який з’явиться. Це список замінних ключів і ключів солі. Це має виглядати так:
Наступним кроком є копіювання цих солей WordPress і відкриття клієнта FTP. Перейдіть до кореневої папки вашого сайту та клацніть правою кнопкою миші файл wp-config.php, щоб відредагувати його. Знайдіть рядок «Унікальні ключі та солі автентифікації» та замініть усе, що знайдете в цьому розділі, на щойно скопійовані солі WordPress. Не забудьте зберегти зміни та завантажити файл назад на сервер. Робити це кожні три-шість місяців – найкращий спосіб захистити свій сайт. Завжди використовуйте службу секретних ключів WordPress.org для генерації ваших ключів.
Використання плагіна
Якщо ви вважаєте наведені вище кроки надто складними, ви можете вдатися до простішого методу, який використовує плагін. Salt Shaker — це безкоштовний плагін, який автоматизує всі кроки, про які ви прочитали вище. Вам просто потрібно завантажити та активувати його. Використання плагіна дає вам додаткову функцію, яку ви не можете встановити, якщо вносите зміни вручну. За допомогою Salt Shaker ви можете запланувати, коли ви хочете, щоб ваші солі WordPress були змінені, таким чином позбувшись деяких обов’язків. Майте на увазі, що вам і будь-якій іншій особі, яка користується вашим веб-сайтом, доведеться знову входити на сторінку входу в WordPress після кожної зміни солі WordPress.
Переваги ключів безпеки WordPress
Коли сайт зламано, більшість даних на ньому – якщо не всі – буде скомпрометовано. Замість того, щоб панікувати, вам потрібно зрозуміти, який крок вам слід зробити далі. Зміна солі WordPress і унікальних ключів, які ви використовували, призведе до того, що всі користувачі, які ввійшли в систему, включно з хакерами, стануть недійсними. Це допоможе вам трохи врятувати веб-сайт від повного пошкодження. Окрім використання сольових ключів WordPress, не забудьте отримати сертифікат SSL, щоб забезпечити використання захищених клієнтів FTP, приховати будь-які життєво важливі файли та зменшити доступ до них тощо. Ключі безпеки WordPress — це лише один рівень захисту. Не забувайте, що вам потрібно охопити їх усіх.
Підведення підсумків
Забезпечити безпеку вашого сайту WordPress непростий процес, але він вартий усіх зусиль. Використання солі WordPress для забезпечення безпеки процесу автентифікації та збереження ваших даних у разі кібератаки є однією з дій, які ви не можете пропустити. Обов’язково застосовуйте все, про що дізналися в цій статті, для додаткового захисту.
Якщо вам сподобалося читати цю статтю про солі та ключі WordPress, ви повинні переглянути цю про плагін WordPress SSL.
Ми також писали про кілька пов’язаних тем, як -от плагіни сканера зловмисного програмного забезпечення та безпеку WordPress.