Computer >> Máy Tính >  >> Lập trình >> HTML

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Trong các bài viết về bảo mật WordPress, bạn có thể đã xem qua muối WordPress hoặc khóa bảo mật , và tự hỏi đó là những gì. Tóm lại, chúng là các chuỗi ngẫu nhiên được WordPress sử dụng để mã hóa mật khẩu của bạn.

Mật khẩu là một trong những khía cạnh quan trọng nhất của bảo mật trang web, vì vậy bạn nên hiểu cách hoạt động của các khóa muối của WordPress và quan trọng hơn là cách thay đổi chúng khi được yêu cầu.

TL; DR: Thay đổi muối WordPress và khóa bảo mật của trang web của bạn trong vài giây với MalCare. MalCare bảo vệ tin tặc xâm nhập vào trang web của bạn bằng cách hạn chế các nỗ lực đăng nhập, cung cấp tính năng bảo vệ bạo lực tích hợp và tường lửa nâng cao. Đây là biện pháp bảo mật chung cho tất cả mọi người để bạn có thể tập trung vào các khía cạnh khác của việc xây dựng trang web của mình.

Các muối WordPress là gì?

Muối WordPress hoặc khóa bảo mật là các chuỗi ký tự ngẫu nhiên, được WordPress sử dụng để mã hóa tên người dùng và mật khẩu của bạn. Các chuỗi được sử dụng để băm thông tin đăng nhập của bạn, là một thuật ngữ mật mã đề cập đến quá trình mã hóa. Các thông tin xác thực trở nên không thể phân biệt được với các ký tự ngẫu nhiên, và do đó chúng không thể bị đánh cắp hoặc sử dụng để đăng nhập vào trang web của bạn.

Các thuật ngữ muối WordPress và khóa bảo mật WordPress thường được sử dụng thay thế cho nhau, tuy nhiên chúng luôn đề cập đến cùng 8 chuỗi. Có 4 khóa bảo mật— AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY —Và mỗi khóa bảo mật có một muối tương ứng.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Điều rất quan trọng là phải giữ bí mật về muối WP vì vai trò của chúng trong việc bảo vệ thông tin đăng nhập của bạn. Chúng được lưu trữ trong tệp WordPress chính wp-config.php, ngoài thông tin đăng nhập cơ sở dữ liệu và hoàn toàn không được lưu trữ ở bất kỳ nơi nào khác.

Các muối WordPress được sử dụng để làm gì

Các muối WordPress được sử dụng để bảo mật tên người dùng và mật khẩu được lưu trữ trong cookie của trình duyệt. WordPress sử dụng cookie để ghi nhớ nếu bạn đã đăng nhập vào trang web của mình. Ví dụ:nếu bạn đã đăng nhập vào wp-admin của mình nhưng lại vô tình đóng tab trình duyệt, WordPress sẽ không yêu cầu bạn đăng nhập lại. Đây là một tính năng tiện lợi và cookie được nhiều trang web sử dụng để ghi nhớ các tùy chọn và hành động của bạn.


Tuy nhiên, cookie rất dễ bị tấn công, như chúng ta đã thấy với các phiên đánh cắp và chiếm quyền điều khiển cookie. Do đó, điều quan trọng là phải mã hóa bất kỳ thông tin nhạy cảm nào trong đó để tin tặc không thể sử dụng chúng.

Tại sao bạn cần thay đổi khóa bảo mật WordPress và Salts

Vì các khóa và muối bảo mật của WordPress là các chuỗi ngẫu nhiên, chúng có thể được coi là mạnh và duy nhất. Tuy nhiên, vẫn có những trường hợp cần thay đổi chúng. Như chúng tôi đã giải thích trước đây, điều quan trọng là phải giữ các chuỗi này ở chế độ riêng tư. Vì vậy, nếu có khả năng chúng đã bị xâm phạm, bạn cần phải thay đổi chúng ngay lập tức.

Nếu trang web WordPress của bạn bị tấn công bất kỳ lúc nào, đây là một ví dụ điển hình về các khóa muối bị xâm phạm. Với phần mềm độc hại, tin tặc có quyền truy cập trái phép vào các tệp của trang web, bao gồm tệp wp-config.php nơi lưu trữ các muối WP. Do đó, sau khi quét sạch phần mềm độc hại, điều quan trọng là phải thay đổi các khóa muối, cùng với các khuyến nghị khác sau hack. Với MalCare, bạn có thể xóa phần mềm độc hại và thay đổi khóa bảo mật trong vài phút từ cùng một trang tổng quan.

Nó cũng được coi là một phương pháp hay để thay đổi các khóa muối WordPress thường xuyên, giống như cách bạn làm với mật khẩu của mình. Việc thay đổi thông tin xác thực khiến tin tặc khó xâm nhập bảo mật trang web của bạn hơn.

Cách thay đổi các muối WordPress (3 cách)

Có một số cách để thay đổi các khóa muối WordPress trên trang web của bạn:sử dụng plugin hoặc làm như vậy theo cách thủ công. Chúng tôi khuyên bạn nên sử dụng một plugin bảo mật, bởi vì nó dễ dàng hơn nhiều và nó làm được nhiều việc hơn là thay đổi các muối.

1. Sử dụng plugin bảo mật

Cách đơn giản nhất để cập nhật các muối trong WordPress là sử dụng một plugin bảo mật có tính năng này, như MalCare.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Để thay đổi khóa bảo mật với MalCare, tất cả những gì bạn cần làm là:

  1. Đăng nhập vào MalCare
  2. Đi tới phần Bảo mật và Tường lửa
  3. Trong phần Tổng quan về bảo mật, hãy nhấp vào Áp dụng Tăng cường độ cứng
  4. Cuộn xuống phần Paranoid và chọn Thay đổi khóa bảo mật
  5. Nhấp vào Áp dụng
  6. Bạn sẽ cần nhập thông tin đăng nhập FTP của mình vào màn hình tiếp theo
  7. Chọn thư mục nơi WordPress được cài đặt, thường là thư mục public_html
  8. Nhấp vào Áp dụng bản sửa lỗi

Mọi người dùng đã đăng nhập sẽ bị đăng xuất khỏi trang web, nhưng mật khẩu và tên người dùng của họ vẫn được giữ nguyên.

Tại sao chúng tôi đề xuất MalCare

MalCare là một plugin bảo mật WordPress phức tạp để bảo vệ trang web của bạn. Ngoài việc có thể dễ dàng thay đổi các muối và khóa bảo mật, nó còn có trình quét trang web sâu, trình dọn dẹp phần mềm độc hại và tường lửa tiên tiến. Với MalCare, bạn có thể áp dụng nhiều tùy chọn tăng cường độ cứng cho WordPress và thay đổi khóa bảo mật WordPress là một trong số đó.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Các plugin bảo mật khác có thể được sử dụng để thay đổi muối WordPress phím

Là lựa chọn thay thế cho MalCare, bạn cũng có thể sử dụng Sucuri hoặc iThemes Security để thay đổi khóa bảo mật WordPress.

Để thay đổi khóa bảo mật bằng Sucuri, hãy làm như sau:

  1. Truy cập Sucuri Security trên menu điều hướng bên trái
  2. Điều hướng đến Cài đặt
  3. Chọn tab Post-Hack
  4. Đánh dấu vào thông báo "Tôi hiểu rằng không thể hoàn nguyên thao tác này." hộp
  5. Nhấp vào Tạo khoá bảo mật mới

Với Sucuri, bạn cũng có thể lên lịch các khóa được cập nhật tự động.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Để thay đổi khóa bảo mật bằng iThemes, hãy làm theo các bước sau:

  1. Chuyển đến Bảo mật trên menu điều hướng bên trái
  2. Nhấp vào Cài đặt
  3. Từ ngăn bên trái của Cài đặt, nhấp vào biểu tượng menu Công cụ ở dưới cùng
  4. Chọn Change WordPress Salts để mở rộng ngăn
  5. Nhấp vào Run
Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Lưu ý:Mặc dù vậy, chúng tôi không khuyên bạn nên sử dụng một trong hai loại plugin này làm plugin bảo mật vì trình quét phần mềm độc hại của Sucuri không phát hiện phần mềm độc hại một cách hiệu quả; và iThemes là một trong những plugin bảo mật tồi tệ nhất mà chúng tôi từng thấy. Tuy nhiên, cả hai đều có thể thay đổi khóa bảo mật của WordPress, vì vậy họ đã đưa nó vào danh sách này.

2. Sử dụng một plugin chuyên dụng

Nếu bạn chọn không cài đặt plugin bảo mật hoặc bạn đã có plugin mà không có tính năng này, bạn có thể cài đặt plugin Salt Shaker.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Sau khi cài đặt và kích hoạt, plugin salt shaker sẽ xuất hiện trong menu Công cụ của thanh điều hướng bên trái. Nó có một màn hình với tùy chọn thay đổi các muối WordPress ngay lập tức hoặc tự động theo lịch trình. Thats tất cả để có nó.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

Chúng tôi thường không ủng hộ một con ngựa một mẹo cho một plugin, đặc biệt nếu bạn có thể có được chức năng như một phần của một plugin khác. Tuy nhiên, plugin Salt Shaker thực hiện tốt một thủ thuật của nó.

3. Thay đổi các muối WordPress theo cách thủ công

Bạn hoàn toàn có thể thay đổi khóa bảo mật WordPress theo cách thủ công, nhưng chúng tôi thường khuyên bạn không nên lục lọi mã trang web của mình. Trong trường hợp này, bạn sẽ chỉnh sửa tệp wp-config.php , được cho là một trong những tệp lõi WordPress quan trọng nhất. Vì vậy, rủi ro là cao, mặc dù nhiệm vụ tương đối đơn giản.

Trong mọi trường hợp, để thay đổi các muối WordPress theo cách thủ công, bạn cần thực hiện như sau:

1. Nhận các giá trị mới từ trình tạo khóa bí mật của WordPress. Xin lưu ý:bạn sẽ không bao giờ cần những chìa khóa này để sử dụng cá nhân, vì vậy đừng lưu chúng ở bất cứ đâu. Ngoài ra, không thể tránh khỏi việc thử tạo các chuỗi này của riêng bạn.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

2. Sao lưu trang web của bạn . Đây là một biện pháp phòng ngừa cần thiết vì bạn sẽ chỉnh sửa tệp WordPress cốt lõi theo cách thủ công và do đó có khả năng trang web có thể bị hỏng.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

3. Chỉnh sửa tệp wp-config.php . Ở đây bạn có hai lựa chọn:một, bạn có thể tải xuống tệp qua FTP, chỉnh sửa và tải lại tệp đã sửa đổi; hoặc hai, sử dụng SSH để chỉnh sửa tệp trực tiếp trên máy chủ web.

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

4. Tìm Chìa khóa và muối xác thực duy nhất

Hướng dẫn đầy đủ về WordPress Salts và Khóa bảo mật

5. Thay thế mã ở đó và lưu các thay đổi của bạn

Sau khi bạn thay đổi các khóa muối, tất cả người dùng đã đăng nhập sẽ bị đăng xuất khỏi trang web và phải đăng nhập lại. Không có gì xảy ra với thông tin đăng nhập của họ và mật khẩu của họ vẫn được giữ nguyên.

Quan trọng: Đừng lưu chìa khóa ở bất cứ đâu. Bạn sẽ không cần chúng.

Tần suất thay đổi các khóa muối của WordPress

Các trang web WordPress theo mặc định đi kèm với các muối và khóa bảo mật, vì vậy chúng không cần phải cài đặt. Thời điểm duy nhất để thay đổi muối trở nên quan trọng là ngay sau khi hack. Bạn nên giả định rằng nếu trang web của bạn có phần mềm độc hại, thì các khóa đã bị xâm phạm. Biết được hàm băm mật mã được sử dụng trên trang web của bạn cho phép tin tặc lấy được nó dễ dàng hơn.

Các thời điểm khác, bạn có thể cân nhắc việc thay đổi các loại muối là khi bạn thiết lập trang web lần đầu tiên hoặc sáu tháng một lần hoặc lâu hơn. Điều này chỉ làm cho những kẻ tấn công khó tìm ra thông tin đăng nhập của bạn hơn, nhưng nó không phải là bắt buộc.

Những việc khác bạn có thể làm để bảo vệ thông tin đăng nhập của người dùng

Chúng tôi nói đi nói lại, nhưng bảo mật mật khẩu là rất quan trọng để bảo vệ trang web của bạn. Ngoài việc đảm bảo các muối và khóa bảo mật của WordPress được cập nhật và giữ ở chế độ riêng tư, đây là một số điều khác bạn có thể làm:

  • Được bảo vệ bằng vũ lực
  • Thực thi mật khẩu mạnh
  • Yêu cầu mật khẩu duy nhất
  • Yêu cầu mật khẩu không bị phát hiện khi vi phạm dữ liệu
  • Sử dụng xác thực hai yếu tố
  • Giới hạn số lần đăng nhập
  • Tắt XML-RPC

Kết luận

Các muối WordPress giúp bảo vệ thông tin đăng nhập của bạn khỏi bị tin tặc đọc được, trong khi vẫn cho phép cookie duy trì trạng thái đăng nhập vào tài khoản của bạn. Có những lợi ích bảo mật để giữ cho các muối WP được cập nhật thường xuyên, nhưng trừ khi có hack, điều đó không quan trọng.

Nếu bạn cần bất kỳ trợ giúp nào, vui lòng liên hệ với chúng tôi. Chúng tôi muốn nghe ý kiến ​​của bạn!

Câu hỏi thường gặp

Muối WordPress là gì?

Muối WordPress là các chuỗi ký tự ngẫu nhiên dài được WordPress sử dụng để bảo mật thông tin đăng nhập của người dùng đã đăng nhập. Còn được gọi là khóa bảo mật, các muối được sử dụng để tạo các hàm băm mật mã của tên người dùng và mật khẩu cho các mục đích bảo mật.

Tại sao chúng được WordPress gọi là muối?

Muối là một thuật ngữ mật mã đề cập đến dữ liệu ngẫu nhiên được thêm vào thông tin cần thiết trước khi nó được mã hóa. Các muối và khóa bảo mật của WordPress thực hiện chính xác điều đó với tên người dùng và mật khẩu, do đó được gọi là muối.

Tại sao tôi nên thay đổi khóa muối trên WordPress?

Bạn cần thay đổi các muối và khóa bảo mật của WordPress nếu trang web của bạn có phần mềm độc hại. Tin tặc sẽ có quyền truy cập vào các tệp WordPress, bao gồm tệp wp-config.php nơi lưu trữ các muối. Nếu tin tặc có được thông tin này, họ có thể bẻ khóa bất kỳ mật khẩu nào được sử dụng trên trang web của bạn. Do đó, điều quan trọng là phải thay đổi các khóa và muối bảo mật WP sau khi bị hack.

Làm cách nào để thay đổi muối trong WordPress?

Có 3 cách để thay đổi các khóa muối của WordPress:

  1. Sử dụng một plugin bảo mật có các tính năng tăng cường như MalCare
  2. Sử dụng Salt Shaker, một plugin chuyên dụng để thay đổi các muối WordPress
  3. Thay đổi các muối và khóa bảo mật theo cách thủ công trong tệp wp-config.php