Jeśli prowadzisz witrynę WordPress, prawdopodobnie zastanawiałeś się, czy robisz wystarczająco dużo, aby zapewnić jej bezpieczeństwo. Silne hasła i zaktualizowane wtyczki to świetny początek, ale istnieje jeszcze jedna warstwa ochrony, którą wielu właścicieli witryn pomija.
Wprowadź klucze bezpieczeństwa WordPress.
Te klucze to potężna funkcja, która może natychmiast wzmocnić obronę Twojej witryny. Pomagają chronić przed próbami włamań, zwłaszcza podczas logowania i uwierzytelniania.
W tle szyfrują wrażliwe dane, aby zapobiec przejęciu sesji lub włamaniu na Twoją stronę przez atakujących.
W tym przewodniku przeprowadzimy Cię przez wszystko, co musisz wiedzieć o kluczach bezpieczeństwa WordPress. Od zrozumienia, co robią, po prawidłowe zastosowanie ich na swojej stronie, pomożemy Ci lepiej spać, wiedząc, że Twoja witryna WordPress ma tę warstwę bezpieczeństwa. 🛡️
Czym są klucze bezpieczeństwa i SALTy WordPress?
Krótko mówiąc, klucze bezpieczeństwa WordPress to narzędzia szyfrujące, które chronią Twoje dane logowania, utrudniając ich odszyfrowanie. SALTy z kolei dodają losowe dane do tych zaszyfrowanych informacji, dodając kolejną warstwę bezpieczeństwa do Twoich przechowywanych poświadczeń.
Klucze bezpieczeństwa WordPress działają jak prawdziwe klucze i służą do blokowania i odblokowywania zaszyfrowanych informacji, takich jak hasła, zapewniając bezpieczeństwo Twojej witryny WordPress.
Oto jak to działa.
Zasadniczo, gdy logujesz się do strony WordPress, Twoje informacje są przechowywane w ciasteczkach na Twoim komputerze. Pozwala to na dalszą pracę na Twojej stronie bez konieczności ponownego logowania się przy każdym ładowaniu strony.
Wszystkie informacje są przechowywane w zaszyfrowanej formie poprzez konwersję na ciąg znaków alfanumerycznych i specjalnych. Te zaszyfrowane dane można przetłumaczyć za pomocą kluczy bezpieczeństwa WordPress. Bez kluczy te dane są prawie niemożliwe do złamania.
Twoja strona WordPress automatycznie generuje te klucze bezpieczeństwa i przechowuje je w Twoim pliku konfiguracyjnym WordPress (wp-config.php).
Istnieją łącznie cztery klucze bezpieczeństwa:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Oprócz kluczy bezpieczeństwa WordPress, znajdziesz również następujące SALTy.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Soli dodają dodatkowe informacje do zaszyfrowanych danych, co zapewnia kolejną warstwę bezpieczeństwa dla Twoich zaszyfrowanych danych.
Dlaczego używać kluczy bezpieczeństwa WordPressa?
Klucze bezpieczeństwa WordPress chronią Twoją witrynę przed próbami włamania poprzez zabezpieczenie Twoich haseł.
Na przykład, zwykłe hasło o średnim poziomie trudności może zostać łatwo złamane przy użyciu ataków siłowych.
Z drugiej strony, ciąg znaków hasła, taki jak „7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49”, wymaga lat deszyfrowania bez znajomości kluczy bezpieczeństwa.
Dlatego nigdy nie należy udostępniać kluczy bezpieczeństwa WordPressa nikomu i chronić je tak, jak zwykle chronisz poufne informacje online.
Mając to na uwadze, przyjrzymy się, jak używać kluczy bezpieczeństwa WordPress do ochrony Twojej witryny WordPress. Oto szybki przegląd wszystkich tematów, które udostępnimy w następujących sekcjach:
- Jak używać kluczy bezpieczeństwa WordPress?
- Jak odtworzyć klucze bezpieczeństwa WordPress za pomocą wtyczki?
- Dodatkowa wskazówka: Dodaj dodatkową ochronę dzięki uwierzytelnianiu dwuskładnikowemu (2FA)
- Najczęściej zadawane pytania dotyczące kluczy bezpieczeństwa WordPressa
- Dodatkowe zasoby dotyczące silniejszego bezpieczeństwa witryn WordPress
Zacznijmy!
Jak używać kluczy bezpieczeństwa WordPress?
Ogólnie rzecz biorąc, nie musisz robić nic dodatkowego, ponieważ w większości przypadków WordPress automatycznie wygeneruje i użyje kluczy bezpieczeństwa + saltów przy każdej nowej instalacji WordPress.
Możesz wyświetlić swoje klucze bezpieczeństwa i sole WordPress, używając klienta FTP lub aplikacji Menedżer plików na swoim koncie hostingowym WordPress hosting WordPress.
Po prostu połącz się ze swoją stroną internetową i otwórz plik wp-config.php. Wewnątrz zobaczysz zdefiniowane klucze bezpieczeństwa WordPress.
Jednakże, w zależności od sposobu, w jaki pierwotnie zainstalowałeś WordPress, Twoja witryna może w ogóle nie mieć zdefiniowanych kluczy bezpieczeństwa.
Jeśli Twoje klucze bezpieczeństwa są puste, nie martw się. Możesz je łatwo dodać ręcznie, przechodząc do strony Generator kluczy bezpieczeństwa WordPress, aby wygenerować nowy zestaw kluczy.
Następnie skopiuj i wklej te klucze do pliku wp-config.php i gotowe.
Możesz użyć tej samej metody, aby usunąć swoje obecne klucze bezpieczeństwa WordPress i zastąpić je nowymi kluczami.
📝 Uwaga: Po wymianie kluczy bezpieczeństwa wszyscy użytkownicy zostaną zmuszeni do ponownego zalogowania, co jest świetne dla bezpieczeństwa.
Jak odtworzyć klucze bezpieczeństwa WordPress za pomocą wtyczki?
Jeśli podejrzewasz, że Twoja witryna została zhakowana, musisz wygenerować nowe klucze bezpieczeństwa WordPress i zmienić hasła.
Możesz ręcznie kopiować i wklejać nowe klucze bezpieczeństwa, jak wspomniano powyżej. Możesz jednak również użyć wtyczki. W ten sposób możesz również ustawić harmonogram automatycznego regularnego odnawiania kluczy bezpieczeństwa.
1. Aktualizacja kluczy bezpieczeństwa WordPress za pomocą Sucuri
Najprostszym sposobem na automatyczne odtworzenie kluczy bezpieczeństwa WordPress jest użycie Sucuri. Jest to jedna z najlepszych wtyczek bezpieczeństwa WordPress na rynku, która chroni Twoją witrynę WordPress przed powszechnymi zagrożeniami.
Więcej informacji o narzędziu znajdziesz w naszej obszernej recenzji Sucuri.
Aby rozpocząć, pierwszą rzeczą, którą musisz zrobić, to zainstalować i aktywować wtyczkę Sucuri Security. Aby uzyskać więcej szczegółów, zapoznaj się z naszym przewodnikiem krok po kroku na temat jak zainstalować wtyczkę WordPress.
Po aktywacji będziesz chciał odwiedzić stronę Sucuri Security » Ustawienia i przejść do zakładki „Po włamaniu”.
Stąd po prostu kliknij przycisk „Wygeneruj nowe klucze bezpieczeństwa” w sekcji „Zaktualizuj klucze tajne”.
📝 Uwaga: Ponowne wygenerowanie nowych kluczy bezpieczeństwa spowoduje wylogowanie Cię z panelu administracyjnego WordPress i będziesz musiał zalogować się ponownie.
Po tym ponownie przejdź do strony Sucuri Security » Settings i ponownie przełącz się na zakładkę „Post-Hack”.
W sekcji kluczy bezpieczeństwa włącz opcję „Automatyczny aktualizator kluczy tajnych” , wybierając częstotliwość (codziennie, co tydzień, co miesiąc, co rok).
Następnie kliknij przycisk „Prześlij”.
Sucuri będzie teraz automatycznie resetować Twoje klucze bezpieczeństwa WordPress zgodnie z wybraną częstotliwością.
2. Zaktualizuj klucze bezpieczeństwa WordPressa za pomocą Salt Shaker
Ta metoda jest przeznaczona dla użytkowników, którzy nie korzystają z Sucuri i potrzebują zautomatyzować regenerację kluczy bezpieczeństwa.
Najpierw musisz zainstalować i aktywować wtyczkę Salt Shaker. Aby uzyskać więcej szczegółów, zapoznaj się z naszym przewodnikiem krok po kroku na temat jak zainstalować wtyczkę WordPress.
Po aktywacji będziesz musiał odwiedzić stronę Narzędzia » Salt Shaker, aby skonfigurować ustawienia wtyczki.
Stąd możesz ustawić harmonogram automatycznego generowania kluczy bezpieczeństwa. Możesz również po prostu kliknąć przycisk „Zmień teraz”, aby natychmiast wygenerować nowe klucze bezpieczeństwa.
Dodatkowa wskazówka: Dodaj dodatkową ochronę dzięki uwierzytelnianiu dwuskładnikowemu (2FA)
Dodanie uwierzytelniania dwuskładnikowego (2FA) wraz z kluczami bezpieczeństwa WordPress może sprawić, że Twoja witryna będzie jeszcze bezpieczniejsza.
Nawet jeśli komuś uda się zdobyć jeden z twoich kluczy bezpieczeństwa, nadal będzie potrzebował drugiego etapu weryfikacji, aby się zalogować. To znacznie utrudnia hakerom dostęp do twojej witryny.
Konfiguracja 2FA w WordPress jest prosta dzięki wtyczkom takim jak Google Authenticator lub Authy.
Zazwyczaj wystarczy zainstalować i aktywować wybranego authenticatora, a następnie postępować zgodnie z procesem konfiguracji, aby połączyć go ze swoim kontem. Po skonfigurowaniu włącz 2FA dla siebie i innych użytkowników, aby dodać dodatkową warstwę bezpieczeństwa podczas logowania.
Aby uzyskać szczegółowe instrukcje krok po kroku, przeczytaj nasz poradnik na temat dodawania uwierzytelniania dwuskładnikowego w WordPress.
Najczęściej zadawane pytania dotyczące kluczy bezpieczeństwa WordPressa
Masz pytania dotyczące kluczy bezpieczeństwa WordPress? Oto niektóre z najczęstszych pytań – z odpowiedziami.
Co się stanie, jeśli mój plik wp-config.php nie będzie miał kluczy bezpieczeństwa?
Jeśli w pliku wp-config.php brakuje kluczy bezpieczeństwa, WordPress utworzy je automatycznie dla bieżącej sesji.
Jednak ta metoda nie jest tak bezpieczna. Bez stałych kluczy zdefiniowanych w pliku, szyfrowanie chroniące Twoje ciasteczka logowania jest słabsze. To sprawia, że Twoja strona internetowa jest bardziej podatna na ataki.
Jak często powinienem zmieniać klucze bezpieczeństwa WordPress?
W przypadku większości witryn nie ma potrzeby regularnej zmiany kluczy.
Jednak jeśli podejrzewasz, że Twoja witryna została zhakowana lub naruszona, powinieneś ją natychmiast zaktualizować. Po zmianie kluczy wszyscy użytkownicy są automatycznie wylogowywani. Pomaga to zabezpieczyć Twoją witrynę, odcinając wszelki nieautoryzowany dostęp, który mógł wystąpić.
Czy zmiana moich kluczy bezpieczeństwa jest wystarczająca po zhakowaniu mojej strony?
Nie, zmiana kluczy bezpieczeństwa to tylko jeden ważny krok. Powinieneś również zmienić wszystkie hasła użytkowników, przeskanować witrynę pod kątem złośliwego oprogramowania, usunąć wszelkie podejrzane konta użytkowników i rozważyć przywrócenie z czystej kopii zapasowej.
Dodatkowe zasoby dotyczące silniejszego bezpieczeństwa witryn WordPress
Mamy nadzieję, że ten artykuł pomógł Ci zrozumieć klucze bezpieczeństwa WordPress i jak ich używać. Następnie możesz również zapoznać się z naszymi przewodnikami na temat:
- Porównanie najlepszych wtyczek zapory sieciowej dla WordPress
- Jak przeprowadzić audyt bezpieczeństwa WordPress
- Przewodnik dla początkujących po rolach użytkowników i uprawnieniach w WordPressie
- Jak uzyskać darmowy certyfikat SSL dla swojej witryny WordPress
- Jak naprawić błąd bezpiecznego połączenia w WordPress
- Najlepsze wtyczki do tworzenia kopii zapasowych WordPress w porównaniu (zalety i wady)
- Kompleksowy przewodnik po tworzeniu kopii zapasowych witryny WordPress
- Kompleksowy przewodnik po bezpieczeństwie WordPress – krok po kroku
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Samuel
wow!, dziękuję bardzo za ten artykuł, zawsze widziałem te klucze w pliku wp-config, ale nie wiedziałem, jaką funkcję pełnią. ten artykuł rzuca światło na ich użycie. jednak chciałbym zadać pytanie. czy zmiana tych kluczy bezpieczeństwa bez zmiany hasła wpłynie na hasło? Jestem po prostu ciekawy.
Wsparcie WPBeginner
Klucze bezpieczeństwa nie wpływają bezpośrednio na Twoje hasła użytkowników, więc nie powinno być żadnych zmian w Twoim haśle.
Admin
Samuel
Dziękuję bardzo za wyjaśnienie tej kwestii. Początkowo myślałem, że może to wpłynąć na hasła.
Mrteesurez
W tym poście słyszę tylko „SALT” tutaj, jaka jest różnica między SALT a KEY?
Czy mogę po prostu zaktualizować te klucze, nawet jeśli nie podejrzewam żadnej próby włamania?
Jeśli tak, jak często należy je zmieniać?? Dziękuję.
Wsparcie WPBeginner
Zależy to od Twoich osobistych preferencji, ale mogą być zmieniane tak często, jak co tydzień lub raz na kwartał, w zależności od tego, jak bardzo chcesz skupić się na ich zmianie.
Admin
Jiří Vaněk
W kwestii kluczy bezpieczeństwa napotkałem problem podczas migracji witryny do nowej bazy danych. Nawet po zmianie połączenia w pliku wp-config.php, WordPress odmawiał połączenia z nową bazą danych, zgłaszając błąd „establishing error”. Ostatecznie musiałem usunąć stary plik wp-config.php, przesłać nowy z pakietu instalacyjnego, ponownie wprowadzić połączenie z nową bazą danych, a następnie wszystko zadziałało poprawnie. Wydaje się, że klucze w pliku wp-config.php były winowajcą.
Josh
Jak często zalecasz zmianę kluczy? Kwartalnie, jak pokazano na zrzucie ekranu?
Wsparcie WPBeginner
Obecnie nie mamy określonego zalecanego czasu odświeżania, poza minimum po ataku hakerskim na Twoją witrynę.
Admin
Bjornen Nilsson
Cześć,
PYTANIE »
Czy wpłynie to na cokolwiek poza „ekstremalnym” zwiększeniem bezpieczeństwa, jeśli przeglądarka internetowa jest ustawiona tak, aby usuwać całą historię, pliki tymczasowe, pliki cookie itp. za każdym razem, gdy jest zamykana ORAZ jeśli zmieni się SALT w pliku wp-config po każdym wylogowaniu?
Dzięki!
shanderman
Cześć,
Mam 2 adresy URL produktów, dla 1 produktu. Tak jak w tym przykładzie:
example.com/?product=product-name
example.com/product/product-name/
dlaczego? jak mam to naprawić? proszę pomóż mi.
Wsparcie WPBeginner
Cześć shanderman,
Odwiedź stronę Ustawienia » Linki, aby upewnić się, że Twoja witryna WordPress używa przyjaznych dla SEO adresów URL.
Następnie wyświetl kod źródłowy swojej witryny i upewnij się, że wyświetla format adresu URL, który Ci odpowiada.
Brzydka struktura adresu URL nadal będzie działać w WordPressie, jeśli wpiszesz ją w przeglądarce. Jednak kanoniczny adres URL Twojego produktu będzie tym, który wybierzesz na stronie ustawień permalinków. Są to adresy URL, za którymi będą podążać wyszukiwarki i które będą indeksować.
Admin
sam
Jestem początkującym użytkownikiem WordPressa, mam wątpliwość, w jaki sposób te klucze zapewniają bezpieczeństwo WordPress? Chcę poznać rzeczywistą rolę i działanie tych kluczy?
Kishan Dalsania
Jaka jest faktyczna korzyść z używania tych kluczy w config.php. Czy możesz zdefiniować, jak to zadziała, aby zapobiec hakerom?
sam
Cześć, użyłem tej metody i w ogóle nie mogę zalogować się na moją stronę. jak to naprawić lub usunąć problemy
Wsparcie WPBeginner
Zapoznaj się z naszym poradnikiem na temat co zrobić, gdy zostaniesz zablokowany z panelu administracyjnego WordPress.
Admin
kOoLiNuS
Tylko szybkie pytanie... Dlaczego sugerujesz:
Zamiast tego ostatniego? Masz jakieś linki, które popierają to podejście?
Z góry dziękuję!
Nick
W WordPress 3.1 klucze te są generowane automatycznie.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Doceniam te informacje i szybko zaktualizowałem swoje pliki. Moje obawy są takie same jak Ricks z kwietnia, że jeśli mój plik wp-config.php zostanie zhakowany, te klucze będą dostępne dla każdego, kto je przegląda, prawda? Ale potem pomyślałem, że jeśli mój plik wp zostanie zhakowany i ktoś inny niż ja go przegląda, to już mam kłopoty...
Lepsza jest jakakolwiek ostrożność niż tylko liczenie na najlepsze! Dziękuję za Twoją pracę i wysiłki.
Keith Davis
Cześć
Dzięki za krótkiego i informacyjnego posta.
Zauważyłem, że w twoim przykładzie są cztery klucze tajne.
Wydaje się, że w WordPressie 3.0 jest więcej kluczy tajnych – czy można je dodać do poprzednich wersji WordPressa?
Personel redakcyjny
Te klucze stają się dostępne z WordPress 3.0
Admin
Dave
Będziesz potrzebować wersji 3.0, aby wykorzystać wszystkie osiem tajnych kluczy, zamiast poprzednich czterech. Nowy generator losowych kluczy WordPress można znaleźć pod adresem https://api.wordpress.org/secret-key/1.1/salt
Rick
Um, więc czy to zmienia twoje hasło administratora, czy co? Nie rozumiem, co to robi? Może dlatego, że nie jestem hakerem. Ale jeśli jest to przechowywane tylko w twoim pliku config.php, czy nie byłoby znacznie łatwiej dla hakera po prostu włamać się na twoją stronę FTP i zabrać ten klucz bezpieczeństwa z pliku konfiguracyjnego?
Chcę, aby moje witryny WordPress były bezpieczniejsze, ale po prostu nie rozumiem, czego to zapobiega?
Jack
Dobrze powiedziane. Instrukcje są dość proste, ale myślę, że bezpieczeństwo jest niedoceniane w dokumentacji. Dziękuję za wyjaśnienie i uczynienie sieci bezpieczniejszym miejscem.
gabrielle
jeśli tworzysz wiele witryn WordPress, czy tworzysz klucz bezpieczeństwa dla każdej z nich, czy używasz tego samego dla wszystkich?
Personel redakcyjny
Use a new one
Admin
Konstantin
Przy okazji:
Dlaczego nie zdefiniować stałych soli i zaoszczędzić sobie zapytań do bazy danych?!
Powinno to wyglądać tak:
define('AUTH_SALT', 'wstaw tutaj swoją unikalną frazę');
define('SECURE_AUTH_SALT', 'wstaw tutaj swoją unikalną frazę');
define('LOGGED_IN_SALT', 'wstaw tutaj swoją unikalną frazę');
define('NONCE_SALT', 'wstaw tutaj swoją unikalną frazę');
Ten artykuł z Digging into Wordpress wyjaśnia zalety tej praktyki.
Tony
Dzięki za udostępnienie!
Personel redakcyjny
Dobry pomysł, nawet o tym nie pomyślałem.
Admin
uszkodzony
bardzo przydatne i ważne, dziękuję za udostępnienie