Om du driver en WordPress-webbplats har du förmodligen undrat om du gör tillräckligt för att hålla den säker. Starka lösenord och uppdaterade plugins är en bra början, men det finns ytterligare ett skyddslager som många webbplatsägare missar.
Ange WordPress säkerhetsnycklar.
Dessa nycklar är en kraftfull funktion som omedelbart kan stärka ditt webbplatsens försvar. De hjälper till att skydda mot hackningsförsök, särskilt kring inloggning och autentisering.
Bakom kulisserna krypterar de känsliga data för att förhindra att angripare kapar sessioner eller smyger sig in på din webbplats.
I den här guiden går vi igenom allt du behöver veta om WordPress säkerhetsnycklar. Från att förstå vad de gör till att tillämpa dem korrekt på din webbplats, hjälper vi dig att sova bättre med vetskapen om att din WordPress-webbplats har detta säkerhetslager på plats. 🛡️
Vad är WordPress-säkerhetsnycklar och SALTs?
Kort sagt, WordPress säkerhetsnycklar är krypteringsverktyg som skyddar din inloggningsinformation genom att göra den svårare att avkoda. SALTs, å andra sidan, lägger till slumpmässig data till denna krypterade information, vilket lägger till ytterligare ett säkerhetslager till dina lagrade inloggningsuppgifter.
WordPress säkerhetsnycklar fungerar precis som riktiga nycklar och används för att låsa och låsa upp krypterad information, som lösenord, och håller din WordPress-sida säker.
Så här fungerar det.
I grund och botten, när du loggar in på en WordPress-webbplats, lagras din information i din dators cookies. Detta gör att du kan fortsätta arbeta på din webbplats utan att behöva logga in varje gång en sida laddas.
All information lagras i krypterad form genom att omvandla den till en sträng av alfanumeriska tecken och specialtecken. Dessa krypterade data kan översättas med hjälp av WordPress säkerhetsnycklar. Utan nycklarna är dessa data nästan omöjliga att knäcka.
Din WordPress-webbplats genererar automatiskt dessa säkerhetsnycklar och lagrar dem i din WordPress-konfigurationsfil (wp-config.php).
Det finns totalt fyra säkerhetsnycklar:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Förutom WordPress-säkerhetsnycklar hittar du även följande SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Salter lägger till extra information till din krypterade information, vilket ger ytterligare ett säkerhetslager för dina krypterade data.
Varför använda WordPress säkerhetsnycklar?
WordPress säkerhetsnycklar skyddar din webbplats mot hackningsförsök genom att göra dina lösenord säkra.
Till exempel kan ett vanligt lösenord med medelsvårighetsgrad enkelt knäckas med hjälp av brute force-attacker.
Å andra sidan tar en lösenordssträng som '7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49' år att dekryptera utan att känna till säkerhetsnycklarna.
Det är därför du aldrig ska dela WordPress säkerhetsnycklar med någon och skydda dem som du normalt skyddar känslig information online.
Med det i åtanke kommer vi att titta på hur man använder WordPress säkerhetsnycklar för att skydda din WordPress-webbplats. Här är en snabb översikt över alla ämnen vi kommer att dela i följande avsnitt:
- Hur använder man WordPress säkerhetsnycklar?
- Hur man återskapar WordPress-säkerhetsnycklar med ett plugin?
- Bonustips: Lägg till extra skydd med tvåfaktorsautentisering (2FA)
- Vanliga frågor om WordPress säkerhetsnycklar
- Ytterligare resurser för starkare säkerhet för WordPress-webbplatser
Låt oss dyka in!
Hur använder man WordPress säkerhetsnycklar?
Generellt sett behöver du inte göra något extra eftersom WordPress i de flesta fall automatiskt genererar och använder säkerhetsnycklar + salter vid varje ny WordPress-installation.
Du kan visa dina WordPress-säkerhetsnycklar och salter genom att använda en FTP-klient eller File Manager-appen i kontrollpanelen för ditt WordPress-värdkonto.
Anslut helt enkelt till din webbplats och öppna filen wp-config.php. Inuti den ser du dina WordPress säkerhetsnycklar definierade.
Beroende på hur du ursprungligen installerade WordPress kan din webbplats dock sakna säkerhetsnycklar helt.
Om dina säkerhetsnycklar är tomma, oroa dig inte. Du kan enkelt lägga till dem manuellt genom att gå till sidan WordPress Security Key Generator för att generera en ny uppsättning nycklar.
Kopiera och klistra sedan in dessa nycklar i din wp-config.php-fil, så är du klar.
Du kan använda samma metod för att radera dina nuvarande WordPress-säkerhetsnycklar och ersätta dem med nya nycklar.
📝 Notering: När du byter ut säkerhetsnycklarna kommer alla användare att tvingas logga in igen, vilket är bra för säkerheten.
Hur man återskapar WordPress-säkerhetsnycklar med ett plugin?
Om du misstänker att din webbplats är hackad, då måste du generera om WordPress-säkerhetsnycklar och byta dina lösenord.
Du kan manuellt kopiera och klistra in nya säkerhetsnycklar, som nämnts ovan. Du kan dock också använda ett plugin. På så sätt kan du också ställa in ett schema för att automatiskt generera om säkerhetsnycklar regelbundet.
1. Uppdatera WordPress-säkerhetsnycklar med Sucuri
Det enklaste sättet att automatiskt regenerera WordPress säkerhetsnycklar är att använda Sucuri. Det är ett av de bästa WordPress säkerhetsplugins på marknaden som skyddar din WordPress-webbplats mot vanliga hot.
För mer information om verktyget kan du kolla in vår omfattande Sucuri-recension.
För att komma igång är det första du behöver göra att installera och aktivera pluginet Sucuri Security. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Vid aktivering vill du besöka sidan Sucuri Security » Settings och växla till fliken 'Post-Hack'.
Härifrån klickar du helt enkelt på knappen 'Generera nya säkerhetsnycklar' under avsnittet 'Uppdatera hemliga nycklar'.
📝 Notera: Att generera nya säkerhetsnycklar kommer att logga ut dig från WordPress-adminområdet, och du måste logga in igen.
Därefter, gå tillbaka till sidan Sucuri Security » Settings och byt till fliken 'Post-Hack' igen.
Under sektionen för säkerhetsnycklar, aktivera 'Automatisk uppdatering av hemliga nycklar' genom att välja en frekvens (dagligen, veckovis, månadsvis, årligen).
Klicka sedan på knappen 'Skicka'.
Sucuri kommer nu automatiskt att återställa dina WordPress-säkerhetsnycklar baserat på din valda frekvens.
2. Uppdatera WordPress säkerhetsnycklar med Salt Shaker
Den här metoden är för användare som inte använder Sucuri och behöver automatisera generering av säkerhetsnycklar.
Först måste du installera och aktivera pluginet Salt Shaker. För mer information, se vår steg-för-steg-guide om hur man installerar ett WordPress-plugin.
Vid aktivering måste du besöka sidan Verktyg » Salt Shaker för att konfigurera plugin-inställningarna.
Härifrån kan du ställa in ett schema för att generera säkerhetsnycklar automatiskt. Du kan också bara klicka på knappen 'Ändra nu' för att omedelbart generera om säkerhetsnycklarna.
Bonustips: Lägg till extra skydd med tvåfaktorsautentisering (2FA)
Att lägga till tvåfaktorsautentisering (2FA) tillsammans med dina WordPress-säkerhetsnycklar kan göra din webbplats ännu säkrare.
Även om någon lyckas få en av dina säkerhetsnycklar, behöver de fortfarande ett andra verifieringssteg för att logga in. Detta gör det mycket svårare för hackare att ta sig in på din webbplats.
Att ställa in 2FA på WordPress är enkelt med plugins som Google Authenticator eller Authy.
Generellt sett behöver du bara installera och aktivera din valda autentiserare och sedan följa installationsprocessen för att länka den till ditt konto. När det är inställt, aktivera 2FA för dig själv och andra användare för att lägga till ett extra säkerhetslager vid inloggning.
För detaljerade steg-för-steg-instruktioner, läs vår guide om att lägga till tvåfaktorsautentisering i WordPress.
Vanliga frågor om WordPress säkerhetsnycklar
Har du frågor om WordPress-säkerhetsnycklar? Här är några av de vanligaste – besvarade.
Vad händer om min wp-config.php-fil inte har säkerhetsnycklar?
Om din wp-config.php-fil saknar säkerhetsnycklar, kommer WordPress att skapa dem automatiskt för den aktuella sessionen.
Denna metod är dock inte lika säker. Utan permanenta nycklar definierade i din fil är krypteringen som skyddar dina inloggningskakor svagare. Detta gör din webbplats mer sårbar för attacker.
Hur ofta bör jag byta mina WordPress-säkerhetsnycklar?
För de flesta webbplatser finns det inget behov av att byta dina nycklar enligt ett regelbundet schema.
Om du däremot misstänker att din webbplats har hackats eller komprometterats, bör du uppdatera den omedelbart. När du ändrar dina nycklar loggas alla användare automatiskt ut. Detta hjälper till att säkra din webbplats genom att stoppa all obehörig åtkomst som kan ha inträffat.
Räcker det att ändra mina säkerhetsnycklar efter att min webbplats har blivit hackad?
Nej, att byta dina säkerhetsnycklar är bara ett viktigt steg. Du bör också byta alla användares lösenord, skanna din sida efter skadlig kod, ta bort alla misstänkta användarkonton och överväga att återställa från en ren säkerhetskopia.
Ytterligare resurser för starkare säkerhet för WordPress-webbplatser
Vi hoppas att den här artikeln hjälpte dig att förstå WordPress säkerhetsnycklar och hur du använder dem. Därefter kanske du också vill se våra guider om:
- Bästa WordPress brandväggspluggar jämförda
- Hur man utför en WordPress-säkerhetsrevision
- Nybörjarguide till WordPress användarroller och behörigheter
- Hur du får ett gratis SSL-certifikat för din WordPress-webbplats
- Hur man åtgärdar felet med säker anslutning i WordPress
- Bästa WordPress backup-plugins jämförda (fördelar och nackdelar)
- Ultimata guiden för säkerhetskopiering av din WordPress-webbplats
- Den ultimata guiden till WordPress-säkerhet – steg för steg
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Samuel
wow!, tack så mycket för den här artikeln, jag har alltid sett dessa nycklar i wp-config-filen men vet inte vilken funktion de har. den här artikeln belyser deras användning. jag vill dock ställa en fråga. om jag byter dessa säkerhetsnycklar utan att byta mitt lösenord, skulle det påverka lösenordet? jag är bara nyfiken.
WPBeginner Support
Säkerhetsnycklarna påverkar inte dina användarlösenord direkt, så det bör inte ske någon ändring av ditt lösenord.
Admin
Samuel
Tack så mycket för att du klargjorde denna fråga. Jag tänkte initialt att det kunde påverka lösenorden.
Mrteesurez
Jag hör bara ‘SALT’ här i det här inlägget, vad är skillnaden mellan SALT och KEY?
Kan jag bara uppdatera dessa nycklar även om jag inte misstänkte något hackningsförsök?
Om ja, hur ofta bör det ändras?? Tack.
WPBeginner Support
Det beror på dina personliga preferenser, men de kan ändras så ofta som varje vecka eller en gång i kvartalet beroende på hur mycket du vill fokusera på att ändra dem.
Admin
Jiří Vaněk
Angående säkerhetsnycklar stötte jag på ett problem när jag migrerade webbplatsen till en ny databas. Även efter att ha ändrat anslutningen i wp-config.php-filen vägrade WordPress att ansluta till den nya databasen och rapporterade ett 'anslutningsfel'. Till slut var jag tvungen att ta bort den gamla wp-config.php, ladda upp en ny från installationspaketet, ange anslutningen till den nya databasen igen, och sedan fungerade allt. Det verkar som att nycklarna i wp-config.php-filen var boven.
Josh
Hur ofta rekommenderar du att byta nycklar? Kvartalsvis som visas i skärmdumpen?
WPBeginner Support
Vi har för närvarande ingen specifik rekommenderad uppdateringstid förutom efter en hackning på din webbplats som ett minimum.
Admin
Bjornen Nilsson
Hej,
FRÅGA »
Kommer det att påverka något annat än "extremt" ökad säkerhet om webbläsaren är inställd på att radera all historik, temporära filer, cookies etc. varje gång den stängs ner OCH om man ändrar SALT i wp-config efter att ha loggat ut varje gång?
Tack!
shanderman
Hej,
Jag har 2 produkt-URL:er, för 1 produkt. Som denna:
example.com/?product=product-name
example.com/product/product-name/
varför? hur ska jag fixa det? snälla hjälp mig.
WPBeginner Support
Hej shanderman,
Besök sidan Inställningar » Permalänkar för att säkerställa att din WordPress-webbplats använder SEO-vänliga URL:er.
Visa därefter din webbplats källkod och se till att den visar det URL-format du gillar.
Den fula URL-strukturen kommer fortfarande att fungera i WordPress om du skrev in den i webbläsaren. Din produkts kanoniska URL kommer dock att vara den du väljer på sidan för permalinksinställningar. Detta är de URL:er som sökmotorer kommer att följa och indexera.
Admin
sam
Jag är nybörjare på Wordpress, jag har en fråga om hur dessa nycklar gör Wordpress säkert? Jag vill veta nycklarnas faktiska roll och funktion?
Kishan Dalsania
Vilken är den faktiska fördelen med att använda dessa nycklar i config.php. Kan du definiera hur det kommer att fungera för att förhindra hackare?
sam
Hej, jag har använt den här metoden och kan inte logga in på min webbplats alls. Hur fixar jag det eller tar bort problemen
WPBeginner Support
Ta en titt på vår handledning om vad du ska göra när du är utelåst från WordPress-adminområdet.
Admin
kOoLiNuS
Bara en snabb fråga... Varför föreslår du att:
Istället för det senare? Har du några länkar som stöder det här tillvägagångssättet?
Tack på förhand!
Nick
I wordpress 3.1 genereras dessa nycklar automatiskt.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Uppskattar denna information och uppdaterade snabbt mina filer. Min oro är densamma som Ricks från april, att om min wp-config.php-fil hackas så är dessa nycklar tillgängliga för den som tittar på dem, eller hur? Men då tänkte jag att om min wp-fil hackas och någon annan än jag tittar på dem så är jag redan i problem...
Alla försiktighetsåtgärder är dock bättre än att bara hoppas på det bästa! Tack för ditt arbete och dina ansträngningar.
Keith Davis
Hej
Tack för ett kort och informativt inlägg.
Jag märker att det i ditt exempel finns fyra hemliga nycklar.
Det verkar finnas fler hemliga nycklar i Wordpress 3.0 – kan dessa läggas till tidigare versioner av Wordpress?
Redaktionell personal
Dessa nycklar blir tillgängliga med WordPress 3.0
Admin
Dave
Du behöver använda 3.0 för att utnyttja alla åtta hemliga nycklar, snarare än de tidigare fyra. Den nya WordPress slumpmässiga nyckelgeneratorn finns på https://api.wordpress.org/secret-key/1.1/salt
Rick
Ehm, så ändrar detta ditt administratörslösenord eller vad? Jag förstår inte vad detta gör? Kanske beror det på att jag inte är en hacker. Men om detta bara lagras i din config.php-fil, skulle det inte vara mycket enklare för en hacker att hacka sig in på din ftp-sida och stjäla denna säkerhetsnyckel ur konfigurationsfilen?
Jag vill att mina WordPress-webbplatser ska vara säkrare, men jag förstår bara inte vad detta förhindrar?
Jack
Bra sagt. Instruktionerna är ganska enkla, men jag tror att säkerheten och tryggheten är underbetonad i dokumentationen. Tack för att du förklarade det och gjorde webben till en säkrare plats.
gabrielle
om du utvecklar flera wordpress-webbplatser, skapar du en säkerhetsnyckel för var och en eller använder du samma på alla?
Redaktionell personal
Use a new one
Admin
Konstantin
Medan du ändå håller på:
Varför inte definiera saltkonstanterna och spara dig själv några databasfrågor?!
Det ska se ut så här:
define('AUTH_SALT', 'ange din unika fras här');
define('SECURE_AUTH_SALT', 'ange din unika fras här');
define('LOGGED_IN_SALT', 'ange din unika fras här');
define('NONCE_SALT', 'ange din unika fras här');
Den här artikeln från Digging into Wordpress förklarar fördelarna med denna praxis.
Tony
Tack för att du delar med dig!
Redaktionell personal
Bra idé, tänkte inte ens på det.
Admin
skadad
väldigt praktiskt och viktigt tack för att du delade med dig