Share
Wenn Sie sich die Kernkonfigurationsdatei jemals angesehen haben (wp-config.php) Für eine WordPress-Site haben Sie wahrscheinlich einen Abschnitt entdeckt, der acht WordPress-Konstanten für Sicherheitsschlüssel und -salze definiert:
Accentsconagua
AUTHENTIFIZIERUNGSSCHLÜSSELSECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTHinweis: wp-config.php befindet sich standardmäßig im Stammverzeichnis Ihrer WordPress-Installation.
Diese Konstanten enthalten Sicherheitsschlüssel und -salze, die intern von WordPress verwendet werden, um eine zusätzliche Authentifizierungsebene hinzuzufügen und die Sicherheit zu erhöhen.
WordPress verwendet Cookies (anstelle von PHP-Sitzungen), um zu verfolgen, wer gerade angemeldet ist. Diese Informationen werden in Cookies in Ihrem Browser gespeichert.
Um sicherzustellen, dass die Authentifizierungsdetails so sicher wie möglich sind, werden eindeutige Schlüssel und Salze verwendet, um die Cookie-Verschlüsselung zu erhöhen. Es wird empfohlen, lange Zeichenfolgen (in der Regel 64 Zeichen) aus beliebigen alphanumerischen Zeichen und Symbolzeichen zu verwenden.
Das AUTHENTIFIZIERUNGSSCHLÜSSEL, SECURE_AUTH_KEY, und LOGGED_IN_KEY Sicherheitsschlüsselkonstanten wurden in WordPress 2.6 hinzugefügt, wodurch ein einzelner All-in-One-Schlüssel ersetzt wurde, der erstmals in WordPress 2.5 eingeführt wurde.
NONCE_KEY wurde kurz danach in WordPress 2.7 hinzugefügt. Entsprechende Salze AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, und NONCE_SALT wurden mit jedem Sicherheitsschlüssel hinzugefügt, aber erst mit WordPress 3.0 wurden sie hinzugefügt wp-config.php.
Vor WordPress 3.0 können Sie optional Ihre eigenen Definitionen der Salzkonstanten hinzufügen wp-config.php, Andernfalls würden sie von WordPress generiert und in der Datenbank gespeichert.
Während die vier Sicherheitsschlüsselkonstanten erforderlich sind, wenn Sie die Salt-Konstanten aus der WordPress-Konfigurationsdatei entfernen, sie auf ihren Standardwerten belassen oder ein Salt als Duplikat eines anderen gefunden wird, ruft WordPress stattdessen den Salt aus der Datenbank ab.
Bei neuen WordPress-Sites werden Salze generiert und in der Datenbank gespeichert.
Während der Installation generiert WordPress keine eindeutigen Sicherheitsschlüssel / -salze wp-config.php. Stattdessen wird für jede Konstante dieselbe Standardnachricht eingegeben.
Wenn Sie WordPress gerade auf einem Remote-Server installiert haben, wird empfohlen, dass Sie die Standardnachricht für jeden Sicherheitsschlüssel / jede Salt-Konstante in einen korrekten und eindeutigen Wert ändern.
Manchmal führt der Host dies für Sie durch, wenn Sie WordPress über ein benutzerdefiniertes Skript installieren. Aus Sicherheitsgründen möchten Sie möglicherweise trotzdem die Sicherheitsschlüssel / -salze aktualisieren, sobald die Installation abgeschlossen ist.
Selbst nachdem die Sicherheitsschlüssel und die Salze eingestellt wurden, ist es eine gute Idee, sie regelmäßig zu aktualisieren. Alles, was Sie tun können, um Ihre Website sicherer zu machen, ist im Allgemeinen eine gute Idee.
Auch wenn es höchst unwahrscheinlich ist, dass Ihre Passwörter (zusammen mit Sicherheitsschlüsseln / Sicherheitsalgorithmen) beschädigt werden könnten, ist eine regelmäßige Aktualisierung der Informationen sinnvoll, da sie vor unvorhergesehenen Umständen schützt, z. B. dass Ihre Websitesicherungen von unerwünschten Dritten abgefangen werden.
Wie aktualisieren Sie Ihre Sicherheitsschlüssel und -salze? Schauen wir uns ein paar verschiedene Methoden an.
Sie können für jede Konstante manuell neue Werte erstellen. Dies ist jedoch recht mühsam, insbesondere wenn Sie mehrere WordPress-Sites aktualisieren möchten! Außerdem ist jeder Schlüssel / Salt möglicherweise nicht so sicher, wie er sein könnte.
Glücklicherweise haben die netten Leute bei WordPress diesen Prozess sehr einfach gemacht, indem sie eine API zur automatischen Generierung der Schlüssel- / Salzwerte für Sie bereitstellen. Alles, was Sie tun müssen, ist den Besuch einer geheimen Schlüssel-URL:
https://api.wordpress.org/secret-key/1.1/salt/
Wenn die Seite geladen wird, werden für jede Konstante eindeutige Zeichenfolgen angezeigt (siehe unten):
Wie Sie sehen, ist jeder generierte WordPress-Schlüssel / Salt eine zufällige Folge von 64 Zeichen. Aktualisieren Sie die Seite ein paar Mal, um sich zu vergewissern, dass die URL jedes Mal vollständig zufällige Schlüssel / Salze generiert.
Wenn Sie Ihre WordPress-Site lokal entwickeln, können Sie die generierten Schlüssel / Salze einfach direkt kopieren und einfügen wp-config.php die vorhandenen Einträge ersetzen.
Tipp: Ich würde empfehlen, immer die oben genannte URL zu verwenden, die das sichere HTTP-Protokoll verwendet.
Dadurch wird effektiv die Möglichkeit beseitigt, dass die generierten Schlüssel / Salze abgefangen werden, wenn sie an Sie zurückgegeben werden, bevor sie im Browser angezeigt werden.
Wenn Ihre Site auf einem Remote-Server gehostet wird, müssen Sie zum Aktualisieren der Schlüssel / Salze entweder darauf zugreifen und sie bearbeiten wp-config.php über Ihr Server-Bedienfeld oder über einen FTP-Client, mit dem entfernte Dateien wie FileZilla (kostenlos) bearbeitet werden können.
Wenn der Gedanke, Remote-Server-Dateien manuell zu bearbeiten, Ihren Kopf in eine Rotation versetzt, sollten Sie stattdessen ein Plugin verwenden. Dies ist eine sehr einfache Möglichkeit, Ihre Sicherheitsschlüssel / -salze auf Knopfdruck zu aktualisieren.
Es stehen verschiedene Plugins zur Verfügung, mit denen Sie Ihre Sicherheitsschlüssel und Sicherheitsalgorithmen erstellen und aktualisieren können. Ein relativ neues Plugin namens Salt Shaker, das im Oktober 2016 veröffentlicht wurde, ist eine leichte Lösung mit dem zusätzlichen Vorteil, dass Sie automatische Updates von Schlüsseln / Salzen planen können, wann immer Sie möchten. Und das Beste ist, es ist kostenlos. Lassen Sie uns einen Blick auf die Verwendung werfen.
Laden Sie Salt Shaker aus dem WordPress-Repository herunter oder installieren Sie es wie gewohnt direkt von Ihrem WordPress-Administrator. Gehe zu Plugins> Neu hinzufügen und anfangen zu tippen Salzstreuer in dem Plugins suchen… Textfeld. Wenn das Plugin in der Liste angezeigt wird, klicken Sie auf Jetzt installieren.
Nachdem das Plugin installiert ist, erscheint ein aktivieren Sie Schaltfläche erscheint. Klicken Sie hier, um das Setup abzuschließen.
Nun, da das Plugin aktiv ist, können wir es testen. Um auf die Plugin-Einstellungen zuzugreifen, gehen Sie zu Werkzeuge> Salzstreuer in der WordPress-Admin.
Hier können wir die Sicherheitsschlüssel / -salze sofort mit einem einzigen Mausklick aktualisieren. Sobald Jetzt ändern Wenn Sie auf die Schaltfläche klicken, wird rechts ein sich drehendes Symbol angezeigt, um anzuzeigen, dass das Plugin aktualisiert wird wp-config.php. Sobald das Symbol verschwindet, wissen Sie, dass die Sicherheitsschlüssel / -salze aktualisiert wurden.
Insgesamt funktioniert das Plugin sehr gut und kann potenziell viel Zeit sparen, insbesondere wenn Sie mehrere WordPress-Websites haben. Ich möchte vielleicht ein paar weitere Optionen für die Auswahl der Zeitintervalle, wie etwa drei Monate und sechs Monate, um die Flexibilität des Plugins zu erhöhen.
Eine Meldung, die eindeutig angibt, wann die Schlüssel / Salze aktualisiert wurden, wäre ebenfalls nützlich - ebenso wie eine weitere Plugin-Option, um automatisch auf die Anmeldeseite umzuleiten, nachdem die Schlüssel / Salze aktualisiert wurden.
Alternativ können wir das überprüfen WP-Schlüssel und Salze ändern Box und wählen Sie wann wp-config.php Konstanten werden aktualisiert. Dies ist eine wirklich nette Funktion und ermöglicht es Ihnen, die Aktualisierung von Sicherheitsschlüsseln / -salzen zu vergessen. Lassen Sie das Plugin alles für Sie tun!
Denken Sie jedoch daran, dass Sie sich bei jeder Aktualisierung der Sicherheitsschlüssel / -salze erneut anmelden müssen. Dies liegt daran, dass Cookies, die sich auf Anmeldungen beziehen, ungültig werden, und dass sich Benutzer erneut anmelden müssen, um das Cookie zu aktualisieren.
Bevor Sie Ihre Sicherheitsschlüssel / -Salze ändern, sollten Sie daher Ihre Anmeldeinformationen zur Hand haben, damit Sie nicht versehentlich von Ihrer Website gesperrt werden.
Wenn Sie kein Plugin verwenden möchten und viele Remote-WordPress-Sites haben, können Sie die Verwendung eines Skripts zur direkten Aktualisierung der Sicherheitsschlüssel / -salces in Betracht ziehen.
Der Nachteil ist, dass Sie sich mit Skripting auskennen müssen. Es gibt jedoch mehrere vorgefertigte Lösungen, so dass Sie nicht unbedingt eigene programmieren müssen.
Ein solches Skript, von Ahmad Awais WP-Salts-Update-CLI genannt, aktualisiert Sicherheitsschlüssel / -salze auf Ihrem lokalen Computer oder Remote-Server.
Um dieses Skript auf Ihrem Computer zu installieren (nur MacOS), öffnen Sie ein Terminalfenster und geben Sie Folgendes ein:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo install ./wpsucli / usr / local / bin / wpsucli
Dadurch wird ein ausführbares Skript über das Verzeichnis global verfügbar wpsucli Befehl. Sie können es auf Ihrem lokalen Computer ausführen, um aktiv nach allen Instanzen von WordPress-Konfigurationsdateien zu suchen und die Sicherheitsschlüssel / -salze durch neue Werte direkt aus der WordPress-URL für den geheimen Schlüssel zu ersetzen.
Wenn Sie das Skript auf einem Remote-Server ausführen, wird empfohlen, dies vom Stammordner aus durchzuführen, d. cd /, und dann rennen wpsucli. Weitere Informationen zum Skript finden Sie auf der Hauptinformationsseite.
In diesem Tutorial haben wir beschrieben, was WordPress-Sicherheitsschlüssel / -Salze sind und warum es wichtig ist, sie regelmäßig zu aktualisieren. Wir haben auch verschiedene Möglichkeiten zum Aktualisieren untersucht, vom manuellen Kopieren / Einfügen (wenn Sie direkten Zugriff darauf haben) wp-config.php) zur Verwendung eines Plugins, um den Prozess vollständig zu automatisieren. Wenn Sie mit der Befehlszeile vertraut sind, können Sie auch ein benutzerdefiniertes Skript verwenden, um lokale / Remote-Standorte relativ einfach zu aktualisieren.
Der Nachteil ist, dass Sie Skripts immer noch manuell ausführen müssen, was leicht vergessen werden kann. Anstatt dies in Ihren Arbeitsablauf einzuplanen, ist die Verwendung eines Plugins zur Automatisierung des Prozesses der beste Weg.
Für welche Methode Sie sich auch entscheiden, Sie sollten immer daran denken, dass Sie Ihren WordPress-Sites eine weitere Sicherheitsebene hinzufügen. Alles, was Sie tun können, um dies mit minimalem Aufwand zu erreichen, kann nur eine gute Sache sein!
Wenn Sie nach anderen Dienstprogrammen suchen, die Sie dabei unterstützen, Ihre wachsenden Tools für WordPress zu entwickeln, oder um Code zu lernen, der sich mit WordPress auskennt, sollten Sie nicht vergessen, was wir in Envato Market zur Verfügung haben.
