Share
Als je ooit het kernconfiguratiebestand hebt bekeken (wp-config.php) voor een WordPress-site hebt u waarschijnlijk een sectie opgemerkt die acht WordPress-constanten definieert met betrekking tot beveiligingssleutels en zouten:
Accentsconagua
INLOGCODESECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTNotitie: wp-config.php bevindt zich standaard in de hoofdmap van uw WordPress-installatie.
Deze constanten bevatten beveiligingssleutels en zouten die intern door WordPress worden gebruikt om een extra laag authenticatie toe te voegen en de beveiliging te verbeteren.
WordPress gebruikt cookies (in plaats van PHP-sessies) om bij te houden wie er momenteel is ingelogd. Deze informatie wordt opgeslagen in cookies in uw browser.
Om ervoor te zorgen dat de authenticatiegegevens zo veilig mogelijk zijn, worden unieke sleutels en zouten gebruikt om het niveau van cookieversleuteling te verhogen. Dit wordt aanbevolen als lange reeksen (meestal 64 tekens lang) van willekeurige alfanumerieke tekens en symbooltekens.
De INLOGCODE, SECURE_AUTH_KEY, en LOGGED_IN_KEY beveiligingssleutelconstanten zijn toegevoegd in WordPress 2.6, waarmee een enkele all-in-one sleutel werd vervangen die voor het eerst werd geïntroduceerd in WordPress 2.5.
NONCE_KEY is kort daarna toegevoegd, in WordPress 2.7. Overeenkomstige zouten AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, en NONCE_SALT werden samen met elke beveiligingssleutel toegevoegd, maar het was pas in WordPress 3.0 dat ze werden toegevoegd wp-config.php.
Vóór WordPress 3.0 kon je optioneel je eigen definitie van de zoutconstante toevoegen wp-config.php, anders zouden ze worden gegenereerd door WordPress en worden opgeslagen in de database.
Hoewel de vier beveiligingssleutelconstanten vereist zijn, als u de zoutconstanten uit het WordPress-configuratiebestand verwijdert, laat u ze op hun standaardwaarden staan, of ziet u dat elk zout een duplicaat is van een ander, dan haalt WordPress het zout uit de database op.
Voor nieuwe WordPress-sites worden zouten gegenereerd en opgeslagen in de database.
Tijdens de installatie genereert WordPress geen unieke beveiligingssleutels / zouten in wp-config.php. In plaats daarvan wordt voor elke constante hetzelfde standaardbericht ingevoerd.
Als u zojuist WordPress op een externe server hebt geïnstalleerd, is het raadzaam het standaardbericht voor elke beveiligingssleutel / zoutconstante te wijzigen in een juiste en unieke waarde.
Soms zal uw host dit voor u doen als u WordPress installeert via een aangepast script. Desondanks wilt u de gemoedsrustlezer / -zouten wellicht al snel bijwerken nadat de installatie is voltooid.
Zelfs nadat de beveiligingssleutels en zouten in eerste instantie zijn ingesteld, is het een goed idee om ze zo nu en dan te updaten. Alles wat u kunt doen om uw site veiliger te maken, is over het algemeen een goed idee.
En hoewel het hoogst onwaarschijnlijk is dat uw wachtwoorden (samen met beveiligingssleutels / zouten) kunnen worden verbroken, is het regelmatig bijwerken ervan zinvol, omdat het beschermt tegen onvoorziene omstandigheden, zoals dat uw siteback-ups worden onderschept door ongewenste derden, enz..
Dus hoe werk je je beveiligingssleutels en zouten eigenlijk bij? Laten we een paar verschillende methoden bekijken.
U zou handmatig nieuwe waarden voor elke constante kunnen maken, maar dit is nogal vervelend om te doen, vooral als u meer dan één WordPress-site wilt bijwerken! Ook is elke sleutel / zout mogelijk niet zo veilig als het zou kunnen zijn.
Gelukkig hebben de aardige mensen van WordPress dit proces zeer eenvoudig gemaakt door een API aan te bieden om automatisch de sleutel- / zoutwaarden voor u te genereren. Het enige wat u hoeft te doen is een geheime URL bezoeken:
https://api.wordpress.org/secret-key/1.1/salt/
Wanneer de pagina wordt geladen, krijgt u voor elke constante unieke tekenreeksen te zien, zoals hieronder wordt weergegeven:
Zoals u kunt zien, is elke gegenereerde WordPress-sleutel / zout een willekeurige reeks van 64 tekens. Probeer de pagina een paar keer te vernieuwen om er zeker van te zijn dat de URL elke keer volledig willekeurige toetsen / zouten genereert.
Als u uw WordPress-site lokaal ontwikkelt, kunt u de gegenereerde sleutels / zouten eenvoudig kopiëren en plakken wp-config.php om de bestaande items te vervangen.
Tip: ik raad u aan altijd de bovenstaande URL te gebruiken, die gebruikmaakt van het beveiligde HTTP-protocol.
Hiermee wordt de kans uitgesloten dat iemand de gegenereerde sleutels / zouten onderschept wanneer deze naar u worden teruggestuurd voordat deze in de browser wordt weergegeven.
Als uw site wordt gehost op een externe server, moet u de sleutels / zouten bijwerken en openen of bewerken wp-config.php via het configuratiescherm van uw server of via een FTP-client waarmee u externe bestanden kunt bewerken, zoals FileZilla (gratis).
Als de gedachte aan het handmatig bewerken van externe serverbestanden je hoofd in een spin stuurt, kun je overwegen om in plaats daarvan een plug-in te gebruiken. Dit is een zeer eenvoudige manier om uw beveiligingssleutels / zouten met één klik op de knop bij te werken.
Er zijn verschillende plug-ins beschikbaar om uw beveiligingssleutels en zouten te genereren en bij te werken. Een relatief nieuwe plug-in genaamd Salt Shaker, uitgebracht in oktober 2016, is een lichtgewicht oplossing met de toegevoegde bonus dat je automatische updates van toetsen / zouten kunt plannen wanneer je maar wilt. En het beste van alles, het is gratis. Laten we een kijkje nemen naar hoe het te gebruiken.
Download Salt Shaker vanuit de WordPress-repository of installeer het direct vanuit je WordPress-beheerder op de gebruikelijke manier. Ga naar Plug-ins> Voeg nieuw toe en begin met typen Zout schudder in de Zoek in plug-ins ... tekstvak. Wanneer u de plug-in in de lijst ziet verschijnen, klikt u op Installeer nu.
Nadat de plug-in is geïnstalleerd, een Activeren knop verschijnt. Klik hier om het instellen te voltooien.
Nu de plug-in actief is, kunnen we hem testen. Ga naar voor toegang tot de plug-in-instellingen Gereedschappen> Salt Shaker in de WordPress-beheerder.
Hier kunnen we de beveiligingssleutels / zouten onmiddellijk bijwerken met een enkele muisklik. Zo snel als de Verander nu knop wordt geklikt, een draaiend pictogram verschijnt aan de rechterkant om aan te geven dat de plug-in wordt bijgewerkt wp-config.php. Zodra het pictogram verdwijnt, weet u dat de beveiligingssleutels / zouten zijn bijgewerkt.
Over het algemeen werkt de plug-in zeer goed en kan u mogelijk veel tijd besparen, vooral als u meerdere WordPress-websites heeft. Ik zou misschien graag een paar meer opties zien voor het kiezen van de tijdsintervallen, zoals drie maanden en zes maanden, om de flexibiliteit van de plug-in te vergroten.
Ook zou een bericht dat duidelijk aangeeft wanneer de sleutels / zouten zijn bijgewerkt nuttig zijn - net als een verdere plug-inoptie om automatisch om te leiden naar de inlogpagina nadat de sleutels / zouten zijn bijgewerkt.
Als alternatief kunnen we de Verander WP-sleutels en zouten vakje en kies wanneer wp-config.php constanten worden bijgewerkt. Dit is echt een leuke functie en laat je in principe vergeten om beveiligingssleutels / zouten te updaten. Laat de plug-in het allemaal voor u doen!
Onthoud echter dat wanneer de beveiligingssleutels / zouten worden bijgewerkt, u opnieuw moet inloggen. De reden hiervoor is dat cookies met betrekking tot aanmeldingen ongeldig zijn en dat gebruikers zich dus opnieuw moeten aanmelden om de cookie bij te werken.
Voordat u uw beveiligingssleutels / zouten wijzigt, is het daarom een goed idee om uw aanmeldingsgegevens bij de hand te hebben, zodat u niet per ongeluk buitengesloten bent van uw site.
Als u geen plug-in wilt gebruiken en veel externe WordPress-sites hebt, kunt u overwegen een script te gebruiken om de beveiligingssleutels / zouten rechtstreeks bij te werken..
Het nadeel hiervan is dat je bedreven moet zijn in scripting. Er zijn echter verschillende kant-en-klare oplossingen beschikbaar, zodat u niet per se uw eigen hoeft te coderen.
Een dergelijk script, genaamd WP-Salts-Update-CLI door Ahmad Awais, werkt beveiligingssleutels / zouten op uw lokale computer of externe server bij.
Om dit script op uw computer te installeren (alleen macOS), opent u een terminalvenster en voert u het volgende in:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo install ./wpsucli / usr / local / bin / wpsucli
Hierdoor wordt een uitvoerbaar script wereldwijd beschikbaar via de wpsucli commando. U kunt het op uw lokale computer uitvoeren om actief te zoeken naar alle exemplaren van WordPress-configuratiebestanden en de beveiligingssleutels / zouten vervangen door nieuwe waarden rechtstreeks vanuit de API API-URL van de WordPress geheime sleutel.
Wanneer u het script op een externe server uitvoert, wordt het aangeraden dit vanuit de hoofdmap te doen, d.w.z.. cd /, en ren dan wpsucli. Zie de hoofdinformatiepagina voor meer informatie over het script.
In deze zelfstudie hebben we behandeld welke WordPress-beveiligingssleutels / zouten zijn en waarom het belangrijk is om deze periodiek bij te werken. We hebben ook gekeken naar verschillende manieren waarop u ze kunt bijwerken, van handmatig kopiëren / plakken (als u directe toegang tot hebt wp-config.php) om een plug-in te gebruiken om het proces volledig te automatiseren. Als u bekend bent met de opdrachtregel, kunt u ook een aangepast script gebruiken om lokale / externe sites vrij eenvoudig bij te werken.
Het nadeel is dat je nog steeds handmatig scripts moet uitvoeren die je gemakkelijk kunt vergeten, dus in plaats van dit in je werkschema te moeten plannen, kan het gebruik van een plug-in om het proces te automatiseren de beste manier zijn om te gaan.
Welke methode u ook kiest, het belangrijkste is om te onthouden dat u een extra beveiligingslaag toevoegt aan uw WordPress-site (s), en alles wat u kunt doen om dat met minimale inspanning te bereiken, kan alleen maar goed zijn!
En als u op zoek bent naar andere hulpprogramma's waarmee u uw groeiende verzameling hulpprogramma's voor WordPress kunt uitbreiden of voor code die u kunt bestuderen en meer vertrouwd kunt raken met WordPress, vergeet dan niet te zien wat we beschikbaar hebben in Envato Market.
