Полное руководство по солям и ключам безопасности WordPress

И снова я рад вас видеть, дорогие друзья!

Сегодня я бы хотел рассказать вам о том, что такое соли и ключи безопасности в WordPress. Я думаю что многие о них слышали, но не все знают что это такое. В этой статье я расскрою вам всю правду.

WordPress является одной из самых громких и популярных систем управления контентом в мире. Следовательно, WordPress является частой целью эксплойтов безопасности, таких как атаки brute force (метод перебора пароля), SQL-инъекции, вредоносные программы, межсайтовые сценарии и DDoS-атаки. На самом деле, недавно новый штамм вредоносных программ под названием Clips запускает атаки brute force на сайтах WordPress, кража криптовалюты через захват буфера обмена.

WordPress является настолько же безопасным, насколько и усилия, которые вы вкладываете в повышение безопасности вашего сайта. Как владелец веб-сайта, вы обязаны сохранять бдительность и внедрять упреждающую стратегию безопасности для предотвращения злонамеренных атак. Использование слабых паролей и имен пользователей, неспособность обновить ядро и плагины WordPress, а также низкокачественный хостинг являются одними из самых распространенных ошибок безопасности, которые совершают владельцы сайтов, обеспечивая легкий доступ злоумышленникам.

Ко мне часто поступают вопросы про хостинг, которым я пользуюсь и поэтому решил указать хостинг в статье https://sprinthost.ru. Вы можете попробовать попользоваться хостингом 30 дней бесплатно. Чтобы понять, как будет работать Ваш сайт на этом хостинге просто перенести свой сайт (в этом поможет поддержка хостинга бесплатно) и и таким образом сможете понять подходит хостинг Вам или нет. На этом хостинге находятся сайты с 20 000 тысяч посещаемость и сайты чувствуют себя отлично. Рекомендую! Да, если делать оплату на 1 год то получаете скидку 25%. И что мне нравится - тех. поддержка всегда помогает в технических вопросах, за что им спасибо. Как Вы понимаете не всегда проходит всё гладко и нет желания, чтобы сайт не был доступен тем самым страдал трафик и доход.

WordPress — это по-своему CMS с высокой степенью защиты. Тем не менее, для обеспечения безопасности вашего сайта на WordPress от киберпреступников необходимо повысить уровень безопасности и повысить авторитет в интернете. Простые шаги, такие как обновление ядра WordPress, выбор безопасного хостинг- провайдера WordPress, внимание к безопасности доменных имен и использование безопасного пароля, могут помочь блокировать злонамеренных ботов и злоумышленников.

В этом посте я сосредоточусь на солях и ключах безопасности WordPress и их роли в обеспечении того, чтобы вам не приходилось сталкиваться с последствиями атак вредоносных программ.

Что такое ключи и соли безопасности WordPress?

Когда пользователь входит на сайт WordPress, на компьютере создается несколько файлов cookie (куки). Они используются для проверки личности вошедших в систему пользователей. Если хакер войдет в вашу базу данных или обнаружит ваши куки, он сможет прочитать ваш пароль, что сделает ваш сайт уязвимым для атак.

WordPress использует защитные ключи и соли, чтобы дать вам загадочный вывод, который хранится в базе данных или куки, добавляя уровень безопасности на ваш сайт.

Два из этих файлов cookie:

WordPress_ [хэш] — используется только на странице администратора или на панели инструментов WordPress.
WordPress_logged_in_ [hash] — используется в WordPress, чтобы определить, вошли ли вы в WordPress.

Детали аутентификации, хранящиеся в этих файлах cookie WordPress, хешируются (присваиваются загадочные значения) с использованием случайных шаблонов, указанных в ключах безопасности WordPress.

Ключ безопасности WordPress — это пароль, содержащий случайный, длинный и сложный набор переменных, которые улучшают шифрование, что делает практически невозможным взлом вашего пароля. В последней версии WordPress используются четыре ключа безопасности, каждый из которых имеет соответствующую соль, которая может повысить безопасность вашего веб-сайта на платформе WordPress.

Это:

AUTH_KEY можно использовать для внесения изменений на сайт. Это поможет вам подписать авторизационный cookie для не SSL.
SECURE_AUTH_KEY используется для подписи авторизационного куки для администратора SSL и используется для внесения изменений в веб-сайт.
LOGGED_IN_KEY используется для создания файла cookie для вошедшего в систему пользователя. Его нельзя использовать для внесения изменений на сайт.
NONCE_KEY используется для подписи одноразового ключа. Этот ключ защищает одноразовые номера от генерации, тем самым защищая ваш сайт от атак.

Вы найдете эти ключи и соли аутентификации в файле «wp-config.php», расположенном в корневой папке WordPress.

Соли WordPress — это случайные строки данных, которые хэшируют ключи безопасности и добавляют дополнительный уровень защиты к сайту и вашим учетным данным.

Как вы можете видеть на этом изображении, каждый ключ безопасности имеет соответствующую соль, а именно AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT и NONCE_SALT.

Зачем использовать ключи и соли WordPress?

WordPress использует куки для отслеживания личности пользователей, вошедших на ваш сайт. Эти файлы cookie хранятся в личном кабинете вашего сайта, то есть на стороне клиента. Для лучшего шифрования данные аутентификации (как имя пользователя, так и пароль) хэшируются с использованием набора случайных значений, указанных в ключах безопасности WordPress.

Таким образом, случайно сгенерированный зашифрованный пароль, такой как «65a3ds2873ba27us36sd89s0fc», чрезвычайно трудно взломать по сравнению с не зашифрованным. Следовательно, владельцы сайтов должны использовать ключи безопасности WordPress для защиты файлов cookie своего сайта и предотвращения доступа злоумышленников к сайту.

Как вручную изменить ключи и соли WordPRess

Вы можете настроить секретные ключи и соли вручную или с помощью плагина безопасности WordPress. Если у вас есть собственный сайт WordPress, вам придется добавить ключи безопасности самостоятельно.

Обратите внимание: я рекомендую редактировать файлы WordPress вручную только в том случае, если вы разработчик или вам удобно работать с кодом на среднем или более высоком уровне. Если вы новичок, перейдите к рекомендуемым плагинам ниже.

Во-первых, используйте генератор случайных слов на WordPress, чтобы получить уникальный секретный ключ.

Генерировать ключи

Далее войдите в свой файловый менеджер панели управления или через FTP. Отсюда найдите файл wp-config.php, чтобы изменить его.

Откройте файл и прокрутите вниз до раздела «Authentication Unique Keys and Salts» (Аутентификация уникальных ключей и солей). Здесь вы можете добавить свои секретные ключи, которые вы создали ранее.

После сохранения файла вам потребуется снова войти в систему.

Используйте плагин для обновления ключей и солей

Как и большинство вещей в WordPress, вам не нужно делать это вручную. Несколько плагинов WordPress могут быть использованы для автоматизации процесса от вашего имени. Это быстрый и простой способ изменить ваши ключи и соли WordPress. Вот два, которые я рекомендую.

iThemes Security

Нынешняя версия iThemes Security (Free v7.4+ или iThemes Security Pro v1.14+) поставляется с функцией безопасности, которая экономит время и легко обновляет ключи безопасности и соли WordPress. Он предлагает напоминание об обновлении каждый месяц и предотвращает необходимость создания нового набора ключей вручную или редактирования файла wp-config.php.

Чтобы обновить ключи и соли, перейдите в раздел «WordPress Salts» (Соли WordPress) на вкладке «Advanced Tab» (Дополнительно), установите флажок «Change WordPress Salts» (Изменить соли WordPress) и, наконец, нажмите кнопку «Change WordPress Salts» (Изменить соли WordPress).

IThemes Security Pro предлагает дополнительные функции, такие как двухфакторная аутентификация, сканирование вредоносных программ по расписанию и reCAPTCHA для обнаружения вредоносного программного обеспечения и добавления дополнительного уровня безопасности на ваши страницы входа в WordPress.

Salt Shaker<

Точно так же Salt Shaker предлагает впечатляющие функции и настройки, такие как ручные и немедленные ключи безопасности WP и соли, изменяющиеся для повышения безопасности WordPress.

Более того, после установки плагина Salt Shaker вы можете установить запланированное задание для автоматической смены соли. Все, что вам нужно сделать, это установить флажок и выбрать ежедневные, еженедельные или ежемесячные настройки.

В обоих случаях плагин запрограммирован на автоматическую отправку напоминаний об обновлении ключей WordPress. В результате это также заставляет всех вошедших в систему пользователей снова пройти процесс входа в систему. Все эти функции помогают защитить сайт от атак методом перебора и других попыток взлома.

Когда дело доходит до обеспечения безопасности вашего сайта WordPress, профилактика — это путь. Жесткая комбинация ключей безопасности WordPress и солей делает его жестким для хакеров, чтобы взломать пароли веб-сайтов. Именно так WordPress предлагает улучшенную безопасность для пользовательских сессий и защищает данные.

Подводя итог, вот несколько вещей, которые следует иметь в виду при обновлении ключей безопасности и солей WordPress.

После запуска вашего сайта WordPress, измените ключи безопасности и соли.
Всегда используйте генератор соляных ключей WordPress для создания ключей безопасности. Не делай этого сами. Кроме того, вы можете и автоматизировать процесс с помощью плагина WordPress.
Обновление ключей и солей безопасности WordPress сделает недействительными все существующие файлы cookie, что приведет к немедленному выходу из системы всех пользователей. Поэтому, изменяя их, помните, что некоторые пользователи могут быть в сети.
Если вы видите какие-либо признаки того, что ваш сайт подвергся атаке, обновите ключи безопасности WordPress и предложите пользователям сменить пароль.

У вас есть вопросы о солях и ключах безопасности? Или советы, которые вы бы добавили? Дайте мне знать об этом в комментариях!

А на сегодня у меня все. До скорых встреч.

Юрич:

Занимаюсь созданием сайтов на WordPress более 6 лет. Ранее работал в нескольких веб-студиях и решил делиться своим опытом на данном сайте. Пишите комментарии, буду рад общению.