WordPress 安全密钥是一种加密协议,用于保护您的登录凭证。它们使黑客更难访问您的网站。虽然您可以通过定期更改这些安全密钥使您的网站更加安全,但这样做似乎很棘手。
幸运的是,有三种直接的方法可以更改 WordPress 安全密钥。更妙的是,从 WordPress 初学者到完全专家,每个用户级别都有适合的方法。按照本教程,您可以让自己的网站更能抵御安全威胁。
在本篇文章中,我们将详细介绍 WordPress 安全密钥。我们还将讨论为什么要更新安全密钥,并向您展示三种简单的更新方法。
WordPress 安全密钥简介
WordPress 安全密钥是保护您登录信息的加密工具。它们的工作原理是锁定和解锁您的密码和其他详细信息。这样,黑客就很难破解您的信息,从而帮助您防止网站上的欺诈和其他骗局。
当您登录 WordPress 网站时,cookie 会在您的计算机上存储您的登录信息。这就是您无需每次重新加载页面或访问网站时都登录的原因。
所有这些信息都是用随机字符串加密存储的(由 WordPress 生成)。因此,您的凭据无法与字符区分开来,很难被窃取。
密钥由WordPress自动生成,并存储在您的wp-config.php文件中。总共有四个安全密钥:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONE_KEY
每个安全密钥都有一个对应的 WordPress salt。Salt 是一种加密工具,有助于确保 cookie 中信息的安全。与密钥一样,Salt 也存储在 wp-config.php 文件中:
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONE_SALT
WordPress 安全密钥和 salts 一起安全地存储您的信息,并验证您网站上的密码。
WordPress 安全密钥与 Salts 的区别
WordPress 安全密钥几乎等同于密码。它们可以使用字母数字和特殊字符对信息进行加密。然后,使用相同的密钥将信息解密为纯文本。
加密时会添加 salts,使密码更难被逆向工程破解。
因此,它们提供了额外的安全保障。总的来说,salts 和 WordPress 安全密钥是相似的,因为这两种协议都能降低网站受到安全威胁的可能性。WordPress 网站被黑客攻击的情况并不少见,尤其是使用中等难度的普通密码。但是,随机字符串几乎不可能被破解。
何时更改 WordPress 安全密钥
由于 WordPress 安全密钥是由 WordPress 生成的,因此您通常不需要担心它们。不过,在某些情况下,还是有必要更改安全密钥:
- 恶意行为者可能查看或访问了您网站的 wp-config.php 文件(包括本地备份)。
- 你的网站被恶意软件感染。
- 你倾向于定期更改密码,使黑客更难入侵你的网站。您可以选择每六个月左右更换一次密码。
如果在网站上发现恶意软件,第一步是扫描网站,清除恶意软件。不过,最理想的情况是,在问题变得太严重之前,您就能拥有一个检测和解决问题的工具。
如何更改 WordPress 安全密钥(三种方法)
既然您已经对 WordPress 安全密钥有了更多了解,让我们来看看更改密钥的三种简单方法!
1. 使用专用插件
更改 WordPress 安全密钥的最简单方法就是使用优质插件。Salt Shaker 插件正是为此目的而设计的:
Salt Shaker
此外,你还可以使用 Salt Shaker 自动设置密钥和 Salt 的更换时间表。此外,您还可以轻松设置并忘记密码,因为该工具会处理好剩下的事情。
要开始使用,只需在 WordPress 中安装并激活插件。然后,导航至工具 > Salt Shaker:
Salt Shaker 插件设置
在这里,您可以设置定期更改安全密钥和 Salt 的计划。您也可以点击 “Change Now” 立即更新值。
2. 使用通用安全插件
安全插件非常有用,因为它们通常会自动执行许多安全任务,如备份和更新。同时,根据你的提供商,你一般可以从防火墙和恶意软件扫描等额外的安全措施中获益。
Sucuri Security 是专门从事 WordPress 安全的最佳选择。它可以免费使用,并提供一系列安全功能,包括远程恶意软件扫描、安全活动审计和黑客攻击后的安全行动:
Sucuri Security
另一个不错的选择是 Wordfence Security,它拥有超过四百万的安装量,专门从事防火墙和恶意软件扫描。如果您不确定使用哪种 WordPress 安全插件,可以查看我们的文章:Sucuri 与 Wordfence。
我们将向你展示如何使用 Sucuri 更改 WordPress 安全密钥。首先,安装并激活插件。然后,前往 Sucuri Security > 设置,切换到 “Post-Hack” 选项卡:
Sucuri Security
下一步,向下滚动并点击 Generate New Security Keys:
生成新的安全密钥
您还可以设置更新密钥的时间表。只需使用下拉菜单选择最适合您网站的时间框架。然后点击 Submit。
3. 手动更改 WordPress 安全密钥
手动更改安全密钥是可行的。不过,这需要访问网站文件。由于您需要编辑一个重要的核心文件,因此必须对这样做有信心。如果你是新手,前两种方法可能更适合你。
要使用这种方法,您需要从 WordPress 密钥生成器中获取新的安全密钥和 salt 值:
WordPress 新安全密钥生成器
然后,备份您的网站,以防出错。建立一个暂存环境也很有用。您可以使用我们的高级暂存环境插件来这样做。这实质上是创建了一个网站副本,您可以在此测试新软件并安全运行更新,而不必担心会破坏您的网站。
接下来,你需要找到并编辑 wp-config.php 文件。您可以通过 FTP 下载该文件,编辑后重新上传到 WordPress。或者,你也可以使用文件管理器直接编辑该文件。
您可以在 public_html 文件夹中找到该文件。在截图底部,你可以看到 wp-config.php:
找到 wp-config.php 文件
打开该文件并向下滚动,直到看到 “Authentication Unique Keys and Salts“:
更改 wp-config.php 文件中的安全密钥
然后,只需用 WordPress 生成的新代码替换 salt 和密钥即可。完成后,所有登录用户都必须重新登录网站。不过,他们的用户名和密码将保持不变。
完成后,点击 Save。没有必要写下这些新值,因为你不需要再知道它们了。
保护 WordPress 登录的 6 种其他方法
虽然更改 WordPress 安全密钥是提高网站安全性的好方法,但还有其他方法可以保护登录信息。以下是我们的六条基本建议!
1. 鼓励使用强大、独特的密码
设置自己的安全密码是件好事。但是,确保其他网站用户遵守同样的标准也很重要。
事实上,只有 4% 的人使用密码生成器创建公司密码,76% 的人自己选择密码。
这可能导致密码薄弱、重复使用且容易被猜中。即使在今天,在泄密事件中最常见的密码也是 “password” 和 “123456”。因此,请考虑创建独特、强大的密码来保护您网站的安全。
如果您不使用密码管理器,请记住最安全的密码由小写字母和大写字母组成。此外,还要考虑使用特殊字符和数字,并尽量延长密码的长度。我们建议不要使用字典中的单词或您以前使用过的密码。
2. 使用双因子身份验证
双因子身份验证要求使用两种身份验证方法访问网站。通常情况下,第一个关键字是密码(与您通常使用的一样),第二个关键字可能是通过信息或电子邮件发送的实时代码。由于机器人无法创建第二个密钥,因此使用双因素身份验证是提高云安全的好方法。
您可以使用 WP 2FA 等插件在网站上设置这种身份验证方法:
WP 2FA
WP 2FA是一款灵活的工具,支持多种验证方法,如电子邮件OTP、电子邮件链接、推送通知、语音验证、Whatsapp等。只需一个简单的安装过程,您就可以立即在自己的网站上启用这一功能,无论您经营的是 WooCommerce 商店还是会员制网站。
3. 限制登录尝试
即使黑客不知道你的密码,他们也可能使用已知的密码和用户名组合来访问你的网站。这些威胁被称为暴力攻击,而且越来越流行。
因此,安装一个限制登录尝试的插件是个好主意。Limit Login Attempts Reloaded 就是一个很好的选择:
Limit Login Attempts Reloaded
该插件可以防止暴力攻击,并通过限制 WordPress、WooCommerce 和自定义登录页面的登录尝试来优化网站性能。您还可以更改 WordPress 登录页面,让黑客更难控制您的网站,从而让您更加放心。
4. 启用自动注销
根据您的设置,WordPress 会在一段时间后(通常在 48 小时到 14 天之间)自动注销用户。但是,如果您让您的会话在标签页中打开,黑客就可以通过浏览器中的 Cookie 来控制您的网站。
这就是为什么安装一个插件,让用户在设定时间后注销网站会很有帮助。Inactive Logout 会自动终止闲置的用户会话:
Inactive Logout 插件
您可以确定空闲超时时间,并启用十秒倒计时提醒用户注销。您还可以创建自定义弹出消息,通知用户或将其重定向到超时页面。更妙的是,该插件提供了一个简单的用户界面(UI),设置快捷方便。
5. 审查用户角色
确保网站用户拥有正确的权限非常重要。例如,有时您可能会出于特定目的将编辑器升级为管理员角色。但是,如果您忘记取消这一权限,您的网站就更容易受到攻击,因为黑客可以通过侵入管理员账户访问所有内容。
因此,我们建议在任务完成后撤销权限。定期检查用户角色并验证用户是否拥有适当的访问级别也是一个好主意。如果发现某些用户拥有不适当的权限,您可以通过 WordPress 面板中的 “用户” 轻松进行更改。
6. 禁用 XML-RPC
XML-RPC 是 WordPress 的一项功能,可让您远程发布内容。虽然这是一项安全的功能,但黑客也可以利用它强行进入你的网站。
因此,如果您不需要该功能,最好禁用 XML-RPC,使您的网站更加安全。您可以使用插件或编辑 .htaccess 文件来禁用该功能。
小结
更改 WordPress 安全密钥是保护登录信息的好方法。幸运的是,使用插件或调整网站文件就可以轻松做到这一点。这样,黑客就几乎无法访问您的网站了。
更改安全密钥的最简单方法是使用 Salt Shaker 这样的专用插件。不过,你也可以使用像 Sucuri 这样的通用安全插件。该工具还包括其他有用的功能,如恶意软件扫描和防火墙。最后,你也可以通过编辑 wp-config.php 文件手动更改密钥。