Xác thực bảo mật WordPress hoặc khóa bí mật hoặc khóa SALT, là mã được mã hóa để bảo vệ thông tin đăng nhập của bạn Khóa muối là các phần tử mã hóa được sử dụng để 'băm' dữ liệu nhằm bảo mật dữ liệu đó. Trên thực tế, hầu hết các nền tảng và hệ thống nghiêm túc đều sử dụng các cơ chế tương tự để bảo vệ dữ liệu nhạy cảm. Quá trình này hoạt động bằng cách sử dụng các khóa muối để mã hóa mật khẩu của bạn khi bạn lưu nó trong WordPress. Bằng cách này, những kẻ tấn công không thể thấy mật khẩu của bạn ở dạng văn bản rõ ràng ngay cả khi bằng cách nào đó chúng có quyền truy cập vào cơ sở dữ liệu của bạn Show
Các khóa WordPress SALT tạo thành một lớp bảo vệ gần như không thể phá vỡ. Tuy nhiên, vì lý do phòng ngừa, bạn nên thay đổi khóa muối WordPress định kỳ để mang lại sự mạnh mẽ hơn cho trang web của bạn Một cách để cải thiện bảo mật WordPress của bạn là thay đổi các khóa SALT của bạn
Khóa muối WordPress & Bảo mật trang web
Trong năm 2021, chủ sở hữu và nhà phát triển trang web không thể xem nhẹ vấn đề bảo mật của các trang web WordPress vì trong hai năm qua, số lượng lớn các cuộc tấn công vào trang web WordPress đã xảy ra và dẫn đến mất việc kinh doanh do thiếu kiến thức về các bản cập nhật bảo mật mới. Hơn nữa trong bài đăng này, chúng tôi đã chia sẻ một danh sách kiểm tra đầy đủ để giữ an toàn cho WordPress của bạn Muối WordPress là sự kết hợp ngẫu nhiên của các chữ cái, số và ký tự khác nhau tạo thành một chuỗi dài, phức tạp Khóa muối WordPress là khóa bảo mật mà CMS này sử dụng để xác thực quyền truy cập của người dùng, nhằm bảo vệ nhiều hơn cho các phiên và thông tin đăng nhập truy cập WordPress sử dụng hệ thống SALT để tăng tính bảo mật và mang lại sự linh hoạt hơn cho hoạt động Khi bạn truy cập WordPress ở phía phụ trợ hoặc quản trị viên, trong khi bạn đang thực hiện các tác vụ thích hợp, bạn cần biết rằng bạn vẫn được kết nối. Điều này có thể đã được thực hiện với điều khiển phiên PHP, nhưng sẽ an toàn hơn và ít lộn xộn hơn nếu được thực hiện với cookie Để duy trì tính bảo mật của cookie và để ngăn chặn việc nếu chúng bị đánh cắp hoặc chiếm quyền điều khiển, chúng có thể được sử dụng để lấy mật khẩu của người dùng, các khóa SALT được sử dụng để không có phần tử dễ giải mã nào trong cookie Để hiểu rõ hơn về vai trò của cookie và cách tin tặc sử dụng chúng để giành quyền truy cập vào những người dùng khác, bạn phải biết về Tấn công XSS WordPress – Khai thác & Bảo vệ Phiên bản mới nhất của WordPress sử dụng bốn khóa bảo mật, mỗi khóa có một loại muối tương ứng có thể tăng cường bảo mật cho trang web do WordPress cung cấp của bạn đó là
Bạn có thể tìm thấy các khóa xác thực và muối này trong wp-config. php, nằm trong thư mục gốc của WordPress Nên thay đổi mật khẩu mặc định và mật khẩu muối trong WordPress thường xuyên để tăng cường hơn nữa tính bảo mật cho trang web của bạn Các muối WordPress nằm ở đâu?SALT được xác định trong mỗi lần cài đặt WordPress trong tệp wp-config. php Như chúng tôi đã chỉ ra trong Cài đặt WordPress trên máy chủ đèn của bạn, điều đầu tiên chúng tôi nên làm là cung cấp các khóa bảo mật mà bản sao WordPress của chúng tôi sẽ sử dụng Các khóa hoặc giá trị SALT này phải là duy nhất cho mỗi lần cài đặt Bạn sẽ thấy tổng cộng tám phím
Tại sao bạn cần thay đổi muối WordPress và khóa bảo mật của mình?Trong bất kỳ phiên người dùng hoặc người bình luận nào trên trang web của bạn, WordPress sử dụng cookie, là các tệp văn bản chứa thông tin duy nhất về mỗi người dùng trong trình duyệt, để xác minh danh tính của họ Trong wp-config. tệp cấu hình php WordPress thêm các tổ hợp khóa và muối bí mật để xác thực mỗi lần truy cập hoặc đăng nhập vào trang web của bạn. Các khóa và bước nhảy này cải thiện khả năng mã hóa của mật khẩu và khiến nó gần như không thể bị phá do sự phức tạp của giá trị ngẫu nhiên của các khóa này Trong tệp cấu hình nói trên, bạn tìm thấy các giá trị khóa và muối được xác định trước trong các hằng số khác nhau, tùy thuộc vào loại tác vụ mà chúng thực hiện trong trang web của bạn Muối WordPress hoạt động như thế nào?Chúng tôi khuyên bạn nên thay đổi chúng, mặc dù không cần thiết phải làm điều đó thường xuyên, nếu thỉnh thoảng. Điều này đảm bảo rằng ngay cả trong trường hợp (khó khăn) khi ai đó có thể chiếm đoạt cookie của bạn, họ sẽ có ít cơ hội hơn để tìm ra mật khẩu của bạn Bảo mật trong WordPress là yếu tố chính đối với nhóm phát triển và họ rất nghiêm túc khi thêm bất kỳ tính năng mới nào và khía cạnh đăng nhập và truy cập của người dùng cũng không ngoại lệ. Do đó, WordPress bao gồm các khóa duy nhất trong mỗi cài đặt mới, để thiết lập một giá trị duy nhất cho mỗi người dùng Hôm nay chúng tôi sẽ hướng dẫn bạn cách thay đổi khóa và muối WordPress để cải thiện bảo mật và khiến tin tặc khó hack trang wordpress của bạn
Làm cách nào để thay đổi khóa bảo mật và muối WordPress của bạn?Có hai cách để thay đổi muối và chìa khóa của bạn
Thay đổi muối WordPress theo cách thủ côngĐể thay đổi các khóa và muối của WordPress, bạn vào wp-config. php và tìm các dòng xuất hiện như trong hình ảnh và thay vào đó chỉ cần sao chép các giá trị mới mà bạn nhận được từ API WordPress Salts Các khóa được xác định trong wp-config. php, trong thư mục gốc của cài đặt của bạn. Bạn phải truy cập tệp đó thông qua tài khoản FTP hoặc SSH (bất kể dịch vụ lưu trữ của bạn quyết định) và chỉnh sửa tệp (đó là tệp văn bản thuần túy) Sau đó xác định vị trí một khối tương tự như thế này define ( 'AUTH_KEY' , '1jl / vqfs &; XhdXoAPz9 .. .. .. c_j {iwqD ^ <+ c9.k <J @ 4H' ) ; define ( 'SECURE_AUTH_KEY' , 'E2N-h2] Dcvp + aS / p7X .. .. .. {Ka (f; rv? Pxf}) CgLi-3' ) ; define ( 'LOGGED_IN_KEY' , 'W (50, {W ^, OPB% PB <.. .. .. 2; and &&, 2m% 3] R6DUth [; 88' ) ; define ( 'NONCE_KEY' , 'll, 4UC) 7ua + 8 <! 4VM + .. .. .. # `DXF + [$ atzM7 or ^ -C7g' ) ; define ( 'AUTH_SALT' , 'koMrurzOA + | L_lG} kf .. .. .. 07VC * Lj * lD &&? 3w! BT # -' ) ; define ( 'SECURE_AUTH_SALT' , 'p32 * p,] z% LZ + pAu: VY .. .. .. C-? y + K0DK_ + F | 0h {! _ xY' ) ; define ( 'LOGGED_IN_SALT' , 'i ^ / G2W7! -1H2OQ + t $ 3 .. .. .. t6 ** bRVFSD [Hi]) - qS` |' ) ; define ( 'NONCE_SALT' , 'Q6] U: K? j4L% Z]} h ^ q7 .. .. .. 1% ^ qUswWgn + 6 &&%' ) ; Thay đổi các giá trị bên phải (nằm trong dấu nháy đơn”) Bạn không cần thay đổi toàn bộ chuỗi ký tự, chỉ cần thêm một ký tự vào đầu hoặc cuối hoặc ở giữa chuỗi, giá trị của khóa là hoàn toàn khác Thỉnh thoảng, bạn nên tạo lại các khóa và muối mới cho trang web của mình, như thể chúng là mật khẩu, từ API muối WordPress mà nó cung cấp trên trang chính thức và điều đó tạo ra sự kết hợp mạnh mẽ và ngẫu nhiên mỗi khi bạn làm mới trang web. Thay đổi khóa và muối của trang web WordPress của bạn là một phương pháp hay để cải thiện bảo mật và điều đó càng gây khó khăn hơn cho những kẻ độc hại, những người đang rình rập những người không nghi ngờ nhất Bây giờ, chúng tôi đã giải thích cách thay đổi các khóa muối WordPress theo cách thủ công trong wp-config. php của cấu hình, tuy nhiên, bạn không thoải mái với việc chỉnh sửa tệp theo cách thủ công, tiếp theo chúng tôi sẽ giải thích cách thực hiện tự động Thay đổi muối WordPress bằng cách sử dụng pluginTuy nhiên, sửa đổi thủ công các khóa của bạn có thể rủi ro và tốn thời gian hơn, vì bạn phải sửa đổi tệp chính theo cách thủ công và tải xuống bằng cách sử dụng nó. Và nếu bạn không làm đúng, quy trình thậm chí có thể làm hỏng trang web của bạn Tuy nhiên, đừng lo lắng, bạn chỉ có thể sử dụng một plugin để thay đổi các khóa muối WordPress của mình mà không phải chỉnh sửa tám biến Khóa muối trong wp-config của trang web của bạn. tập tin php Trước khi thực hiện bất kỳ thay đổi nào như vậy, chúng tôi khuyên bạn nên tạo bản sao lưu đầy đủ cho trang web và cơ sở dữ liệu của mình để ngăn chặn bất kỳ sự kiện khó chịu nào Cập nhật khóa & muối của bạn sẽ buộc tất cả người dùng đã đăng nhập phải đăng nhập lại, vì việc thay đổi chúng sẽ tự động làm mất hiệu lực đăng nhập của bất kỳ người dùng nào đã đăng nhập vào trang web. Ví dụ: nếu bạn có bất kỳ nghi ngờ nào về việc bị hack, thì việc cập nhật khóa bảo mật và muối của bạn sẽ buộc tất cả người dùng đã đăng nhập phải đăng xuất và xác thực lại
Bảo mật iThemePhiên bản hiện tại của iTheme Security (Miễn phí v4. 6 + hoặc iTheme Security Pro v1. 14 +) đi kèm tính năng bảo mật tiết kiệm thời gian dễ dàng cập nhật khóa bảo mật WordPress và thoát. Nó cung cấp lời nhắc cập nhật hàng tháng và loại bỏ nhu cầu tạo thủ công một bộ khóa mới hoặc chỉnh sửa wp-config của bạn. tập tin php Để cập nhật khóa và doanh số bán hàng, hãy chuyển đến phần ‘Bán hàng WordPress’ trong tab ‘Nâng cao ‘, nhấp vào hộp kiểm bên cạnh’ Thay đổi doanh số bán hàng WordPress’ và cuối cùng nhấp vào nút ‘Thay đổi doanh số bán hàng ‘WordPress’ ITheme Security Pro cung cấp các tính năng bổ sung như xác thực hai yếu tố, quét phần mềm độc hại theo lịch trình và reCAPTCHA để phát hiện phần mềm độc hại và thêm một lớp bảo mật bổ sung vào trang đăng nhập WordPress của bạn plugin máy lắc muốiCông việc của plugin này là thay đổi các khóa muối mà bạn hiện đang sử dụng trong tệp cấu hình (wp-config. php) của trang web của bạn và thay vào đó sử dụng những cái mới, theo cách “sạch sẽ” và tự động hơn Plugin này thêm một phần trong Công cụ ≫ Máy lắc muối nơi xuất hiện trang cấu hình, từ đó bạn có thể lập trình thay đổi các khóa muối WordPress theo định kỳ hoặc thay đổi chúng cùng một lúc Hãy cẩn thận rằng, khi bạn thay đổi khóa bảo mật và rời khỏi WordPress của mình, tất cả các phiên của người dùng được kết nối sẽ tự động bị đóng, kể cả của bạn, để truy cập lại Chúng tôi thông báo với bạn rằng việc thay đổi khóa muối WordPress là không đủ để bảo vệ hoàn toàn trang web của bạn và bạn cần sử dụng một trong các plugin bảo mật giải quyết các khía cạnh bảo vệ khác Phần kết luậnTóm lại, đây là một số điều cần lưu ý khi cập nhật các khóa và muối bảo mật WordPress Sau khi khởi chạy trang web WordPress của bạn, hãy thay đổi khóa bảo mật và muối Luôn sử dụng trình tạo khóa muối WordPress để tạo khóa bảo mật. Đừng tự mình làm điều đó, hãy nhận trợ giúp từ các chuyên gia bảo mật WordPress. Ngoài ra, bạn có thể hoặc tự động hóa quy trình bằng plugin WordPress. Cập nhật khóa bảo mật và muối WordPress sẽ làm mất hiệu lực tất cả các cookie hiện có, khiến tất cả người dùng đăng xuất ngay lập tức. Vì vậy, khi bạn thay đổi chúng, hãy nhớ rằng một số người dùng có thể đang trực tuyến Nếu bạn thấy các dấu hiệu của một cuộc tấn công trên trang web của mình, hãy cập nhật các khóa bảo mật WordPress và khuyến khích người dùng của bạn thay đổi mật khẩu của họ Chúng tôi cũng khuyên bạn nên xem hướng dẫn danh sách kiểm tra bảo mật WordPress của chúng tôi. Hướng dẫn này sẽ cung cấp cho bạn tầm nhìn toàn cảnh và đầy đủ hơn về cách bảo vệ trang web WordPress của bạn. Chúng tôi mời bạn kiểm tra trang web của mình trong công cụ quét Phần mềm độc hại của chúng tôi. Công cụ quét phần mềm độc hại WordPress của chúng tôi có khả năng phát hiện mã độc và lỗ hổng trong Bảo mật WordPress. Cố vấn bảo mật WordPress của chúng tôi sẽ khắc phục tất cả các sự cố này và lấp lỗ hổng trong bảo mật WordPress Tại sao nên sử dụng khóa muối trong WordPress?Khóa SALT là một công cụ mã hóa được sử dụng để bảo mật trang đăng nhập trên trang web của bạn bằng cách 'băm' mật khẩu của bạn . Thao tác này sẽ xáo trộn mật khẩu thành một chuỗi ký tự vô nghĩa khiến kẻ tấn công khó bẻ khóa hơn. Theo mặc định, WordPress đi kèm với các khóa muối và chúng nằm trong wp-config của trang web của bạn. tập tin php.
chìa khóa muối là gì?Khóa muối là phần tử mã hóa được sử dụng để 'băm' dữ liệu nhằm bảo mật dữ liệu . Trên thực tế, hầu hết các nền tảng và hệ thống nghiêm túc đều sử dụng các cơ chế tương tự để bảo vệ dữ liệu nhạy cảm. Quá trình này hoạt động bằng cách sử dụng các khóa muối để mã hóa mật khẩu của bạn khi bạn lưu nó trong WordPress. |