会有多少人去设置 WordPress 的 secret-key 呢?

一般我们解压 WordPress 后,再设置完数据库连接的相关信息就开始用了,不知道会有多少人留意过 wp-config.php 中的

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');

或者到 WordPress 3.0 之后增加到了八个,增加了与上面相应的四个 Salt

define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

不设置它们也可以用得好好的,很多人并不知道这些个东西的功用,官方的解释就是它们可以用来增强安全性,为 Cookie 中的用户信息更强有力的加密。实现的方式就是用更多的,更随机的字符串给 Cookie 中密码加密时更难以破解。其实本来的 MD5 加密就足以能防得住绝大多数人的,所以一般可对此置之不理。改了之后会要求登陆时选择了 Remember Me 的用户下次必须重新登陆。

既然有这样的何,并且设置起来也不能那又何不给它们设置一下呢?设置办法是对于 WordPress 3.0 之前的版本,访问 http://api.wordpress.org/secret-key/1.1/ 就能得到四个随机的 KEY,像

替换到 wp-config.php 中就行了。

而对于 WordPress 3.0 的版本,因为有八个值了,所以应该访问 https://api.wordpress.org/secret-key/1.1/salt/,比如得到的是:

放到 wp-config.php 就 OK 了。

它们就是一些随机字符串,用上面的 URL 来生成完全可以保证世界各地的每一个 secret key 都是唯一的,你也并不要记住这个 secret key。你完全可以随时设置另一套,或升级搬移时用别的,导致的结果只是让无需再重新登陆的用户下次一定要再输一次密码。

这里有个 WordPress 很有意义的 PPT:



关于 WordPress 安全性的文章可以参考下列:

1. Pimp your wp-config.php
2. Secure Your WordPress Installation
3. What, Why, and Hows of WordPress Security Keys
4. WordPress Security 101: Securing your Site

本文链接 https://yanbin.blog/set-wordpress-secret-key/, 来自 隔叶黄莺 Yanbin Blog

[版权声明] Creative Commons License 本文采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 进行许可。

Subscribe
Notify of
guest

3 Comments
Inline Feedbacks
View all comments
google web promotion
14 years ago

非常好东西。

cheap web promotion
14 years ago

好贴。谢谢

st.petersburg tours
14 years ago

感谢伟大的信息!我也不会发现这一点,否则!