会有多少人去设置 WordPress 的 secret-key 呢？ | 隔叶黄莺 Yanbin Blog

2010-09-11 | 阅读(1,881)

一般我们解压 WordPress 后，再设置完数据库连接的相关信息就开始用了，不知道会有多少人留意过 wp-config.php 中的

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');

或者到 WordPress 3.0 之后增加到了八个，增加了与上面相应的四个 Salt

define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

不设置它们也可以用得好好的，很多人并不知道这些个东西的功用，官方的解释就是它们可以用来增强安全性，为 Cookie 中的用户信息更强有力的加密。实现的方式就是用更多的，更随机的字符串给 Cookie 中密码加密时更难以破解。其实本来的 MD5 加密就足以能防得住绝大多数人的，所以一般可对此置之不理。改了之后会要求登陆时选择了 Remember Me 的用户下次必须重新登陆。

既然有这样的何，并且设置起来也不能那又何不给它们设置一下呢？设置办法是对于 WordPress 3.0 之前的版本，访问 http://api.wordpress.org/secret-key/1.1/ 就能得到四个随机的 KEY，像

define('AUTH_KEY',        'u3z}GjOH:|6F!Sa+EmlQ~s$@c(LDZ81<Xx w;&.@1V1@UyX=)%<</+ws}=#8T:HC');
define('SECURE_AUTH_KEY', '{x]KHPn|kBb;hK~vD<judyEEG|rN}jEf>,(.y[p{=m-uL?ck.<jV<!1#7Td+7:9R');
define('LOGGED_IN_KEY',   'YTmvz&<xBgO*xXs8l7fE]F}DvMdw.=d`bT|Lh6ct=u;jW/LLM%%FYY;Ss(m,ES/>');
define('NONCE_KEY',       '@i##hYi-$@_&^=;mM`;y]|d1>o-U0B|-]W/z-wnyYNAcZyJ;NAR,ham/W4Uz0HBM');

define('AUTH_KEY', 'u3z}GjOH:|6F!Sa+EmlQ~s$@c(LDZ81<Xx w;&.@1V1@UyX=)%<</+ws}=#8T:HC');

define('SECURE_AUTH_KEY', '{x]KHPn|kBb;hK~vD<judyEEG|rN}jEf>,(.y[p{=m-uL?ck.<jV<!1#7Td+7:9R');

define('LOGGED_IN_KEY', 'YTmvz&<xBgO*xXs8l7fE]F}DvMdw.=d`bT|Lh6ct=u;jW/LLM%%FYY;Ss(m,ES/>');

define('NONCE_KEY', '@i##hYi-$@_&^=;mM`;y]|d1>o-U0B|-]W/z-wnyYNAcZyJ;NAR,ham/W4Uz0HBM');

替换到 wp-config.php 中就行了。

而对于 WordPress 3.0 的版本，因为有八个值了，所以应该访问 https://api.wordpress.org/secret-key/1.1/salt/，比如得到的是：

define('AUTH_KEY',         'I#(/ *P4H-BEvI|&gB@CL%=;7b|/E~)|SM!!gA))[m8:SUq6Yw){(xOF[`8<DOUJ');
define('SECURE_AUTH_KEY',  '9z0Hf~rQRY@tuQ|09-0iP+$*jm~@Ce,9@wIkQ5uk^3StA3(d3I+U_(}p}w]N,Gm-');
define('LOGGED_IN_KEY',    'pyYhO1$x|?3z-MNJ&8u^C(kriCVf!KCi/=O?Vg7!,]j0?qL=EN({|Kyy,vm[[r5O');
define('NONCE_KEY',        '?hHGE5lsXh;m/|zI+zc31#)eO,NBb8Nr6}mEm`r:1vSI_chF]]5-NKM-e6[24flJ');
define('AUTH_SALT',        ' y+J xybZ)(yhvtdq|E.Tn7J6M``gjf~6H7$ S):qo)5O-5j1!nYz#~$6#T~Ai`#');
define('SECURE_AUTH_SALT', 'F.,|bi>76` k-o0L(8]zh<X;XAsaz-1m<7||bE1|Axk39z5]| mR]4upB&<7tz{[');
define('LOGGED_IN_SALT',   '%^5wWl `EixKSKF5O:ZsK&*HLV^l6,`aYS!k&5TB+3Z?)%8;{$3P7HK&/t>z9_Ma');
define('NONCE_SALT',       'J5v&l<->b%k&~Ap.cAp]p ~-udGKA46iihK*o[cpV1b}Zyk:+ht&Xg!rSOC?pY]m');

define('AUTH_KEY', 'I#(/ *P4H-BEvI|&gB@CL%=;7b|/E~)|SM!!gA))[m8:SUq6Yw){(xOF[`8<DOUJ');

define('SECURE_AUTH_KEY', '9z0Hf~rQRY@tuQ|09-0iP+$*jm~@Ce,9@wIkQ5uk^3StA3(d3I+U_(}p}w]N,Gm-');

define('LOGGED_IN_KEY', 'pyYhO1$x|?3z-MNJ&8u^C(kriCVf!KCi/=O?Vg7!,]j0?qL=EN({|Kyy,vm[[r5O');

define('NONCE_KEY', '?hHGE5lsXh;m/|zI+zc31#)eO,NBb8Nr6}mEm`r:1vSI_chF]]5-NKM-e6[24flJ');

define('AUTH_SALT', ' y+J xybZ)(yhvtdq|E.Tn7J6M``gjf~6H7$ S):qo)5O-5j1!nYz#~$6#T~Ai`#');

define('SECURE_AUTH_SALT', 'F.,|bi>76` k-o0L(8]zh<X;XAsaz-1m<7||bE1|Axk39z5]| mR]4upB&<7tz{[');

define('LOGGED_IN_SALT', '%^5wWl `EixKSKF5O:ZsK&*HLV^l6,`aYS!k&5TB+3Z?)%8;{$3P7HK&/t>z9_Ma');

define('NONCE_SALT', 'J5v&l<->b%k&~Ap.cAp]p ~-udGKA46iihK*o[cpV1b}Zyk:+ht&Xg!rSOC?pY]m');

放到 wp-config.php 就 OK 了。

它们就是一些随机字符串，用上面的 URL 来生成完全可以保证世界各地的每一个 secret key 都是唯一的，你也并不要记住这个 secret key。你完全可以随时设置另一套，或升级搬移时用别的，导致的结果只是让无需再重新登陆的用户下次一定要再输一次密码。

这里有个 WordPress 很有意义的 PPT:

关于 WordPress 安全性的文章可以参考下列：

1. Pimp your wp-config.php
2. Secure Your WordPress Installation
3. What, Why, and Hows of WordPress Security Keys
4. WordPress Security 101: Securing your Site

本文链接 https://yanbin.blog/set-wordpress-secret-key/, 来自隔叶黄莺 Yanbin Blog

3 Comments

Inline Feedbacks

View all comments

google web promotion

14 years ago

非常好东西。

cheap web promotion

好贴。谢谢

st.petersburg tours

感谢伟大的信息！我也不会发现这一点，否则！

best coffee on SciPy 最优化之最小化I wanted to take a moment to commend you on the outstanding quality of...
seetimee on 体验 Python FastAPI 的并发能力及线, 进程模型感谢
Yanbin on Mockito 3.4.0 开始可 Mock 静态方法有一个补救，新写了一篇 https://yanbin.blog/mockito-mock-static-method-in-multiple...
Yanbin on 升级到 Spring Boot 3 后 javax.inject.Named 不可用怎么，被抄袭了！算是被机器翻译引用的？
oleksi on 升级到 Spring Boot 3 后 javax.inject.Named 不可用https://www.springcloud.io/post/2023-02/springboot-3-javax-inject-name...

M	T	W	T	F	S	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30