一般我们解压 WordPress 后,再设置完数据库连接的相关信息就开始用了,不知道会有多少人留意过 wp-config.php 中的
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
或者到 WordPress 3.0 之后增加到了八个,增加了与上面相应的四个 Salt
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
不设置它们也可以用得好好的,很多人并不知道这些个东西的功用,官方的解释就是它们可以用来增强安全性,为 Cookie 中的用户信息更强有力的加密。实现的方式就是用更多的,更随机的字符串给 Cookie 中密码加密时更难以破解。其实本来的 MD5 加密就足以能防得住绝大多数人的,所以一般可对此置之不理。改了之后会要求登陆时选择了 Remember Me 的用户下次必须重新登陆。
既然有这样的何,并且设置起来也不能那又何不给它们设置一下呢?设置办法是对于 WordPress 3.0 之前的版本,访问 http://api.wordpress.org/secret-key/1.1/ 就能得到四个随机的 KEY,像
|
1 2 3 4 |
define('AUTH_KEY', 'u3z}GjOH:|6F!Sa+EmlQ~s$@c(LDZ81<Xx w;&.@1V1@UyX=)%<</+ws}=#8T:HC'); define('SECURE_AUTH_KEY', '{x]KHPn|kBb;hK~vD<judyEEG|rN}jEf>,(.y[p{=m-uL?ck.<jV<!1#7Td+7:9R'); define('LOGGED_IN_KEY', 'YTmvz&<xBgO*xXs8l7fE]F}DvMdw.=d`bT|Lh6ct=u;jW/LLM%%FYY;Ss(m,ES/>'); define('NONCE_KEY', '@i##hYi-$@_&^=;mM`;y]|d1>o-U0B|-]W/z-wnyYNAcZyJ;NAR,ham/W4Uz0HBM'); |
替换到 wp-config.php 中就行了。
而对于 WordPress 3.0 的版本,因为有八个值了,所以应该访问 https://api.wordpress.org/secret-key/1.1/salt/,比如得到的是:
|
1 2 3 4 5 6 7 8 |
define('AUTH_KEY', 'I#(/ *P4H-BEvI|&gB@CL%=;7b|/E~)|SM!!gA))[m8:SUq6Yw){(xOF[`8<DOUJ'); define('SECURE_AUTH_KEY', '9z0Hf~rQRY@tuQ|09-0iP+$*jm~@Ce,9@wIkQ5uk^3StA3(d3I+U_(}p}w]N,Gm-'); define('LOGGED_IN_KEY', 'pyYhO1$x|?3z-MNJ&8u^C(kriCVf!KCi/=O?Vg7!,]j0?qL=EN({|Kyy,vm[[r5O'); define('NONCE_KEY', '?hHGE5lsXh;m/|zI+zc31#)eO,NBb8Nr6}mEm`r:1vSI_chF]]5-NKM-e6[24flJ'); define('AUTH_SALT', ' y+J xybZ)(yhvtdq|E.Tn7J6M``gjf~6H7$ S):qo)5O-5j1!nYz#~$6#T~Ai`#'); define('SECURE_AUTH_SALT', 'F.,|bi>76` k-o0L(8]zh<X;XAsaz-1m<7||bE1|Axk39z5]| mR]4upB&<7tz{['); define('LOGGED_IN_SALT', '%^5wWl `EixKSKF5O:ZsK&*HLV^l6,`aYS!k&5TB+3Z?)%8;{$3P7HK&/t>z9_Ma'); define('NONCE_SALT', 'J5v&l<->b%k&~Ap.cAp]p ~-udGKA46iihK*o[cpV1b}Zyk:+ht&Xg!rSOC?pY]m'); |
放到 wp-config.php 就 OK 了。
它们就是一些随机字符串,用上面的 URL 来生成完全可以保证世界各地的每一个 secret key 都是唯一的,你也并不要记住这个 secret key。你完全可以随时设置另一套,或升级搬移时用别的,导致的结果只是让无需再重新登陆的用户下次一定要再输一次密码。
这里有个 WordPress 很有意义的 PPT:
关于 WordPress 安全性的文章可以参考下列:
1. Pimp your wp-config.php
2. Secure Your WordPress Installation
3. What, Why, and Hows of WordPress Security Keys
4. WordPress Security 101: Securing your Site
本文链接 https://yanbin.blog/set-wordpress-secret-key/, 来自 隔叶黄莺 Yanbin Blog
[版权声明] 
本文采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 进行许可。
非常好东西。
好贴。谢谢
感谢伟大的信息!我也不会发现这一点,否则!