Share
Se hai mai visto il file di configurazione principale (wp-config.php) per un sito WordPress, probabilmente avrai notato una sezione che definisce otto costanti di WordPress relative a chiavi e sali di sicurezza:
Accentsconagua
CHIAVE D'AUTENTICAZIONESECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTNota: wp-config.php si trova nella cartella principale dell'installazione di WordPress per impostazione predefinita.
Queste costanti contengono chiavi e sali di sicurezza che vengono utilizzati internamente da WordPress per aggiungere un ulteriore livello di autenticazione e migliorare la sicurezza.
WordPress utilizza i cookie (piuttosto che le sessioni PHP) per tenere traccia di chi è attualmente loggato. Queste informazioni sono memorizzate in cookie nel tuo browser.
Per garantire che i dettagli di autenticazione siano il più sicuri possibile, vengono utilizzate chiavi e sali univoci per aumentare il livello di crittografia dei cookie. Si consiglia di utilizzare stringhe lunghe (in genere lunghe 64 caratteri) di caratteri alfanumerici e simboli casuali.
Il CHIAVE D'AUTENTICAZIONE, SECURE_AUTH_KEY, e LOGGED_IN_KEY le costanti della chiave di sicurezza sono state aggiunte in WordPress 2.6, che ha sostituito una singola chiave all-in-one introdotta per la prima volta in WordPress 2.5.
NONCE_KEY è stato aggiunto poco dopo, in WordPress 2.7. Sali corrispondenti AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, e NONCE_SALT sono stati aggiunti insieme a ciascuna chiave di sicurezza, ma non è stato fino a WordPress 3.0 a cui sono stati aggiunti wp-config.php.
Prima di WordPress 3.0, è possibile aggiungere facoltativamente le proprie definizioni di costante di sale a wp-config.php, altrimenti sarebbero generati da WordPress e memorizzati nel database.
Mentre sono richieste le quattro costanti della chiave di sicurezza, se rimuovi le costanti di sale dal file di configurazione di WordPress, lasciale al loro valore di default, o qualsiasi sale viene trovato come duplicato di un altro, quindi WordPress recupera invece il sale dal database.
Per i nuovi siti WordPress, i sali verranno generati e archiviati nel database.
Durante l'installazione, WordPress non genera chiavi / sali di sicurezza univoci wp-config.php. Invece, lo stesso messaggio predefinito è inserito per ogni costante.
Se hai appena installato WordPress su un server remoto, ti consigliamo di cambiare il messaggio predefinito per ogni chiave di sicurezza / costante salata con un valore adeguato e univoco.
A volte, il tuo host lo farà per te se installi WordPress tramite uno script personalizzato. Anche così, per la tranquillità, potresti voler aggiornare le chiavi / i sali di sicurezza subito dopo aver completato l'installazione.
Anche dopo che le chiavi e i sali di sicurezza sono stati impostati inizialmente, è una buona idea aggiornarli ogni tanto. Qualunque cosa tu possa fare per rendere il tuo sito più sicuro è generalmente una buona idea.
E anche se è altamente improbabile che le tue password (insieme a chiavi / sali di sicurezza) possano essere violate, aggiornarle periodicamente ha senso in quanto protegge da circostanze impreviste come il backup del tuo sito che viene intercettato da terze parti indesiderate, ecc..
Quindi, come aggiorni le tue chiavi e i tuoi sali di sicurezza? Diamo un'occhiata ad alcuni metodi diversi.
Potresti creare manualmente nuovi valori per ogni costante, ma questo è piuttosto noioso da fare, specialmente se hai più di un sito WordPress da aggiornare! Inoltre, ogni chiave / sale potrebbe non essere sicuro come potrebbe essere.
Fortunatamente, i simpatici utenti di WordPress hanno reso questo processo molto semplice fornendo un'API per generare automaticamente i valori chiave / sali per te. Tutto quello che devi fare è visitare l'URL di una chiave segreta:
https://api.wordpress.org/secret-key/1.1/salt/
Quando la pagina viene caricata, ti verranno presentate stringhe univoche per ogni costante, come mostrato di seguito:
Come puoi vedere, ogni tasto / sale WordPress generato è una sequenza casuale di 64 caratteri. Prova ad aggiornare la pagina alcune volte per assicurarti che l'URL generi ogni volta chiavi / sali completamente casuali.
Se stai sviluppando localmente il tuo sito WordPress, puoi semplicemente copiare e incollare direttamente i tasti / sali generati wp-config.php per sostituire le voci esistenti.
Suggerimento: ti consigliamo di utilizzare sempre l'URL sopra, che utilizza il protocollo HTTP sicuro.
Ciò eliminerà in modo efficace la possibilità che chiunque intercetti le chiavi / i sali generati quando viene restituito all'utente prima di essere visualizzato nel browser.
Se il tuo sito è ospitato su un server remoto, allora aggiorna le chiavi / sali di cui avrai bisogno per accedere e modificare wp-config.php tramite il pannello di controllo del server o tramite un client FTP che consente la modifica di file remoti, come FileZilla (gratuito).
Se il pensiero di modificare manualmente i file del server remoto ti fa girare la testa, dovresti prendere in considerazione l'utilizzo di un plugin. Questo è un modo molto semplice per aggiornare le tue chiavi di sicurezza / sali con un clic di un pulsante.
Sono disponibili vari plug-in per generare e aggiornare i token e i token di sicurezza. Un plug-in relativamente nuovo chiamato Salt Shaker, pubblicato nell'ottobre 2016, è una soluzione leggera con il vantaggio aggiuntivo che è possibile pianificare gli aggiornamenti automatici di chiavi / sali in modo che si verifichino in qualsiasi momento. E soprattutto, è gratis. Diamo un'occhiata a come usarlo.
Scarica Salt Shaker dal repository di WordPress o installalo direttamente dal tuo amministratore di WordPress nel solito modo. Vai a Plugin> Aggiungi nuovo e inizia a digitare Saliera nel Cerca plug-in ... casella di testo. Quando vedi il plugin visualizzato nell'elenco, fai clic su Installa ora.
Dopo aver installato il plugin, a Attivare apparirà il pulsante Fare clic qui per completare l'installazione.
Ora che il plugin è attivo, possiamo testarlo. Per accedere alle impostazioni del plugin, vai a Strumenti> Saliera nell'amministratore di WordPress.
Qui, possiamo aggiornare immediatamente le chiavi / i sali di sicurezza con un semplice clic del mouse. Appena il Cambia ora viene cliccato il pulsante, un'icona rotante appare a destra per indicare che il plugin si sta aggiornando wp-config.php. Non appena l'icona scompare, sai che le chiavi di sicurezza / sali sono state aggiornate.
Nel complesso, il plugin funziona molto bene e potenzialmente può farti risparmiare un sacco di tempo, specialmente se hai più siti Web WordPress. Mi piacerebbe forse vedere un paio di altre opzioni per scegliere gli intervalli del periodo di tempo, come tre mesi e sei mesi, per aumentare la flessibilità del plugin.
Inoltre, sarebbe utile un messaggio che indichi chiaramente quando le chiavi / sali sono state aggiornate, così come un'ulteriore opzione di plug-in per reindirizzare automaticamente alla pagina di accesso dopo l'aggiornamento delle chiavi / sali.
In alternativa, possiamo controllare il Modifica chiavi e sali WP casella e scegliere quando wp-config.php le costanti vengono aggiornate. Questa è una funzionalità davvero carina e in pratica ti permette di dimenticare di dover aggiornare le chiavi / i sali di sicurezza. Lascia che il plugin faccia tutto per te!
Ricorda però che ogni volta che vengono aggiornate le chiavi di sicurezza / sali, ti verrà richiesto di accedere nuovamente. Questo perché i cookie relativi agli accessi sono invalidati e quindi gli utenti devono effettuare di nuovo il login per aggiornare il cookie.
Pertanto, prima di cambiare le tue chiavi / sali di sicurezza, è una buona idea avere a portata di mano le tue informazioni di accesso in modo da non essere bloccate accidentalmente dal tuo sito.
Se non si desidera utilizzare un plug-in e si dispone di molti siti WordPress remoti, è possibile considerare l'utilizzo di uno script per aggiornare direttamente le chiavi / i sali di sicurezza.
Il lato negativo di questo è che è necessario essere abili nello scripting. Tuttavia, ci sono diverse soluzioni pronte disponibili, quindi non devi necessariamente codificarle.
Uno di questi script, chiamato WP-Salts-Update-CLI di Ahmad Awais, aggiorna le chiavi di sicurezza / sali sul computer locale o sul server remoto.
Per installare questo script sul tuo computer (solo macOS), apri una finestra di terminale e inserisci quanto segue:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo install ./wpsucli / usr / local / bin / wpsucli
Questo renderà uno script eseguibile globalmente disponibile tramite wpsucli comando. Puoi eseguirlo sul tuo computer locale per cercare attivamente tutte le istanze dei file di configurazione di WordPress e sostituire le chiavi di sicurezza / sali con i nuovi valori direttamente dall'URL dell'API della chiave segreta di WordPress.
Quando si esegue lo script su un server remoto, si consiglia di farlo dalla cartella principale, vale a dire. cd /, e poi corri wpsucli. Per ulteriori dettagli sullo script, consultare la pagina di informazioni principale.
In questo tutorial, abbiamo trattato quali sono le chiavi / i sali di sicurezza di WordPress e perché è importante aggiornarli periodicamente. Abbiamo anche esaminato vari modi per aggiornarli, da copiare / incollare manualmente (se si ha accesso diretto a wp-config.php) per utilizzare un plugin per automatizzare completamente il processo. Se hai familiarità con la riga di comando, puoi anche usare uno script personalizzato per aggiornare abbastanza facilmente i siti locali / remoti.
Il rovescio della medaglia è che devi ancora eseguire manualmente script che possono essere facilmente dimenticati, quindi piuttosto che dover pianificare questo nel tuo flusso di lavoro, usare un plugin per automatizzare il processo potrebbe essere il modo migliore per andare.
Qualunque sia il metodo scelto, l'importante è ricordare che stai aggiungendo un altro livello di sicurezza ai tuoi siti WordPress, e qualsiasi cosa tu possa fare per ottenere ciò con il minimo sforzo può essere solo una buona cosa!
E se stai cercando altre utilità che ti aiutino a costruire il tuo set crescente di strumenti per WordPress o che il codice possa studiare e diventare più esperto in WordPress, non dimenticare di vedere cosa abbiamo a disposizione nel mercato Envato.
