ในบทความเกี่ยวกับความปลอดภัยของ WordPress คุณอาจเคยเจอ เกลือของ WordPress หรือคีย์ความปลอดภัย และสงสัยว่าสิ่งเหล่านั้นคืออะไร โดยสรุป เป็นสตริงสุ่มที่ WordPress ใช้เพื่อเข้ารหัสรหัสผ่านของคุณ
รหัสผ่านเป็นหนึ่งในส่วนที่สำคัญที่สุดของการรักษาความปลอดภัยเว็บไซต์ ดังนั้นจึงควรทำความเข้าใจว่าคีย์เกลือของ WordPress ทำงานอย่างไร และที่สำคัญกว่านั้นคือจะเปลี่ยนแปลงได้อย่างไรเมื่อจำเป็น
TL;DR: เปลี่ยนเกลือของ WordPress และคีย์ความปลอดภัยในไม่กี่วินาทีด้วย MalCare MalCare ปกป้องแฮกเกอร์จากการบุกรุกเว็บไซต์ของคุณโดยจำกัดความพยายามในการเข้าสู่ระบบ เสนอการป้องกันกำลังเดรัจฉานในตัว และไฟร์วอลล์ขั้นสูง เป็นการรักษาความปลอดภัยสำหรับทุกคน ดังนั้นคุณจึงสามารถมุ่งความสนใจไปที่ด้านอื่นๆ ในการสร้างเว็บไซต์ของคุณได้
เกลือของ WordPress คืออะไร
เกลือของ WordPress หรือคีย์ความปลอดภัยคือสตริงของอักขระสุ่ม ที่ WordPress ใช้เพื่อเข้ารหัสชื่อผู้ใช้และรหัสผ่านของคุณ สตริงนี้ใช้เพื่อแฮชข้อมูลรับรองการเข้าสู่ระบบของคุณ ซึ่งเป็นคำเข้ารหัสที่อ้างอิงถึงกระบวนการเข้ารหัส ข้อมูลประจำตัวไม่สามารถแยกแยะจากอักขระแบบสุ่มได้ ดังนั้นจึงไม่สามารถขโมยหรือใช้เพื่อเข้าสู่ระบบเว็บไซต์ของคุณได้
คำว่า WordPress salts และคีย์ความปลอดภัย WordPress มักใช้สลับกันได้ อย่างไรก็ตาม จะใช้เรียก 8 สตริงเดียวกันเสมอ มีคีย์ความปลอดภัย 4 อัน—AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, และ NONCE_KEY —และคีย์ความปลอดภัยแต่ละอันมีเกลือที่สอดคล้องกัน
การเก็บเกลือ WP เป็นความลับเป็นสิ่งสำคัญมาก เนื่องจากมีบทบาทในการปกป้องข้อมูลรับรองการเข้าสู่ระบบของคุณ พวกเขาจะถูกเก็บไว้ในไฟล์ WordPress หลัก wp-config.php นอกเหนือจากข้อมูลรับรองฐานข้อมูลและไม่ควรเก็บไว้ที่อื่นเลย
ใช้เกลือของ WordPress อะไร
เกลือของ WordPress ใช้เพื่อรักษาความปลอดภัยชื่อผู้ใช้และรหัสผ่านที่เก็บไว้ในคุกกี้ของเบราว์เซอร์ WordPress ใช้คุกกี้เพื่อจดจำหากคุณลงชื่อเข้าใช้เว็บไซต์ของคุณ ตัวอย่างเช่น หากคุณลงชื่อเข้าใช้ wp-admin แต่ปิดแท็บเบราว์เซอร์โดยไม่ได้ตั้งใจ WordPress จะไม่ขอให้คุณเข้าสู่ระบบอีกครั้ง นี่เป็นคุณสมบัติที่สะดวกสบาย และเว็บไซต์หลายแห่งใช้คุกกี้เพื่อจดจำการตั้งค่าและการกระทำของคุณ
อย่างไรก็ตาม คุกกี้มีความเสี่ยงที่จะถูกโจมตี ดังที่เราได้เห็นจากการขโมยคุกกี้และช่วงไฮแจ็ก ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเข้ารหัสข้อมูลที่ละเอียดอ่อนในข้อมูลดังกล่าว ดังนั้นแฮกเกอร์จึงไม่สามารถใช้ข้อมูลดังกล่าวได้
ทำไมคุณต้องเปลี่ยนคีย์ความปลอดภัย WordPress และ Salts
เนื่องจากคีย์ความปลอดภัยและเกลือของ WordPress เป็นสตริงแบบสุ่ม จึงถือได้ว่าแข็งแกร่งและไม่เหมือนใคร อย่างไรก็ตาม ยังมีบางครั้งที่อาจจำเป็นต้องเปลี่ยน ดังที่เราได้อธิบายไว้ก่อนหน้านี้ การรักษาสตริงเหล่านี้เป็นส่วนตัวเป็นสิ่งสำคัญ ดังนั้นหากมีโอกาสถูกบุกรุก คุณจำเป็นต้องเปลี่ยนทันที
หากไซต์ WordPress ของคุณถูกแฮ็กเมื่อใดก็ตาม นี่เป็นตัวอย่างที่ดีของคีย์เกลือที่ถูกบุกรุก ด้วยมัลแวร์ แฮกเกอร์สามารถเข้าถึงไฟล์ของเว็บไซต์โดยไม่ได้รับอนุญาต รวมถึงไฟล์ wp-config.php ที่จัดเก็บเกลือ WP ดังนั้น หลังจากกำจัดมัลแวร์แล้ว จำเป็นต้องเปลี่ยนคีย์เกลือ พร้อมกับคำแนะนำหลังการแฮ็กอื่นๆ ด้วย MalCare คุณสามารถล้างมัลแวร์ และเปลี่ยนคีย์ความปลอดภัยจากแดชบอร์ดเดียวกันได้ภายในไม่กี่นาที
ถือเป็นแนวทางปฏิบัติที่ดีในการเปลี่ยนคีย์เกลือของ WordPress บ่อยๆ เช่นเดียวกับที่คุณทำกับรหัสผ่าน การเปลี่ยนข้อมูลรับรองทำให้แฮกเกอร์เจาะระบบความปลอดภัยของเว็บไซต์ของคุณได้ยากขึ้น
วิธีการเปลี่ยน WordPress salts (3 วิธี)
มีสองสามวิธีในการเปลี่ยนคีย์เกลือของ WordPress บนเว็บไซต์ของคุณ:ใช้ปลั๊กอินหรือดำเนินการด้วยตนเอง เราขอแนะนำปลั๊กอินความปลอดภัย เพราะมันง่ายกว่ามากและทำได้มากกว่าการเปลี่ยนเกลือ
1. ใช้ปลั๊กอินความปลอดภัย
วิธีที่ง่ายที่สุดในการอัปเดต salts ใน WordPress คือการใช้ปลั๊กอินความปลอดภัยที่มีคุณลักษณะ เช่น MalCare
หากต้องการเปลี่ยนคีย์ความปลอดภัยด้วย MalCare สิ่งที่คุณต้องทำคือ:
- เข้าสู่ระบบ MalCare
- ไปที่ส่วนความปลอดภัยและไฟร์วอลล์
- ภายใต้ภาพรวมความปลอดภัย ให้คลิกที่ Apply Hardening
- เลื่อนลงไปที่ส่วน Paranoid แล้วเลือก Change Security Keys
- คลิกที่สมัคร
- คุณจะต้องป้อนข้อมูลรับรอง FTP ในหน้าจอถัดไป
- เลือกโฟลเดอร์ที่ติดตั้ง WordPress ซึ่งโดยทั่วไปจะเป็นโฟลเดอร์ public_html
- คลิกที่ Apply Fix
ผู้ใช้ที่เข้าสู่ระบบจะถูกลงชื่อออกจากเว็บไซต์ แต่รหัสผ่านและชื่อผู้ใช้ยังคงเหมือนเดิม
เหตุใดเราจึงแนะนำ MalCare
MalCare เป็นปลั๊กอินความปลอดภัย WordPress ที่ซับซ้อนสำหรับการปกป้องเว็บไซต์ของคุณ นอกจากจะสามารถเปลี่ยนเกลือและคีย์ความปลอดภัยได้อย่างง่ายดายแล้ว ยังมีเครื่องสแกนเว็บไซต์แบบลึก ตัวล้างมัลแวร์ และไฟร์วอลล์ขั้นสูงอีกด้วย MalCare ช่วยให้คุณสามารถใช้ตัวเลือกการชุบแข็งของ WordPress ได้หลายแบบ และการเปลี่ยนคีย์ความปลอดภัย WordPress ก็เป็นหนึ่งในนั้น
ปลั๊กอินความปลอดภัยอื่น ๆ ที่สามารถเปลี่ยนเกลือของ WordPress ได้ กุญแจ
คุณสามารถใช้ Sucuri หรือ iThemes Security เพื่อเปลี่ยนคีย์ความปลอดภัย WordPress แทน MalCare ได้
หากต้องการเปลี่ยนคีย์ความปลอดภัยโดยใช้ Sucuri ให้ทำดังนี้:
- ไปที่ Sucuri Security บนเมนูนำทางด้านซ้าย
- ไปที่การตั้งค่า
- เลือกแท็บ Post-Hack
- ตรวจสอบ "ฉันเข้าใจว่าการดำเนินการนี้ไม่สามารถย้อนกลับได้" กล่อง
- คลิกที่สร้างคีย์ความปลอดภัยใหม่
ด้วย Sucuri คุณสามารถกำหนดเวลาให้อัปเดตคีย์ได้โดยอัตโนมัติ
หากต้องการเปลี่ยนคีย์ความปลอดภัยโดยใช้ iThemes ให้ทำตามขั้นตอนเหล่านี้:
- ไปที่ความปลอดภัยในเมนูนำทางด้านซ้าย
- คลิกที่การตั้งค่า
- จากบานหน้าต่างด้านซ้ายของการตั้งค่า ให้คลิกที่ไอคอนเมนูเครื่องมือที่ด้านล่าง
- เลือก Change WordPress Salts เพื่อขยายบานหน้าต่าง
- คลิกที่เรียกใช้
หมายเหตุ:เราไม่แนะนำอย่างใดอย่างหนึ่งเป็นปลั๊กอินความปลอดภัย เนื่องจากเครื่องสแกนมัลแวร์ของ Sucuri ตรวจไม่พบมัลแวร์อย่างมีประสิทธิภาพ และ iThemes เป็นหนึ่งในปลั๊กอินความปลอดภัยที่แย่ที่สุดที่เราเคยเห็น อย่างไรก็ตาม ทั้งคู่สามารถเปลี่ยนคีย์ความปลอดภัย WordPress ได้ ดังนั้นพวกเขาจึงรวมไว้ในรายการนี้
2. ใช้ปลั๊กอินเฉพาะ
หากคุณเลือกที่จะไม่ติดตั้งปลั๊กอินความปลอดภัย หรือคุณมีอยู่แล้วโดยไม่มีคุณลักษณะนี้ คุณสามารถติดตั้งปลั๊กอิน Salt Shaker ได้
หลังจากการติดตั้งและเปิดใช้งาน ปลั๊กอินเครื่องปั่นเกลือจะปรากฏในเมนูเครื่องมือของแถบนำทางด้านซ้าย มีหน้าจอเดียวที่มีตัวเลือกในการเปลี่ยนเกลือของ WordPress ทันทีหรือตามกำหนดเวลาโดยอัตโนมัติ นั่นคือทั้งหมดที่มีให้
โดยปกติเราไม่สนับสนุนม้าตัวเดียวสำหรับปลั๊กอิน โดยเฉพาะอย่างยิ่งหากคุณสามารถรับฟังก์ชันนี้เป็นส่วนหนึ่งของปลั๊กอินอื่นได้ อย่างไรก็ตาม ปลั๊กอิน Salt Shaker ทำงานได้ดีเพียงข้อเดียว
3. เปลี่ยนเกลือของ WordPress ด้วยตนเอง
คุณสามารถเปลี่ยนคีย์ความปลอดภัย WordPress ได้ด้วยตนเอง แต่โดยทั่วไปแล้วเราไม่แนะนำให้คุณค้นหาโค้ดของเว็บไซต์ของคุณ ในกรณีนี้ คุณจะต้องแก้ไข ไฟล์ wp-config.php ซึ่งเป็นหนึ่งในไฟล์หลักของ WordPress ที่สำคัญที่สุด ดังนั้นความเสี่ยงจึงสูง แม้ว่างานจะค่อนข้างง่าย
ไม่ว่าในกรณีใด ในการเปลี่ยนเกลือของ WordPress ด้วยตนเอง คุณต้องทำสิ่งต่อไปนี้:
1. รับค่าใหม่ จากตัวสร้างรหัสลับของ WordPress โปรดทราบ:คุณไม่จำเป็นต้องมีคีย์เหล่านี้สำหรับการใช้งานส่วนตัว ดังนั้นอย่าบันทึกไว้ที่ใด นอกจากนี้ ไม่ควรพยายามสร้างสตริงเหล่านี้ด้วยตัวเอง
2. สำรองข้อมูลเว็บไซต์ของคุณ . นี่เป็นข้อควรระวังที่จำเป็น เนื่องจากคุณจะต้องแก้ไขไฟล์ WordPress หลักด้วยตนเอง ดังนั้นจึงมีโอกาสที่เว็บไซต์จะพังได้
3. แก้ไขไฟล์ wp-config.php . ที่นี่คุณมีสองตัวเลือก:หนึ่ง คุณสามารถดาวน์โหลดไฟล์ผ่าน FTP แก้ไขและอัปโหลดไฟล์ที่แก้ไขแล้วอีกครั้ง หรือสอง ใช้ SSH เพื่อแก้ไขไฟล์โดยตรงบนเว็บเซิร์ฟเวอร์
4. มองหา คีย์และเกลือที่ไม่ซ้ำสำหรับการตรวจสอบสิทธิ์
5. เปลี่ยนรหัส ที่นั่น และบันทึกการเปลี่ยนแปลงของคุณ
เมื่อคุณเปลี่ยนคีย์เกลือแล้ว ผู้ใช้ที่เข้าสู่ระบบทั้งหมดจะถูกออกจากระบบเว็บไซต์ และต้องเข้าสู่ระบบใหม่อีกครั้ง ไม่มีอะไรเกิดขึ้นกับข้อมูลประจำตัว และรหัสผ่านยังคงเหมือนเดิม
สำคัญ: อย่าบันทึกกุญแจไว้ที่ใด คุณจะไม่ต้องการพวกเขา
เปลี่ยนคีย์เกลือของ WordPress บ่อยแค่ไหน
โดยค่าเริ่มต้น เว็บไซต์ WordPress จะมาพร้อมกับเกลือและคีย์ความปลอดภัย ดังนั้นจึงไม่จำเป็นต้องติดตั้ง ครั้งเดียวที่การเปลี่ยนเกลือกลายเป็นเรื่องสำคัญคือทันทีหลังจากการแฮ็ก คุณควรสมมติว่าหากเว็บไซต์ของคุณมีมัลแวร์ คีย์จะถูกบุกรุก การรู้แฮชเข้ารหัสที่ใช้ในเว็บไซต์ของคุณช่วยให้แฮกเกอร์เข้าถึงได้ง่ายขึ้น
บางครั้งคุณอาจพิจารณาเปลี่ยนเกลือคือเมื่อคุณตั้งค่าเว็บไซต์เป็นครั้งแรก หรือทุกๆ หกเดือนหรือมากกว่านั้น สิ่งนี้ทำให้ผู้โจมตีค้นหาข้อมูลประจำตัวของคุณได้ยากขึ้น แต่ก็ไม่ได้บังคับ
สิ่งอื่น ๆ ที่คุณสามารถทำได้เพื่อป้องกันการเข้าสู่ระบบของผู้ใช้ของคุณ
เราพูดครั้งแล้วครั้งเล่า แต่ความปลอดภัยของรหัสผ่านมีความสำคัญต่อการปกป้องเว็บไซต์ของคุณ นอกเหนือจากการตรวจสอบให้แน่ใจว่าเกลือของ WordPress และคีย์ความปลอดภัยได้รับการอัปเดตและเก็บไว้เป็นส่วนตัวแล้ว นี่คือสิ่งที่คุณสามารถทำได้:
- รับการป้องกันกำลังเดรัจฉาน
- บังคับใช้รหัสผ่านที่รัดกุม
- ต้องการรหัสผ่านที่ไม่ซ้ำ
- ต้องการรหัสผ่านที่ไม่ถูกค้นพบในการละเมิดข้อมูล
- ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย
- จำกัดการพยายามเข้าสู่ระบบ
- ปิดใช้งาน XML-RPC
บทสรุป
เกลือของ WordPress ช่วยปกป้องข้อมูลรับรองการเข้าสู่ระบบของคุณจากการที่แฮกเกอร์สามารถอ่านได้ ในขณะที่ยังคงอนุญาตให้คุกกี้ช่วยให้คุณลงชื่อเข้าใช้บัญชีของคุณได้ มีประโยชน์ด้านความปลอดภัยในการรักษา WP salts ให้อัปเดตเป็นประจำ แต่ถ้าไม่มีการแฮ็กก็ไม่สำคัญ
หากคุณต้องการความช่วยเหลือ โปรดติดต่อเรา เราชอบที่จะได้ยินจากคุณ!
คำถามที่พบบ่อย
เกลือของ WordPress คืออะไร
เกลือของ WordPress เป็นสตริงอักขระสุ่มยาว ๆ ที่ WordPress ใช้เพื่อรักษาความปลอดภัยข้อมูลประจำตัวของผู้ใช้ที่เข้าสู่ระบบ หรือที่เรียกว่าคีย์ความปลอดภัย เกลือถูกใช้เพื่อสร้างแฮชเข้ารหัสของชื่อผู้ใช้และรหัสผ่านเพื่อความปลอดภัย
ทำไม WordPress ถึงเรียกพวกเขาว่าเกลือ
เกลือเป็นศัพท์การเข้ารหัสที่อ้างถึงข้อมูลสุ่มที่เพิ่มลงในข้อมูลที่จำเป็นก่อนที่จะได้รับการเข้ารหัส คีย์ความปลอดภัยและเกลือของ WordPress ทำอย่างนั้นกับชื่อผู้ใช้และรหัสผ่าน ดังนั้นจึงเรียกว่าเกลือ
เหตุใดฉันจึงควรเปลี่ยนคีย์เกลือบน WordPress
คุณต้องเปลี่ยนเกลือของ WordPress และคีย์ความปลอดภัยหากเว็บไซต์ของคุณมีมัลแวร์ แฮกเกอร์สามารถเข้าถึงไฟล์ WordPress รวมถึงไฟล์ wp-config.php ที่จัดเก็บเกลือ หากแฮ็กเกอร์ได้รับข้อมูลนี้ พวกเขาสามารถถอดรหัสรหัสผ่านที่ใช้ในเว็บไซต์ของคุณได้ ดังนั้นจึงเป็นเรื่องสำคัญที่จะต้องเปลี่ยนคีย์ความปลอดภัย WP และเกลือหลังจากแฮ็ค
ฉันจะเปลี่ยนเกลือใน WordPress ได้อย่างไร
มี 3 วิธีในการเปลี่ยนคีย์เกลือของ WordPress:
- ใช้ปลั๊กอินความปลอดภัยพร้อมฟีเจอร์เสริมความแข็งแกร่ง เช่น MalCare
- ใช้ Salt Shaker ซึ่งเป็นปลั๊กอินเฉพาะเพื่อเปลี่ยนเกลือของ WordPress
- เปลี่ยนเกลือและคีย์ความปลอดภัยด้วยตนเองในไฟล์ wp-config.php
