Hướng dẫn cơ bản về muối và khóa bảo mật WordPress

Hướng dẫn cơ bản về muối và khóa bảo mật WordPress

WordPress là một trong những hệ thống quản lý nội dung cao cấp và phổ biến nhất trên thế giới. Do đó, WordPress là mục tiêu khai thác bảo mật thường xuyên, chẳng hạn như tấn công vũ phu, tiêm SQL, phần mềm độc hại, tập lệnh chéo trang và tấn công DDoS. Trong thực tế, gần đây, một chủng phần mềm độc hại mới được gọi là Clip đang phát động các cuộc tấn công vũ phu trong các trang web WordPress, đánh cắp tiền điện tử thông qua việc chiếm quyền điều khiển clipboard.


WordPress chỉ an toàn như số lượng nỗ lực bạn bỏ ra để cải thiện bảo mật trang web của bạn. Là chủ sở hữu trang web, bạn có trách nhiệm giữ cảnh giác và thực hiện chiến lược bảo mật chủ động để ngăn chặn các cuộc tấn công độc hại. Sử dụng mật khẩu và tên người dùng yếu, không cập nhật lõi và plugin WordPress và lưu trữ kém chất lượng là một trong những lỗi bảo mật phổ biến mà chủ sở hữu trang web mắc phải, giúp truy cập dễ dàng vào các tin tặc độc hại.

WordPress là một CMS có độ an toàn cao theo cách riêng của nó. Tuy nhiên, việc giữ cho trang web được cung cấp WordPress của bạn an toàn khỏi tội phạm mạng đòi hỏi bạn phải cải thiện tư thế bảo mật và cải thiện uy tín trực tuyến của mình. Các bước đơn giản như cập nhật lõi WordPress, chọn nhà cung cấp dịch vụ lưu trữ WordPress an toàn, chú ý đến tên miền bảo mật và sử dụng mật khẩu an toàn có thể giúp chặn các bot và kẻ tấn công độc hại.

Trong bài đăng này, chúng tôi sẽ tập trung vào các muối và khóa bảo mật của WordPress và vai trò của chúng trong việc đảm bảo rằng bạn không phải đối phó với các cuộc tấn công của phần mềm độc hại.

Khóa bảo mật và muối WordPress là gì?

Khi người dùng đăng nhập vào trang web WordPress, một số cookie được tạo trên máy tính. Chúng được sử dụng để xác minh danh tính của người dùng đã đăng nhập. Nếu tin tặc xâm nhập vào cơ sở dữ liệu của bạn hoặc tìm thấy cookie của bạn, họ có thể đọc được mật khẩu của bạn, do đó làm cho trang web của bạn dễ bị tấn công.

WordPress sử dụng các khóa bảo mật và muối để cung cấp cho bạn một đầu ra khó hiểu mà được lưu trữ trong cơ sở dữ liệu hoặc cookie, thêm một lớp bảo mật vào trang web của bạn.

Hai trong số các cookie này là:

  • WordPress_ [băm] chỉ được sử dụng trên trang quản trị hoặc bảng điều khiển WordPress.
  • WordPress_logged_in_ [băm] được sử dụng trong toàn bộ WordPress để xác định xem bạn có đăng nhập vào WordPress hay không.

Các chi tiết xác thực được lưu trữ trong các cookie này của WordPress được băm (giá trị mật mã được gán) bằng cách sử dụng các mẫu ngẫu nhiên được chỉ định trong các khóa bảo mật WordPress.

Khóa bảo mật WordPress

Khóa bảo mật WordPress là một mật khẩu chứa một tập hợp các biến ngẫu nhiên, dài và phức tạp để cải thiện mã hóa, khiến cho việc bẻ khóa mật khẩu của bạn gần như không thể. Phiên bản mới nhất của WordPress sử dụng bốn khóa bảo mật, mỗi khóa có một loại muối tương ứng có thể tăng cường bảo mật cho trang web do WordPress cung cấp.

Đó là:

  1. AUTH_KEY có thể được sử dụng để thay đổi trang web. Nó giúp bạn ký cookie ủy quyền cho không phải SSL.
  2. AN NINH_AUTH_KEY được sử dụng để ký cookie ủy quyền cho quản trị viên SSL và được sử dụng để thay đổi trang web.
  3. ĐĂNG NHẬP được sử dụng để tạo cookie cho người dùng đã đăng nhập. Nó không thể được sử dụng để thay đổi trang web.
  4. NONCE_KEY được sử dụng để ký chìa khóa nonce. Khóa này bảo vệ các nonces khỏi bị tạo, do đó bảo vệ trang web của bạn khỏi bị tấn công.

Bạn sẽ tìm thấy các Khóa và Muối xác thực này trong tập tin wp-config.php, nằm trong thư mục gốc WordPress.

Muối WordPress là các chuỗi dữ liệu ngẫu nhiên băm các khóa bảo mật và thêm một lớp bảo vệ bổ sung cho trang web và thông tin đăng nhập của bạn.

Muối WordPress

Như bạn có thể thấy trong hình ảnh này, mỗi khóa bảo mật có một loại muối tương ứng, cụ thể là AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT và NONCE_SALT.

Tại sao nên sử dụng Khóa và muối bảo mật WordPress?

WordPress sử dụng cookie để theo dõi danh tính của người dùng đã đăng nhập vào trang web của bạn. Những cookie này được lưu trữ trên tài khoản bảng điều khiển của trang web của bạn, đó là phía khách hàng. Để mã hóa tốt hơn, các chi tiết xác thực (cả tên người dùng và mật khẩu) được băm bằng cách sử dụng một bộ các giá trị ngẫu nhiên được chỉ định trong các khóa bảo mật WordPress.

Vì vậy, một mật khẩu được mã hóa được tạo ngẫu nhiên như mật ong 65a3ds2873ba27us36sd89s0fcật rất khó bị bẻ khóa so với mật khẩu không được mã hóa. Do đó, chủ sở hữu trang web nên sử dụng các khóa bảo mật WordPress để bảo mật cookie của trang web của họ và ngăn chặn các tin tặc độc hại truy cập vào trang web.

Cách thay đổi khóa WordPRess và muối theo cách thủ công

Bạn có thể định cấu hình các khóa và muối bí mật theo cách thủ công hoặc bằng cách sử dụng Plugin bảo mật WordPress. Nếu bạn có một trang web WordPress tự lưu trữ, bạn sẽ phải tự thêm các khóa bảo mật.

Xin lưu ý: chúng tôi chỉ khuyên bạn nên chỉnh sửa các tệp WordPress theo cách thủ công nếu bạn là nhà phát triển hoặc thoải mái làm việc với mã ở cấp độ trung cấp trở lên. Nếu bạn là người mới bắt đầu, vui lòng chuyển sang các plugin được đề xuất bên dưới.

Đầu tiên, sử dụng trình tạo ngẫu nhiên trên WordPress để mua Khóa bí mật duy nhất.

Tạo khóa

Tiếp theo, đăng nhập vào trình quản lý tệp bảng điều khiển của bạn hoặc qua FTP. Từ đây định vị tệp wp-config.php để sửa đổi nó.

Xác định vị trí tệp WP-Config

Mở tệp và cuộn xuống phần Khóa xác thực và các bước xác thực trực tuyến. Đây là nơi bạn có thể thêm các khóa bí mật mà bạn đã tạo trước đó.

Xác thực Khóa và Muối duy nhất

Khi bạn lưu tệp, bạn sẽ được yêu cầu đăng nhập lại.

Sử dụng Plugin để cập nhật khóa & muối

Giống như hầu hết mọi thứ trong WordPress, bạn không phải làm điều này bằng tay. Một số plugin WordPress có thể được sử dụng để tự động hóa quy trình thay mặt bạn. Họ là một cách nhanh chóng và dễ dàng để thay đổi Khóa & Muối WordPress của bạn. Đây là hai chúng tôi khuyên bạn nên.

iTheme Security

iTheme Security cho BuddyPress Freemium WordPress Plugin

Thông tin và tải xuống

Phiên bản hiện tại của iTheme Security (Free v4.6 + hoặc iTheme Security Pro v1.14 +) đi kèm với tính năng bảo mật tiết kiệm thời gian, dễ dàng cập nhật các khóa và muối bảo mật WordPress. Nó cung cấp một lời nhắc cập nhật mỗi tháng và thay đổi nhu cầu tạo thủ công một bộ khóa mới hoặc chỉnh sửa tệp wp-config.php của bạn.

Để cập nhật các khóa và muối, hãy truy cập phần ‘WordPress Salts, trong‘ Tab Tab nâng cao, nhấp vào hộp kiểm chống ‘Thay đổi WordPress Salts và cuối cùng nhấp vào nút‘ Thay đổi nút WordPress Salts.

iTheme WordPress Muối

ITheme Security Pro cung cấp các tính năng bổ sung như xác thực hai yếu tố, quét phần mềm độc hại theo lịch trình và reCAPTCHA để phát hiện phần mềm độc hại và thêm một lớp bảo mật bổ sung vào các trang đăng nhập WordPress của bạn.

Lọ muối

Plugin Salt Shaker

Tương tự, Salt Shaker cung cấp các tính năng và cài đặt ấn tượng như các khóa và muối bảo mật WP thủ công và ngay lập tức thay đổi để cải thiện bảo mật WordPress của bạn.

Salt Shaker WordPress Phím & Muối

Hơn nữa, sau khi cài đặt plugin Salt Shaker, bạn có thể đặt công việc được lên lịch để thay đổi muối tự động. Tất cả bạn cần làm là chọn hộp và chọn cài đặt hàng ngày, hàng tuần hoặc hàng tháng.

Trong cả hai trường hợp, plugin được lập trình để gửi lời nhắc tự động để cập nhật các khóa WordPress. Do đó, nó cũng buộc tất cả người dùng đã đăng nhập phải thực hiện lại quy trình đăng nhập. Tất cả các tính năng này giúp bảo vệ một trang web khỏi các cuộc tấn công vũ phu và các nỗ lực hack khác.


Khi nói đến việc bảo mật trang web WordPress của bạn, phòng ngừa là cách để đi. Sự kết hợp chặt chẽ giữa các khóa bảo mật và muối của WordPress khiến cho tin tặc khó có thể bẻ khóa mật khẩu trang web. Đây là cách WordPress cung cấp bảo mật được cải thiện cho các phiên của người dùng và bảo mật dữ liệu.

Tóm lại, đây là một số điều cần lưu ý khi cập nhật các khóa và muối bảo mật WordPress.

  • Sau khi khởi chạy trang web WordPress của bạn, hãy thay đổi các khóa bảo mật và muối.
  • Luôn sử dụng trình tạo khóa muối WordPress để tạo khóa bảo mật. Hãy tự mình làm điều đó. Ngoài ra, bạn có thể hoặc tự động hóa quy trình bằng cách sử dụng plugin WordPress.
  • Cập nhật các khóa và muối bảo mật WordPress sẽ làm mất hiệu lực tất cả các cookie hiện có, khiến tất cả người dùng phải đăng xuất ngay lập tức. Vì vậy, khi thay đổi chúng, hãy lưu ý rằng một số người dùng có thể trực tuyến.
  • Nếu bạn thấy bất kỳ dấu hiệu nào của trang web của bạn bị tấn công, hãy cập nhật các khóa bảo mật WordPress và khuyến khích người dùng của bạn thay đổi mật khẩu của họ.

Bạn có bất kỳ câu hỏi về muối và khóa bảo mật? Hoặc lời khuyên bạn thêm vào? Hãy cho chúng tôi biết trong các ý kiến!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map