相信來這裡的人使用 WordPress 的比例應該不小!
有些人可能從 1.0 1.5 版本就開始使用了。而拜 WordPress 便利的升級系統設定,以前只要上傳檔案,在登入後台即可。現在更加的簡單,只要在後台按一個按鈕就可以,甚至會在不知不覺當中就自動完成了。
不過有一些東西更新系統無法幫你更新。
例如 wp-config.php 中的一些安全性設定。
這幾組認證使用到的唯一金鑰,可是很重要的。
關係到你系統的安全度,所以請大家一定要檢查一下你的設定中是否接包含這些數據。
總計有 八個 不同名稱的安全金鑰,分別為
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
至於他們每一個的實際用途與代表的意義,對你我來說一點都不重要,重要的是你要確定你有定義這八組的金鑰。而金鑰的內容就是隨意的字串,如果不知道該如何設定,可以至 https://api.wordpress.org/secret-key/1.1/salt/ 就可以看到官方幫你想出來的隨意字串啦!
每一次前往該網頁都會看到不同的字串,所以字串的內容是不重要的,夠亂夠長才是重點。
如果要發現這些金鑰對於安全性的影響,最簡單的方法,就是在登入的狀態下,變更金鑰的內容。
這時你就會發現你的帳號被登出,這就是因為安全金鑰變更,讓系統辨識你登入狀態的資料無法驗證而將使用者登出。
這也就是他為何可以保護你帳號安全的理由。讓駭客無法用不法方式取得的資料來推算真實的資料進而登入你的網站。