从好几个版本前开始,WordPress 就在 wp-config.php 文件里引入了“密钥”或者叫 SALT 密钥,也叫“秘密密钥”。
分别有:
-
AUTH_KEY -
SECURE_AUTH_KEY -
LOGGED_IN_KEY -
NONCE_KEY
这些密钥主要是用来增强登录验证的安全性,防止别人伪造 Cookie,保护你的网站让它更安全。简单说,就是给你的网站多上一道锁。
SALT 密钥是什么鬼?
它们是在 wp-config.php 这个配置文件里的一组“随机生成的密钥”,WordPress 自己在注释里也写了。你可以去这个网址生成(每次刷新都会重新生成), 然后把生成的密钥复制粘贴进 wp-config.php 文件里。这是手动的方法,我们也可以通过插件来每隔一段时间自动生成新密钥。
这些“密钥”(也叫 secret keys),其实早在 WordPress 2.4 的时候就有意向了。2.5 版本开始正式引入,而到了 2.7,才变成了现在这种分成四种不同密钥的形式,不像一开始只有一个。
这些自动生成的密钥会让别人更难破解你的 WordPress 密码。如果有傻逼想攻击你的网站想破解像「QM(V[Qb&*thISs9&0p@」这样的密钥,怎么也得费点功夫。它们不会直接出现在数据库里,而是加密用户的登录 cookie,让你 WordPress 的登录信息更安全、更难被偷。
当然也不是说不写这些密钥网站就会被攻击,但建议你写上去。而且你可以随时更换它们,甚至可以自定义些你记得住的奇怪密钥(虽然也没必要),最重要的是:你不需要记住它们,WordPress 永远不会问你要这些密钥(唯一的例外是你要整合 bbPress 的时候)。还有一个重点,别把这些密钥告诉别人。
还有一个虽然不太明显,但确实发生过不少次的情况是:某天你打开 WordPress 后台,发现页面空白了,或者登录总是提示失败。不知道什么具体原因,但我有很多朋友都遇到这种情况,最后的解决办法就是加上这些密钥。90% 的情况下,能解决问题。
怎么添加新的 SALT 密钥?
-
用你喜欢的编辑器打开 WordPress 的
wp-config.php文件。 -
打开 WordPress 的官方密钥生成器:https://api.wordpress.org/secret-key/1.1/
-
复制那段生成出来的密钥,然后把
wp-config.php文件里原来的示例文本替换掉就行。 -
最后,保存文件就完事了。
如果你觉得手动更改很麻烦,你可以看看这篇关于怎么定期更换WordPress salt密钥的笔记,操作非常简单。
