WordPress 的 Salt 密钥 是一项蛮重要的WordPress安全机制,它通过一组随机生成的密钥来保护用户会话的 Cookie,提升我们网站的安全性。
根据多项安全研究显示,WordPress 网站中最常被黑客利用的漏洞之一,就是这些会话 Cookie。WordPress.com 曾经也因为这个问题导致数百万用户账户遭遇风险。
Salt 密钥被存放在 WordPress 的主配置文件 wp-config.php 里。所有系统都可能存在潜在漏洞,这些密钥当然也不例外,所以定期更改它们是让我们网站更安全的一种做法,避免长期使用相同密钥带来隐患。
虽然 WordPress 本身并没有提供一个原生的自动更换 Salt 密钥的功能,不过有一个叫 Salt Shaker 的插件就是专门为这个而设计的。它可以帮助你自动、定期更新 WordPress 的 Salt 密钥。
Salt Shaker 自动更换 salt 密钥
安装插件后,它会在 WordPress 后台的「工具」菜单添加一个设置页面。
-
设置自动更换 Salt 密钥的频率:你可以选择每日、每周、每月、每季度、每半年或每年更换一次。付费版本还可以指定具体的日期和时间进行更换。
-
手动更换 Salt 密钥:当你怀疑网站遭遇入侵,或者正在被攻击啥的。手动更换 Salt 密钥会立即让所有用户(包括你自己)自动退出登录,让你有更多时间时间采取更好的安全措施,比如启用双重验证。
就这么简单。如果你的 wp-config.php 文件没有被设置为只读权限,它就不会出现任何问题,Salt 密钥会按你设定的方式自动更新。
