Unlimited Plugins, WordPress themes, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. WordPress

Cara Auto Update WordPress Salt

by
Difficulty:IntermediateLength:MediumLanguages:

Indonesian (Bahasa Indonesia) translation by Febri Ardian Sanjoyo (you can also view the original English article)

Jika Anda pernah melihat file konfigurasi inti (wp-config.php) untuk situs WordPress, Anda mungkin sudah memperhatikan bagian yang mendefinisikan delapan konstanta WordPress yang berkaitan dengan security keys dan salts:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY
  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Catatan: wp-config.php terletak di folder akar instalasi WordPress Anda secara default.

Konstanta ini mengandung security key dan salts yang digunakan secara internal oleh WordPress untuk menambahkan lapisan otentikasi tambahan dan untuk meningkatkan keamanan.

WordPress menggunakan cookies (bukan PHP sessions) untuk melacak siapa yang sedang login. Informasi ini disimpan dalam cookies di browser Anda.

Untuk memastikan bahwa rincian otentikasi seaman mungkin, key dan salts unik digunakan untuk meningkatkan tingkat enkripsi cookie. Ini direkomendasikan untuk menjadi string panjang (biasanya 64 karakter) dari karakter alfanumerik dan simbol acak.

Konstanta kunci keamanan AUTH_KEY, SECURE_AUTH_KEY, dan LOGGED_IN_KEY ditambahkan di WordPress 2.6, yang menggantikan satu key all-in-one yang diperkenalkan pertama kali di WordPress 2.5.

NONCE_KEY ditambahkan segera setelah itu, di WordPress 2.7. salts yang sesuai AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, dan NONCE_SALT ditambahkan bersamaan dengan setiap kunci keamanan, namun tidak sampai WordPress 3.0 ditambahkan ke wp-config.php.

Sebelum WordPress 3.0, Anda bisa menambahkan definisi konstan salts Anda sendiri ke wp-config.php, jika tidak, itu akan dihasilkan oleh WordPress dan disimpan dalam database.

Sementara empat kunci keamanan konstan diperlukan, jika Anda menghapus konstanta salts dari file konfigurasi WordPress, tinggalkan di tempat default mereka, atau beberapa salts ditemukan duplikat yang lain, maka WordPress akan mengambil salts dari database.

Untuk situs WordPress baru, salts akan dihasilkan dan disimpan dalam database.

Awalnya Tetapkan Security Keys dan Salts Anda

Saat instalasi, WordPress tidak menghasilkan security keys/salts yang unik di wp-config.php. Sebagai gantinya, pesan default yang sama dimasukkan untuk setiap konstanta.

Default WordPress Salts

Jika Anda baru saja menginstal WordPress di server jauh, sebaiknya Anda mengubah pesan default untuk setiap security key/salt konstan ke nilai yang tepat dan unik.

Terkadang, host Anda akan melakukan ini untuk Anda jika Anda menginstal WordPress melalui skrip kustom. Meski begitu, untuk ketenangan pikiran, Anda mungkin ingin memperbarui security key/salt segera setelah pemasangan selesai.

Mengapa Memperbarui Tombol dan Salts?

Bahkan setelah security keys dan Salts awalnya ditetapkan, ada baiknya juga memperbaruinya sesering mungkin. Apa pun yang bisa Anda lakukan untuk membuat situs Anda lebih aman umumnya adalah ide bagus.

Dan meskipun sangat tidak mungkin bahwa kata kunci Anda (bersama dengan security key/salts ) dapat dipatahkan, memperbaruinya secara berkala masuk akal karena tindakan tersebut melindungi keadaan yang tidak terduga seperti backup situs Anda dicegat oleh pihak ketiga yang tidak diinginkan, dll.

Cara Memperbarui Kunci Keamanan dan Salts

Jadi, bagaimana Anda benar-benar memperbarui security keys dan salt Anda? Mari kita lihat beberapa metode yang berbeda.

Memperbarui Keys dan Salts Secara Manual

Anda bisa secara manual membuat nilai baru untuk setiap konstan, tapi ini agak membosankan untuk dilakukan, terutama jika Anda memiliki lebih dari satu situs WordPress untuk diperbarui! Juga, setiap key/salt mungkin tidak seaman mungkin.

Untungnya, orang-orang baik di WordPress telah membuat proses ini sangat sederhana dengan menyediakan API untuk menghasilkan key/salt values secara otomatis untuk Anda. Yang harus Anda lakukan adalah mengunjungi URL kunci rahasia:

https://api.wordpress.org/secret-key/1.1/salt/

Saat halaman dimuat, Anda akan diberi string unik untuk setiap konstanta, seperti yang ditunjukkan di bawah ini:

WordPress Salt Generator

Seperti yang bisa Anda lihat, setiap key/salt WordPress yang dihasilkan adalah urutan acak dari 64 karakter. Cobalah menyegarkan halaman beberapa kali untuk memuaskan diri Anda sehingga URL menghasilkan random key/salt sepenuhnya setiap saat.

Jika Anda mengembangkan situs WordPress Anda secara lokal, Anda cukup menyalin dan men paste keys/salts yang dihasilkan langsung ke wp-config.php untuk mengganti entri yang ada.

Kiat: Saya akan merekomendasikan selalu menggunakan URL di atas, yang memanfaatkan protokol HTTP yang aman.

Ini akan secara efektif menghilangkan kemungkinan ada orang yang mencegat keys/salts yang dihasilkan saat dikembalikan kepada Anda sebelum ditampilkan di browser.

Jika situs Anda di-host di server jauh, maka untuk memperbarui keys/salts Anda harus mengakses dan mengedit wp-config.php melalui panel kontrol server Anda, atau melalui klien FTP yang memungkinkan pengeditan file jarak jauh, seperti FileZilla (gratis).

Menggunakan Plugin untuk Memperbarui Keys dan Salts

Jika pemikiran untuk mengedit file remote server secara manual mengirimkan kepala Anda ke putaran maka Anda mungkin ingin mempertimbangkan untuk menggunakan plugin. Ini adalah cara yang sangat mudah untuk memperbarui security keys/salts Anda di klik tombol.

Ada berbagai plugin yang tersedia untuk menghasilkan dan memperbarui security keys dan salts Anda. Plugin yang relatif baru yang disebut Salt Shaker, dirilis pada bulan Oktober 2016, adalah solusi ringan dengan bonus tambahan yang dapat Anda jadikan jadwal pembaruan otomatis keys/salts terjadi kapan pun Anda mau. Dan yang terbaik, gratis. Mari kita lihat bagaimana cara menggunakannya.

Download Salt Shaker dari repositori WordPress atau instal langsung dari admin WordPress Anda dengan cara biasa. Buka Plugins> Add New dan mulailah mengetik Salt Shaker di kotak dialog Search plugins .... Bila Anda melihat plugin muncul dalam daftar, klik Install Now.

Salt Shaker Plugin Installation

Setelah plugin terinstal, tombol Activate akan muncul. Klik ini untuk menyelesaikan penyiapan.

Setelah plugin aktif, kita bisa mengujinya. Untuk mengakses setting plugin, masuk ke Tools> Salt Shaker di admin WordPress.

Salt Shaker Settings

Di sini, kita bisa mengupdate security keys/salts segera dengan satu klik mouse. Begitu tombol Change Now diklik, ikon pemintalan muncul di sebelah kanan untuk menunjukkan plugin memperbarui wp-config.php. Begitu ikon hilang, Anda tahu security keys/salts telah diperbarui.

Secara keseluruhan, plugin ini bekerja dengan sangat baik dan berpotensi menghemat banyak waktu, terutama jika Anda memiliki beberapa situs WordPress. Saya mungkin ingin melihat beberapa opsi lagi untuk memilih interval waktu, seperti tiga bulan dan enam bulan, untuk meningkatkan fleksibilitas plugin.

Juga, sebuah pesan yang dengan jelas menyatakan kapan keys/salts telah diperbarui akan berguna - seperti pilihan plugin lebih lanjut untuk secara otomatis mengarahkan ulang ke halaman login setelah keys/salts telah diperbarui.

Sebagai alternatif, kita dapat memeriksa kotak Change WP Keys and Salts dan pilih kapan konstanta wp-config.php diperbarui. Ini adalah fitur yang sangat bagus dan pada dasarnya memungkinkan Anda untuk melupakan keharusan memperbarui security keys/salts. Biarkan plugin melakukannya untuk Anda!

Ingat meskipun, setiap kali security keys/salts diperbarui, Anda akan diminta masuk lagi. Ini karena cookie yang berkaitan dengan proses masuk tidak berlaku lagi, sehingga pengguna perlu masuk kembali untuk memperbarui kuki.

Oleh karena itu, sebelum mengganti security keysa/salts Anda, ada baiknya Anda memasukkan informasi login ke tangan sehingga Anda tidak sengaja terkunci di luar situs Anda.

Menggunakan Script Otomasi untuk Memperbarui key dan salt

Jika Anda tidak ingin menggunakan plugin dan Anda memiliki banyak situs WordPress jarak jauh maka Anda dapat mempertimbangkan untuk menggunakan skrip untuk memperbarui kunci keamanan / garam secara langsung.

Kelemahan dari ini adalah Anda harus mahir dalam skrip. Namun, ada beberapa solusi siap pakai yang tersedia, jadi Anda tidak perlu kode sendiri.

Salah satu skrip tersebut, yang disebut WP-Salts-Update-CLI oleh Ahmad Awais, memperbarui security keys/salts di komputer lokal atau server jauh Anda.

Using a Script to Update Salts

Untuk menginstal skrip ini di komputer Anda (hanya macos), buka jendela terminal dan masukkan yang berikut ini:

sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucli

Ini akan membuat skrip executable secara global tersedia melalui perintah wpsucli. Anda dapat menjalankannya di komputer lokal Anda untuk secara aktif mencari semua file konfigurasi WordPress dan mengganti security keys/salts dengan nilai baru langsung dari URL kunci rahasia WordPress.

Saat menjalankan skrip di server jauh, disarankan melakukannya dari folder akar, misal cd /, lalu jalankan wpsucli. Untuk rincian lebih lanjut tentang naskah, lihat halaman informasi utama.

Kesimpulan

Dalam tutorial ini, kita telah membahas apa security keys/salts Wordpress dan mengapa penting untuk memperbaruinya secara berkala. Kami juga melihat berbagai cara untuk memperbaruinya, mulai dari penyalinan / penyisipan manual (jika Anda memiliki akses langsung ke wp-config.php) untuk menggunakan plugin untuk mengotomatisasi proses secara otomatis. Jika Anda sudah familiar dengan command line maka Anda juga bisa menggunakan custom script untuk mengupdate local / remote sites dengan cukup mudah.

Kelemahannya adalah Anda masih harus menjalankan skrip secara manual yang dapat dengan mudah dilupakan, jadi daripada harus menjadwalkannya ke alur kerja Anda, menggunakan plugin untuk mengotomatisasi proses mungkin merupakan cara terbaik untuk melakukannya.

Apapun metode yang Anda pilih, yang penting adalah mengingat bahwa Anda menambahkan lapisan keamanan lain ke situs WordPress Anda, dan apapun yang dapat Anda lakukan untuk mencapainya dengan sedikit usaha hanya bisa menjadi hal yang baik!

Dan jika Anda mencari utilitas lain untuk membantu Anda membangun perangkat Anda yang berkembang untuk WordPress atau kode untuk dipelajari dan menjadi lebih berpengalaman di WordPress, jangan lupa untuk melihat apa yang tersedia di Pasar Envato.

Advertisement
Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.