Unlimited Plugins, WordPress themes, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. WordPress
Code

Как автоматически обновить соли WordPress

by
Difficulty:IntermediateLength:MediumLanguages:

Russian (Pусский) translation by Anna Goorikova (you can also view the original English article)

Если вы когда-либо просматривали основной файл конфигурации (wp-config.php) для сайта WordPress, вы, вероятно, заметили раздел, определяющий восемь констант WordPress, относящихся к ключам и солям безопасности:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY
  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Примечание: wp-config.php по умолчанию находится в корневой папке вашей установки WordPress.

Эти константы содержат ключи безопасности и соли, которые используются внутри WordPress, чтобы добавить дополнительный уровень аутентификации и повысить безопасность.

WordPress использует файлы cookie (а не сессии PHP), чтобы отслеживать, кто в данный момент залогинен в системе. Эта информация хранится в файлах cookie в вашем браузере.

Чтобы убедиться, что данные аутентификации максимально безопасны, уникальные ключи и соли используются для повышения уровня шифрования файлов cookie. Рекомендуется использовать длинные строки (обычно 64 символа) случайных буквенно-цифровых символов и специальных символов.

В WordPress 2.6 были добавлены постоянные ключи безопасности AUTH_KEY, SECURE_AUTH_KEY и LOGGED_IN_KEY, которые заменили единый ключ «все-в-одном», впервые введенный в WordPress 2.5.

NONCE_KEY был добавлен вскоре после этого в WordPress 2.7. Соответствующие соли были добавлены AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT и NONCE_SALT вместе с каждым ключом безопасности, но только до WordPress 3.0 они были добавлены в wp-config.php.

До WordPress 3.0 вы могли бы добавить свои собственные определения констант солей в wp-config.php, иначе они были бы сгенерированы WordPress и сохранены в базе данных.

В то время как четыре константы ключа безопасности обязательны, если вы удалите константы солей из файла конфигурации WordPress, оставите их по умолчанию, или любая соль окажется дубликатом другой, тогда WordPress вместо этого получит соль из базы данных.

Для новых сайтов WordPress соли будут созданы и сохранены в базе данных.

Установка ключей безопасности и солей

Во время установки WordPress не генерирует уникальные ключи/соли безопасности в wp-config.php. Вместо этого для каждой константы вводится одно и то же сообщение по умолчанию.

Default WordPress Salts

Если вы только что установили WordPress на удаленном сервере, рекомендуется поменять сообщение по умолчанию для каждой константы безопасности/солевой константы на правильное и уникальное значение.

Иногда ваш хост сделает это для вас, если вы установите WordPress с помощью специального скрипта. Тем не менее, для спокойствия вам может потребоваться обновить ключи/соли безопасности вскоре после завершения установки.

Зачем обновлять ключи и соли?

Даже после того, как ключи безопасности и соли были изначально установлены, рекомендуется обновлять их время от времени. Все, что вы можете сделать для безопасности вашего сайта, - это, как правило, хорошая идея.

И хотя маловероятно, что ваши пароли (вместе с ключами/солями безопасности) могут быть нарушены, их периодическое обновление имеет смысл, поскольку оно защищает от непредвиденных обстоятельств, таких как резервные копии вашего сайта, которые перехватываются нежелательными третьими лицами и т. д.

Как обновить ключи безопасности и соли

Итак, как вы действительно обновляете свои ключи безопасности и соли? Давайте рассмотрим несколько разных методов.

Ручное обновление ключей и солей

Вы можете вручную создавать новые значения для каждой константы, но это довольно утомительно, особенно если у вас есть несколько сайтов WordPress для обновления! Кроме того, каждый ключ/соль может быть не таким безопасным, как это могло бы быть.

К счастью, хорошие люди в WordPress сделали этот процесс очень простым, предоставив API для автоматического создания значений ключей/солей для вас. Все, что вам нужно сделать, это посетить URL "секретного ключа":

https://api.wordpress.org/secret-key/1.1/salt/

Когда страница загружается, вам будут представлены уникальные строки для каждой константы, как показано ниже:

WordPress Salt Generator

Как вы можете видеть, каждый сгенерированный ключ/соль WordPress представляет собой случайную последовательность из 64 символов. Попробуйте обновить страницу несколько раз, чтобы убедиться, что URL-адрес генерирует полностью случайные ключи/соли каждый раз.

Если вы разрабатываете свой сайт WordPress локально, вы можете просто скопировать и вставить сгенерированные ключи/соли непосредственно в wp-config.php, чтобы заменить существующие записи.

Совет: Я бы рекомендовал всегда использовать указанный выше URL, который использует защищенный протокол HTTP.

Это эффективно устранит вероятность того, что кто-либо перехватит сгенерированные ключи/соли, когда они будут возвращены вам, прежде чем отображать их в браузере.

Если ваш сайт размещен на удаленном сервере, то для обновления ключей/солей вам потребуется либо получить доступ, либо отредактировать wp-config.php через панель управления сервером, либо через FTP-клиент, который позволяет редактировать удаленные файлы, такие как FileZilla (бесплатно).

Использование плагина для обновления ключей и солей

Если мысль о ручном редактировании файлов удаленных серверов не привлекает вас, вы можете захотеть вместо этого использовать плагин. Это очень простой способ обновить ключи/соли безопасности одним нажатием кнопки.

Существуют различные плагины для создания и обновления ваших ключей безопасности и солей. Относительно новый плагин под названием Salt Shaker, выпущенный в октябре 2016 года, представляет собой легкое решение с добавленным бонусом, что вы можете создавать расписание для автоматического обновления ключей/солей. И, самое главное, это бесплатно. Давайте посмотрим, как его использовать.

Загрузите Salt Shaker из репозитория WordPress или установите его прямо из вашего интерфейса администратора WordPress обычным способом. Перейдите в раздел Плагины > Добавить новый и начните вводить Salt Shaker в текстовом поле Поиск плагина... Когда вы увидите, что плагин появился в списке, нажмите Установить сейчас.

Salt Shaker Plugin Installation

После установки плагина появится кнопка Активировать. Нажмите эту кнопку, чтобы завершить настройку.

Теперь, когда плагин активен, мы можем его протестировать. Чтобы получить доступ к настройкам плагина, откройте Инструменты > Salt Shaker в админке WordPress.

Salt Shaker Settings

Здесь мы можем сразу же обновить ключи/соли безопасности одним щелчком мыши. Как только нажимается кнопка Изменить сейчас, справа появляется значок прогресса, указывающий, что плагин обновляет wp-config.php. Как только значок исчезнет, вы знаете, что ключи/соли безопасности были обновлены.

В целом, плагин работает очень хорошо и может потенциально сэкономить вам много времени, особенно если у вас несколько веб-сайтов WordPress. Мне бы хотелось увидеть еще пару опций выбора интервалов времени, например, трех месяцев и шести месяцев, чтобы увеличить гибкость плагина.

Кроме того, было бы полезно послать сообщение о том, когда были обновлены ключи/соли, так же как и дополнительная опция для автоматического перенаправления на страницу входа после обновления ключей/солей.

Также мы можем проверить поле Изменить ключи и соли WP и выбрать, когда обновлять константы wp-config.php. Это действительно приятная функция и в основном позволяет забыть о необходимости обновления ключей/солей безопасности. Просто пусть плагин сделает все это за вас!

Помните, однако, всякий раз, когда ключи/соли безопасности обновляются, вам потребуется снова войти в систему. Это связано с тем, что файлы cookie, относящиеся к входам, являются недействительными, поэтому пользователям необходимо снова войти в систему, чтобы обновить файл cookie.

Поэтому, прежде чем менять ключи/соли безопасности, рекомендуется иметь вашу регистрационную информацию, чтобы вы случайно не были заблокированы на своем сайте.

Использование скрипта автоматизации для обновления ключей и солей

Если вы не хотите использовать плагин, и у вас много удаленных сайтов WordPress, вы можете рассмотреть возможность использования скрипта для непосредственного обновления ключей/солей безопасности.

Недостатком этого способа является то, что вам нужно быть опытным в написании скриптов. Тем не менее, имеется несколько готовых решений, поэтому вам необязательно создавать свои собственные.

Один из таких скриптов, называемый WP-Salts-Update-CLI от Ahmad Awais, обновляет ключи/соли безопасности на вашем локальном компьютере или удаленном сервере.

Using a Script to Update Salts

Чтобы установить этот скрипт на свой компьютер (только для MacOS), откройте окно терминала и введите следующее:

sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucli

Это сделает исполняемый скрипт глобально доступным через команду wpsucli. Вы можете запустить его на локальном компьютере для активного поиска всех экземпляров файлов конфигурации WordPress и замены ключей/солей безопасности новыми значениями непосредственно из URL-адреса API-интерфейса "секретного ключа" WordPress.

При запуске скрипта на удаленном сервере рекомендуется сделать это из корневой папки, то есть cd /, а затем запустить wpsucli. Подробнее о скрипте смотрите на главной информационной странице.

Заключение

В этом уроке мы рассмотрели, что такое ключи/соли безопасности WordPress и почему важно периодически обновлять их. Мы также обсудили различные способы их обновления: от копирования/вставки вручную (если у вас есть прямой доступ к wp-config.php) до использования плагина для полной автоматизации процесса. Если вы знакомы с командной строкой, вы также можете использовать собственный скрипт для быстрого обновления локальных/удаленных сайтов.

Недостатком является то, что вам все равно придется вручную запускать скрипты, которые можно легко забыть, поэтому вместо того, чтобы планировать это в своем рабочем процессе, использование плагина для автоматизации процесса может быть лучшим способом.

Какой бы метод вы ни выбрали, важно помнить, что вы добавляете еще один уровень безопасности на свои сайты WordPress, и все, что вы делаете для достижения этого - очень хорошо!

И если вы ищете другие утилиты, которые помогут вам развить свой растущий набор инструментов для WordPress, или для того, чтобы изучать код и более хорошо разбираться в WordPress, не забудьте посмотреть, что у нас есть на Envato Market.

Advertisement
Advertisement
Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.