認證唯一金鑰保護你的安全

相信來這裡的人都是使用 WordPress 的人!
有些人可能從 1.0 1.5 版本就開始使用了。而拜 WordPress 便利的升級系統設定,以前只要上傳檔案,在登入後台即可。現在更加的簡單,只要在後台按一個按鈕就可以了。
不過有一些東西更新系統無法幫你更新。
例如 wp-config.php 中的一些安全性設定。

這幾組認證唯一金鑰,可是很重要的。
關係到你系統的安全度,所以請大家一定要檢查一下你的設定中是否接包含這些數據。
總計有 八個 不同名稱的安全金鑰,分別為

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY
  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

至於他們每一個的實際用途與代表的意義,對你我來說一點都不重要,重要的是你要確定你有定義這八組的金鑰。而金鑰的內容就是隨意的字串,如果不知道該如何設定,可以至 https://api.wordpress.org/secret-key/1.1/salt/ 就可以看到官方幫你想出來的隨意字串啦!
每一次前往該網頁都會看到不同的字串,所以字串的內容是不重要的,夠亂夠常才是重點。

如果要發現這些金鑰對於安全性的影響,最簡單的方法,就是在登入的狀態下,變更金鑰的內容。
這時你就會發現你的帳號被登出,這就是因為安全金鑰變更,讓系統辨識你登入狀態的資料無法驗證而將使用者登出。
這也就是他為何可以保護你帳號安全的理由。讓駭客無法用偽造的資料來登入你的網站。