WordPress Salts: Bảo mật trang web WordPress của bạn như thế nào?

WordPress salts là một cách để bảo vệ trang web WordPress của bạn bằng cách giúp lưu trữ và xác thực mật khẩu của người dùng tại trang web của bạn một cách an toàn. Trong bài viết này, bạn sẽ tìm hiểu về WordPress salts là gì, cách tìm chúng và cách thay đổi chúng.

WordPress salts là gì? Một cách chi tiết hơn

WordPress salts, cùng với các khóa bảo mật liên quan, là một công cụ mật mã giúp bảo vệ quy trình đăng nhập vào trang web WordPress của bạn. Cụ thể, salts và khóa bảo mật này giúp bảo vệ thông tin trong những “cookies” mà WordPress sử dụng để đăng nhập bạn.

Khi bạn đăng nhập vào WordPress, bạn có thể chọn ở trạng thái đăng nhập để không cần nhập tên người dùng và mật khẩu mỗi lần truy cập. Để thực hiện điều này, WordPress lưu thông tin đăng nhập của bạn trong “cookies” thay vì sử dụng phiên PHP.

Điều này rất tiện lợi cho người dùng, nhưng nó cũng mở ra khả năng xảy ra vấn đề về bảo mật nếu có ai đó có thể chiếm đoạt “cookies” của trình duyệt của bạn.

Để tránh điều này, WordPress sử dụng salts và khóa bảo mật để bảo vệ thông tin đăng nhập của bạn, ngăn chặn kẻ xấu ác ý làm bất cứ điều gì với nó. Hãy xem chúng như là “mật khẩu” bổ sung cho trang web của bạn mà hầu như không thể đoán được bởi kẻ xấu.

Vì tầm quan trọng của chúng, bạn không nên chia sẻ WordPress salts và khóa bảo mật với bất kỳ ai.

WordPress salts được đặt ở đâu?

WordPress đi kèm với các salts và khóa bảo mật mặc định. Chúng được lưu trong tệp wp-config.php của trang web của bạn. Bạn sẽ thấy tám khóa tổng cộng:

• Bốn khóa bảo mật đầu tiên.
• Bốn salts WordPress cuối cùng.

WordPress salts hoạt động như thế nào?

Giả sử mật khẩu của bạn cho trang web WordPress là “mypassword” (đây là một mật khẩu kém chất lượng nhưng phù hợp với mục đích của chúng ta).

Để đăng nhập, bạn nhập tên người dùng và mật khẩu. Sau đó, WordPress lưu thông tin đó trong hai “cookies” của trình duyệt để bạn có thể duy trì trạng thái đăng nhập (thông tin này cũng được lưu trong cơ sở dữ liệu của trang web).

Tuy nhiên, nếu WordPress lưu mật khẩu của bạn chỉ như vậy – “mypassword” – thì nó trực tiếp hiển thị mật khẩu của bạn cho kẻ xấu thấy. Điều này được gọi là lưu trữ mật khẩu dưới dạng văn bản thuần túy, và đó là một lỗi lớn về bảo mật.

Việc sử dụng các khóa bảo mật và salts sẽ giúp đảm bảo rằng mật khẩu văn bản thuần túy đó sẽ được chuyển thành một chuỗi ngẫu nhiên các ký tự mà không thể được một ai đó phân tích ngược mà không cần có quyền truy cập vào khóa và salts của bạn.

Vì vậy, hãy tưởng tượng rằng dù bạn nhập “mypassword” để đăng nhập, WordPress sẽ chuyển đổi mật khẩu của bạn thành một chuỗi như “hsd78q34%7832$4jkhkjsfd78782^^429nsdf” để lưu trữ.

Trừ khi ai đó có quyền truy cập salts và khóa bảo mật của bạn, thì không thể nào họ có thể dịch ngược chuỗi ngẫu nhiên đó thành mật khẩu thực tế của bạn.

Bạn cần phải thay đổi WordPress salts và khóa bảo mật của mình không?

Theo mặc định, khi bạn cài đặt WordPress mới, trang web của bạn đã được bảo mật bằng các khóa và salts riêng của nó, vì vậy bạn không cần thực hiện bất kỳ hành động nào từ phía bạn.

Tuy nhiên, có một số lý do để xem xét việc thay đổi salts và khóa bảo mật của bạn định kỳ.

Cơ bản, bằng việc thay đổi salts và khóa của bạn định kỳ, bạn khiến nhiệm vụ chiếm đoạt salts của bạn khó khăn hơn đối với kẻ xấu.

Ngoài ra, việc thay đổi salts cũng sẽ tự động đăng xuất tất cả người dùng đã đăng nhập vào trang web của bạn và buộc họ phải đăng nhập lại, điều này cũng có thể là một lợi ích tiềm năng khác. Ví dụ, nếu bạn vô tình đăng nhập vào một máy tính công cộng và quên đăng xuất, điều này cho phép bạn đăng xuất tài khoản đó một cách bắt buộc để đảm bảo không ai có thể truy cập.

Làm thế nào để thay đổi WordPress salts (Hai phương pháp)

Nếu bạn muốn thay đổi salts trong WordPress, bạn có hai phương pháp chính:

• Thủ công, bằng cách chỉnh sửa tệp wp-config.php của bạn.
• Sử dụng một plugin miễn phí.

Dưới đây là cách sử dụng cả hai phương pháp:

Cách thay đổi salts WordPress thủ công

Để thay đổi salts của trang web của bạn thủ công, bạn cần kết nối với máy chủ trang web của bạn qua FTP và chỉnh sửa tệp wp-config.php của bạn. Nếu bạn không biết làm thế nào, hãy xem bài viết này về cách sử dụng SFTP tại Kinsta.

Khi bạn đã kết nối, hãy truy cập trang web nhà sản xuất WordPress.org để tạo ra salts và khóa bảo mật mới cho bạn. Trang web sẽ tạo ra ngẫu nhiên tám khóa và salts (tổng cộng là tám):

Sau đó, hãy xóa các khóa hiện có trong tệp wp-config.php của bạn và thay thế chúng bằng cách dán các khóa từ trang web tạo salts của WordPress.org:

Sau khi hoàn thành, nó sẽ trông giống như trước đó – chỉ có chuỗi ký tự ngẫu nhiên khác nhau. Hãy chắc chắn lưu lại thay đổi của bạn và tải lại tệp wp-config.php nếu cần.

Cách thay đổi salts WordPress bằng plugin

Như một phương pháp thay thế cho phương pháp thủ công ở trên, bạn cũng có thể sử dụng một plugin để thay đổi salts trang web của bạn.

Plugin Salt Shaker là một lựa chọn miễn phí phổ biến với một ưu điểm so với phương pháp thủ công:

Bạn có thể thiết lập nó để tự động thay đổi salts theo một lịch trình mà bạn xác định. Hoặc bạn cũng có thể chỉ sử dụng nó để thay đổi salts thủ công.

Sau khi bạn cài đặt và kích hoạt plugin, điều hướng đến Công cụ và chọn Salt Shaker.

Nếu bạn muốn thay đổi salts ngay lập tức thủ công, chỉ cần nhấp vào nút Thay đổi ngay.

Hoặc, bạn cũng có thể sử dụng tính năng Thay đổi theo lịch được plugin cung cấp để tự động thay đổi salts theo một trong các lịch trình sau:

• Hàng ngày
• Hàng tuần
• Hằng tháng
• Hằng quý (mỗi ba tháng)
• Mỗi nửa năm

Một số plugin bảo mật WordPress, ví dụ như iThemes Security, cũng có tính năng giúp bạn dễ dàng thay đổi salts của trang web WordPress.

Tóm tắt

WordPress salts và khóa bảo mật giúp bảo vệ quá trình đăng nhập vào trang web của bạn và “cookies” mà WordPress sử dụng để xác thực người dùng.

Trang web của bạn đi kèm với một bộ khóa và salts riêng theo mặc định, vì vậy bạn không cần thiết lập bất kỳ điều gì để tận dụng salts.

Tuy nhiên, việc thay đổi salts định kỳ cũng mang lại lợi ích về bảo mật để làm cho nhiệm vụ chiếm đoạt salts của kẻ xấu khó khăn hơn.

Để thay đổi salts của bạn, bạn có thể sử dụng trình tạo salts trên trang web WordPress.org và chỉnh sửa thủ công tệp wp-config.php của bạn hoặc bạn cũng có thể sử dụng plugin miễn phí như Salt Shaker.

Tiết kiệm thời gian và chi phí, và tối đa hóa hiệu suất trang web, với hơn 275 USD trị giá tích hợp cấp doanh nghiệp được bao gồm trong mỗi gói Managed WordPress. Điều này bao gồm một mạng phân phối nội dung hiệu suất cao, bảo vệ DDoS, ngăn chặn phần mềm độc hại và tấn công tấn công, caching biên, và máy tính nhanh nhất của Google. Bắt đầu không có hợp đồng dài hạn, di chuyển hỗ trợ và đảm bảo hoàn tiền trong vòng 30 ngày.

Kiểm tra các gói của chúng tôi hoặc nói chuyện với bộ phận bán hàng để tìm gói phù hợp với bạn.