WordPress ソルトとセキュリティ キーの完全ガイド

WordPress のセキュリティに関する記事で、WordPress ソルトまたはセキュリティ キーに出くわしたことがあるかもしれません 、そしてそれらが何であるか疑問に思いました。簡単に言えば、WordPress がパスワードを暗号化するために使用するランダムな文字列です。

パスワードは Web サイトのセキュリティの最も重要な側面の 1 つであるため、WordPress のソルト キーがどのように機能するか、さらに重要なこととして、必要に応じて変更する方法を理解することは価値があります。

TL;DR: MalCare を使用して、サイトの WordPress ソルトとセキュリティ キーを数秒で変更します。 MalCare は、ログイン試行を制限し、ビルトイン ブルート フォース保護と高度なファイアウォールを提供することで、ハッカーが Web サイトに侵入するのを防ぎます。誰にとってもハンズオフ セキュリティであるため、Web サイト構築の他の側面に集中できます。

WordPress ソルトとは?

WordPress ソルトまたはセキュリティ キーは、WordPress がユーザー名とパスワードを暗号化するために使用するランダムな文字列です。この文字列は、ログイン資格情報をハッシュするために使用されます。これは、暗号化プロセスを指す暗号用語です。資格情報はランダムな文字と区別できなくなるため、盗まれたり、Web サイトへのログインに使用されたりすることはありません。

WordPress ソルトと WordPress セキュリティ キーという用語は、しばしば同じ意味で使用されますが、常に同じ 8 つの文字列を指します。セキュリティ キーは 4 つあります — AUTH_KEY、SECURE_AUTH_KEY、LOGGED_IN_KEY、 とNONCE_KEY —そして、各セキュリティ キーには対応するソルトがあります。

ログイン資格情報を保護する役割があるため、WP ソルトを秘密にしておくことは非常に重要です。これらは、データベースの資格情報に加えて、WordPress のコア ファイル wp-config.php に保存されており、他の場所には一切保存しないでください。

WordPress ソルトの用途

WordPress ソルトは、ブラウザの Cookie に保存されているユーザー名とパスワードを保護するために使用されます。 WordPress は Cookie を使用して、Web サイトにログインしているかどうかを記憶します。たとえば、wp-admin にログインしていて、ブラウザのタブを誤って閉じてしまった場合、WordPress は再ログインを要求しません。これは便利な機能であり、Cookie は多くの Web サイトでユーザーの設定や行動を記憶するために使用されています。

ただし、Cookie の盗用やハイジャック セッションで見られるように、Cookie は攻撃に対して脆弱です。したがって、機密情報をハッカーが使用できないように暗号化することが重要です。

WordPress のセキュリティ キーとソルトを変更する必要がある理由

WordPress のセキュリティ キーとソルトはランダムな文字列であるため、強力で一意であると見なすことができます。ただし、変更が必要になる場合もあります。前に説明したように、これらの文字列を非公開にすることが重要です。そのため、侵害された可能性がある場合は、すぐに変更する必要があります。

WordPress サイトがいつでもハッキングされた場合、これは侵害されたソルト キーの良い例です。マルウェアを使用すると、ハッカーは、WP ソルトが保存されている wp-config.php ファイルを含む Web サイトのファイルに不正にアクセスできます。したがって、マルウェアを一掃した後、他のハッキング後の推奨事項とともに、ソルト キーを変更することが重要です。 MalCare を使用すると、マルウェアを駆除し、同じダッシュボードから数分でセキュリティ キーを変更できます。

パスワードと同じように、WordPress のソルト キーも頻繁に変更することをお勧めします。認証情報を変更すると、ハッカーが Web サイトのセキュリティを突破するのが難しくなります。

WordPress のソルトを変更する方法 (3 つの方法)

ウェブサイトの WordPress ソルト キーを変更するには、いくつかの方法があります。プラグインを使用するか、手動で行います。はるかに簡単で、ソルトを変更する以上のことを行うため、セキュリティ プラグインをお勧めします。

1.セキュリティ プラグインを使用する

WordPress でソルトを更新する最も簡単な方法は、MalCare などの機能を備えたセキュリティ プラグインを使用することです。

MalCare でセキュリティ キーを変更するには、次の手順を実行する必要があります:

<オール>

MalCare にログイン

セキュリティとファイアウォールのセクションに移動

[セキュリティの概要] で、[強化の適用] をクリックします

パラノイド セクションまで下にスクロールし、[セキュリティ キーの変更] を選択します

[適用] をクリックします

次の画面で FTP 認証情報を入力する必要があります

WordPress がインストールされているフォルダーを選択します。通常は public_html フォルダーです

[修正を適用] をクリックします

ログインしたユーザーは Web サイトからログアウトされますが、パスワードとユーザー名は変わりません。

MalCare をおすすめする理由

MalCare は、Web サイトを保護するための洗練された WordPress セキュリティ プラグインです。ソルトとセキュリティ キーを簡単に変更できることに加えて、ディープ ウェブサイト スキャナー、マルウェア クリーナー、高度なファイアウォールも備えています。 MalCare を使用すると、さまざまな WordPress 強化オプションを適用できます。WordPress セキュリティ キーの変更はその 1 つです。

WordPress ソルトの変更に使用できるその他のセキュリティ プラグイン キー

MalCare の代わりに、Sucuri または iThemes Security を使用して WordPress のセキュリティ キーを変更することもできます。

Sucuri を使用してセキュリティ キーを変更するには、次の手順を実行します。

<オール>

左側のナビゲーション メニューで Sucuri Security に移動します

設定に移動

Post-Hack タブを選択します

「この操作は元に戻せないことを理解しています」にチェックを入れます。ボックス

[新しいセキュリティ キーの生成] をクリックします

Sucuri を使用すると、キーが自動的に更新されるようにスケジュールすることもできます。

iThemes を使用してセキュリティ キーを変更するには、次の手順に従います。

<オール>

左側のナビゲーション メニューの [セキュリティ] に移動します

設定をクリック

[設定] の左側のペインで、下部にある [ツール] メニュー アイコンをクリックします

[WordPress ソルトの変更] を選択してペインを展開します

[実行] をクリックします

注:ただし、Sucuri のマルウェア スキャナーはマルウェアを効果的に検出しないため、どちらもセキュリティ プラグインとしてお勧めしません。 iThemes は、これまで見た中で最悪のセキュリティ プラグインの 1 つです。ただし、どちらも WordPress のセキュリティ キーを変更できるため、このリストに含めました。

2.専用プラグインを使用

セキュリティ プラグインをインストールしないことを選択した場合、またはこの機能のないものを既にお持ちの場合は、Salt Shaker プラグインをインストールできます。

インストールとアクティベーションが完了すると、左側のナビゲーション バーの [ツール] メニューにソルト シェイカー プラグインが表示されます。 WordPressソルトをすぐに、またはスケジュールに従って自動的に変更するオプションを備えた1つの画面があります.それだけです。

特に別のプラグインの一部として機能を取得できる場合は特に、プラグインのワントリックポニーを推奨することは通常ありません。ただし、Salt Shaker プラグインは、1 つのトリックをうまく実行します。

3. WordPress ソルトを手動で変更する

WordPress のセキュリティ キーを手動で変更することは完全に可能ですが、通常は、Web サイトのコードを調べ回らないことをお勧めします。この場合、wp-config.php ファイルを編集します。 、おそらく最も重要な WordPress コア ファイルの 1 つです。そのため、タスクは比較的単純ですが、リスクは高くなります。

いずれにせよ、WordPress ソルトを手動で変更するには、次の手順を実行する必要があります:

1. 新しい価値を得る WordPress 秘密鍵ジェネレーターから。注意:これらのキーは個人的に使用する必要はありませんので、どこにも保存しないでください。また、これらの文字列を独自に作成することはお勧めできません。

2. ウェブサイトをバックアップ .コアの WordPress ファイルを手動で編集するため、これは必要な予防策であり、サイトが壊れる可能性があります。

3. wp-config.php ファイルを編集する .ここには 2 つのオプションがあります。1 つは、FTP 経由でファイルをダウンロードし、変更したファイルを編集して再アップロードすることです。または 2 つ、SSH を使用して Web サーバー上でファイルを直接編集します。

4. Authentication Unique Keys and Salts を探します

5. コードを置き換える そこで、変更を保存します

ソルト キーを変更すると、ログインしているすべてのユーザーが Web サイトからログアウトされ、再度ログインする必要があります。資格情報には何も起こらず、パスワードは同じままです。

重要: キーをどこにも保存しないでください。それらは必要ありません。

WordPress のソルト キーを変更する頻度

WordPress Web サイトにはデフォルトでソルトとセキュリティ キーが付属しているため、インストールする必要はありません。ソルトの変更が重要になるのは、ハッキングの直後だけです。 Web サイトにマルウェアがあった場合、キーが侵害されたと想定する必要があります。 Web サイトで使用されている暗号化ハッシュを知ることで、ハッカーはそれをより簡単に取得できるようになります。

また、最初に Web サイトをセットアップしたとき、または 6 か月ごとにソルトを変更することを検討することもできます。これにより、攻撃者が資格情報を把握するのが難しくなりますが、必須ではありません。

ユーザー ログインを保護するためにできるその他のこと

何度も言いますが、パスワードのセキュリティは Web サイトを保護する上で非常に重要です。 WordPress のソルトとセキュリティ キーが更新され、非公開に保たれていることを確認する以外に、次のようなことができます:

• 力ずくで防御する
• 強力なパスワードを強制する
• 一意のパスワードを要求する
• データ侵害で発見されなかったパスワードを要求する
• 二要素認証を使用する
• ログイン試行を制限する
• XML-RPC を無効にする

結論

WordPress ソルトは、ログイン資格情報がハッカーに読み取られるのを防ぎながら、Cookie でアカウントへのログインを維持するのに役立ちます。 WP ソルトを定期的に更新することにはセキュリティ上の利点がありますが、ハッキングがない限り、重要ではありません。

ご不明な点がございましたら、お気軽にお問い合わせください。ご連絡お待ちしております!

よくある質問

WordPress ソルトとは

WordPress ソルトは、WordPress がログイン ユーザーの資格情報を保護するために使用する、ランダムな文字の長い文字列です。セキュリティ キーとも呼ばれるソルトは、セキュリティ上の目的でユーザー名とパスワードの暗号化ハッシュを作成するために使用されます。

なぜ WordPress ではソルトと呼ばれているのですか?

ソルトは、暗号化される前に重要な情報に追加されるランダム データを指す暗号用語です。 WordPress のセキュリティ キーとソルトは、ユーザー名とパスワードとまったく同じことを行うため、ソルトと呼ばれます。

WordPress でソルト キーを変更する必要があるのはなぜですか?

Web サイトにマルウェアがある場合は、WordPress のソルトとセキュリティ キーを変更する必要があります。ハッカーは、ソルトが保存されている wp-config.php ファイルを含む WordPress ファイルにアクセスできたはずです。ハッカーがこの情報を入手した場合、Web サイトで使用されているパスワードをクラックできます。したがって、ハッキング後に WP セキュリティ キーとソルトを変更することが重要です。

WordPress でソルトを変更するにはどうすればよいですか?

WordPress ソルト キーを変更するには 3 つの方法があります:

<オール>

MalCare などの強化機能を備えたセキュリティ プラグインを使用する

WordPress のソルトを変更するための専用プラグイン、Salt Shaker を使用する

wp-config.php ファイルでソルトとセキュリティ キーを手動で変更します