web-dev-qa-db-ja.com

Wp-configでソルトキーを変更した場合、すべてのパスワードが壊れますか?

Wp-config内のすべてのクッキーとソルトハッシュを変更した場合、現在保存されているすべてのパスワードを再設定する必要がありますか?

define('AUTH_KEY',         '9YF,b]b:G5,!@Z||G.r*lI`?yl+u_-=2SO@# :Y8f1ZW=qP)U^w+(V=i:NTZ|v/N');
define('SECURE_AUTH_KEY',  '@AoU9+`<IztB@~49`PB#+YBqiz%{xRZ<_Yp+-3$h2T|{v-cJKi^of+uK..+[41nS');
define('LOGGED_IN_KEY',    '+Xnu<OsPjg]#](HJ)j|`hCaMU5M7bv<Nk]t|r#P|Ln(G}+8+_.yqz,+U!Z+~@b4F');
define('NONCE_KEY',        '8MTF|G,yw>nNK/Ne*I4__kr~Ab.o4@WRAh03^Yy*nep|->FJ-%;&dSF80>hqb1GK');
define('AUTH_SALT',        'y2qJ|e|ug%yz]z1uQPYnyxgY|izrnVq8{N]~d)K5*,psJzazLE{ed~xo2&`nncKO');
define('SECURE_AUTH_SALT', 'rswSqKj#l(F&3Sh&nA.:eob32Gg11hcNH68_+WAi4/n|V_+X~4{zxShr_srf]N2d');
define('LOGGED_IN_SALT',   '%(0jiu`GI&{r9`&ZwO?AG7xve]4g?uYD2?-,4h#A{t7N*hWL6N,#hr{&UB;|^{#L');
define('NONCE_SALT',       'Z|EL[9mU=-5WIWpa}-=T@Aj9xR3q}9|[*<gMk1fx*U[8>1zy*yiG}R7E9;.<?j}+');

免責事項: ない 本当のキー - https://api.wordpress.org/secret-key/1.1/salt/

Saltはデータベースとwp-configの両方に保存されており、ハッシュを作成するために一緒に使用されることが多いのですが、(暗号化ではなく)パスワードの「一方向」ハッシュは逆に不可能なレベルのエントロピーを追加するためのものです。 ..

それでは、塩が変更された場合、パスワードのハッシュを一致させるためのその後のすべての試みが失敗することはありませんか?

これらのキーを定期的に変更する必要があると主張しているところもあります(月に1回から6ヶ月に1回)。

3
Bysander

いいえ、パスワードは壊れません(これらはデータベースにあり、saltを変更しても変更されません)。ただし、ログインしているすべてのユーザーは再度ログインする必要があります。

塩の詳細はこちら

注:鍵とソルトを更新すると、ログインしているすべてのユーザーが自動的に再度ログインするようになります。変更すると、サイトにログインしているユーザーのログインが自動的に無効になるためです。たとえば、ハッキングの疑いがある場合は、セキュリティキーとソルトを更新すると、ログアウトし、ログインしているすべてのユーザーが再認証されます。

そしてとても良い、そしてもっと技術的な説明がここにあります

ユーザーがログインしたときにユーザーが取得するCookieに追加されるので、saltはあなたのログインに追加のセキュリティ層を提供します。

塩を頻繁に変えてもいい、セキュリティを高めるために30日ごとに言う人もいますが、個人的にはこれをあまり変えません。

5
Nathaniel Flick