私はwp-config.php
の新しい顧客の既存のウェブサイトで次のコードに出くわしました
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
私はオンラインで検索し、キーとソルトが設定内で重複している場合はWordPressが新しいソルトを生成してデータベース内に保存することを示唆する投稿を見つけました。 wp_options
テーブル内にsaltの名前と値を持つレコードがあるので、これは正しいように見えます。
主な質問:「WordPressがデータベース内に塩を保存する」ことはセキュリティ上のリスクですか?
説明のための注意:それらが主に構成ファイル内にあり、構成ファイルの値をデータベースのものに置き換えてデータベースの値を削除する必要があるのには理由がありますか?
秘密鍵は2つの場所にあります。秘密鍵が2番目の場所(wp-config.phpファイル内)に定義されていない場合のデータベースです。あなたが秘密鍵を設定しようとしているなら、あなたはwp-config.phpファイルでそうしなければなりません。
データベース内の秘密鍵はランダムに生成され、場合によってはwp-config.phpファイルにある秘密鍵に追加されます。秘密鍵をwp-config.phpで定義または変更することは重要です。
WordPress 2.5以降をインストールした場合は、wp-config.phpですでにSECRET_KEYが定義されています。ハッカーはそれが何であるかを知っているので、あなたはその中の値を変えたいと思うでしょう。 WordPress 2.5より前のバージョンからWordPress 2.5以降のバージョンにアップグレードした場合は、wp-config.phpファイルに定数を追加する必要があります。
パスワードを塩漬けすることは、一般的な辞書文字列のハッシュ値を格納しているツールに対して役立ちます。付加価値は、与えられた塩の弦が弱くないならば、クラックすることをより難しくします。
ソルトをデータベースにのみ保存するのはセキュリティ上のリスクがあるため、wp-config.php内にソルトを設定する必要があります。あなたがwp-config.php
にソルトを保存し、それをデータベース内のソルトで補完するのであれば、悪意を持っていない誰かがそれをソルト全体をデータベースに保存するならば取得することができるでしょう。塩全体。 オンラインジェネレータ でこれらの塩をランダムに生成することができます。それらがwp-config.php
ファイルで発生すると、データベースソルトはそれ自体では有効ではなくなり、セキュリティ上のリスクが生じることはなくなります。