我在中的一个新客户现有网站中遇到了以下代码wp-config.php
define(\'AUTH_KEY\', \'put your unique phrase here\');
define(\'SECURE_AUTH_KEY\', \'put your unique phrase here\');
define(\'LOGGED_IN_KEY\', \'put your unique phrase here\');
define(\'NONCE_KEY\', \'put your unique phrase here\');
define(\'AUTH_SALT\', \'put your unique phrase here\');
define(\'SECURE_AUTH_SALT\', \'put your unique phrase here\');
define(\'LOGGED_IN_SALT\', \'put your unique phrase here\');
define(\'NONCE_SALT\', \'put your unique phrase here\');
我在网上搜索了一下,发现了一篇帖子,建议如果配置中的键和盐是重复的,那么WordPress将生成新的盐并将它们保存在数据库中。这似乎是真的,因为其中有记录
wp_options 包含salt名称和值的表。
主要问题:“WordPress在数据库中保存盐”是否存在安全风险?
请注意解释:它们主要存在于配置文件中有什么原因吗?我应该用数据库值替换配置文件值并删除数据库值吗?
最合适的回答,由SO网友:michaelrmcneill 整理而成
从WordPress Codex:
密钥位于两个位置:如果第二个位置(wp配置中)未定义密钥,则位于数据库中。php文件。如果要设置密钥,则必须在wp配置中进行设置。php文件。
数据库中的密钥是随机生成的,并将附加到wp config中的密钥。php文件在某些情况下。在wp config中定义或更改密钥非常重要。php。
如果您安装了WordPress 2.5或更高版本,那么您将在wp配置中定义SECRET\\u密钥。php已经存在。你会想改变它的价值,因为黑客会知道它是什么。如果您已从WordPress 2.5之前的版本升级到WordPress 2.5或更高版本,则应将常量添加到wp配置中。php文件。
Salting密码有助于防范存储常用字典字符串哈希值的工具。如果给定的盐串不弱,则附加值会使其更难破裂。
您应该在wp配置中设置盐。php将盐单独保存在数据库中是一种安全风险。更可能的是,如果某个邪恶的人将整个盐单独存储在数据库中,而如果你将盐存储在wp-config.php 再加上数据库中的盐,就很难获取整个盐了。您可以使用online generator. 一旦发生在wp-config.php 文件中,数据库盐本身将不再有效,并且不再存在安全风险。
