Kako da u WordPress-u promenite sigurnosne kljuceve i salt-ove
Jedan od najvažnijih faktora u obezbeđivanju vašeg web sajta je da se pobrinete da su vaše lozinke što bolje zaštićene. WordPress sigurnosni ključevi (WordPress security keys), poznati i kao WordPress salts i WordPress secret keys, mogu da dodaju dodatni sloj zaštite lozinki za prijavu na vašem sajtu. WordPress sigurnosni ključevi i salt-ovi enkriptuju vaše kredencijale kako bi otežali hakerima generisanje dovoljno varijacija za probijanje sigurnosnih barijera vašeg sajta.
Zato ćemo u ovom tekstu objasniti šta su WordPress sigurnosni ključevi i saltovi i detaljnije objasniti njihovu upotrebu. Na samom kraju, objasnićemo vam kada i kako da ih promenite.
Šta su WordPress sigurnosni ključevi i salt-ovi?
WordPress sigurnosni ključevi i salt-ovi su ključni elementi u održavanju sigurnosti WordPress sajta. Ovi elementi pomažu u enkripciji podataka, što dodatno otežava neovlašćen pristup vašem sajtu. Evo kako funkcionišu:
- WordPress sigurnosni ključevi (Security Keys):
- WordPress koristi sigurnosne ključeve za enkripciju informacija koje se čuvaju u kolačićima, sesijama i drugim mestima. Ovi ključevi se često koriste za autentifikaciju i obezbeđivanje integriteta podataka.
- Ključevi se generišu kao niz slučajnih karaktera i obično sadrže kombinaciju velikih i malih slova, brojeva i posebnih karaktera.
- Salt-ovi (Salts):
- Salt-ovi su dodatni sigurnosni elementi koji se koriste za otežavanje dešifrovanja lozinki. WordPress koristi salt-ove za generisanje jedinstvenih lozinki koje su teže podložne napadima hakera.
- Ovi salt-ovi se dodaju lozinkama pre nego što se enkriptuju, čime se povećava kompleksnost procesa dešifrovanja.
- Salt-ovi se često koriste zajedno sa sigurnosnim ključevima kako bi se poboljšala ukupna sigurnost sistema.
Sigurnosni ključ je lozinka koja sadrži random, dugačak i komplikovan set promenljivih koje poboljšavaju enkripciju, čineći je gotovo nemogućom za probijanje. Salt-ovi su random stringovi podataka koji štite četiri sigurnosna ključa koje WordPress koristi.
WordPress oba koristi kako bi enkriptovao poruku koristeći alfa-numeričke i posebne karaktere, a istim ključem onda dekriptovao informacije u čisti (plain) tekst.
WordPress sigurnosni ključevi i salt-ovi igraju ključnu ulogu u održavanju sigurnosti WordPress sajta. Evo nekoliko namena za koje se koriste:
Autentifikacija i Autorizacija
- Sigurnosni ključevi: Koriste se za generisanje sigurnosnih tokena koji se koriste tokom procesa prijave. Ovi ključevi čine sesije i autentifikaciju korisnika sigurnijim.
- Salt-ovi: Služe za dodavanje dodatne sigurnosti prilikom enkripcije lozinki. Kada korisnik unese lozinku, ona se kombinuje sa salt-om, čime se otežava dešifrovanje u slučaju curenja podataka.
Prevencija brute force napada
- Sigurnosni ključevi: Pomažu u sprečavanju napada brute force tako što otežavaju predviđanje ključeva koji se koriste za autentikaciju.
- Salt-ovi: Povećavaju složenost procesa dešifrovanja u slučaju da zlonamerni napadač ima pristup sačuvanim hešovima lozinki.
Sigurnost kolačića
- Sigurnosni ključevi: Koriste se za enkripciju kolačića koji se koriste tokom sesija. To dodatno povećava sigurnost komunikacije između korisnika i servera.
- Salt-ovi: Imaju ulogu u stvaranju jedinstvenih vrednosti za kolačiće, što otežava zlonamernim entitetima da manipulišu sesijama.
Zaštita od CSRF napada
- Sigurnosni ključevi: Pomažu u generisanju tokena koji se koriste za zaštitu od Cross-Site Request Forgery (CSRF) napada. Ovi tokeni omogućavaju serveru da proveri da li je zahtev stvarno došao od legitimnog korisnika.
Sigurnosni ključevi i salt-ovi zajedno čine WordPress sigurnijim, pružajući dodatne slojeve zaštite od različitih vrsta napada i pomažući u očuvanju integriteta korisničkih podataka.
Trenutno, WordPress koristi četiri sigurnosna ključa, svaki sa salt-om, kako bi poboljšao sigurnost vašeg web sajta. Naći ćete ih u wp-config.php fajlu, smeštenom u root folderu:
AUTH_KEY – Koristi se za potpisivanje autorizacionog kolačića za non-SSL. Ovi kolačići se mogu koristiti za izmene na sajtu.
SECURE_AUTH_KEY – Koristi se za potpisivanje autorizacionog kolačića za SSL admin. Ovi kolačići se koriste za izmene na sajtu.
LOGGED_IN_KEY – Koristi se za generisanje kolačića za prijavljenog (ulogovanog) korisnika. Ovi kolačići ne mogu se koristiti za izmene na sajtu.
NONCE_KEY – Koristi se za potpisivanje nonce ključa koji štiti nonce od generisanja, štiteći vas od određenih vrsta napada
Kako rade WordPress sigurnosni ključevi i salt-ovi?
Za razliku od većine drugih web sajt platformi, kada se novi korisnik prijavi na bilo koji WordPress sajt, informacije o njegovoj sesiji se čuvaju u kolačićima. Kolačići su mali fajlovi koji se čuvaju na vašem uređaju kada posetite web sajt.
Oni sadrže informacije poput toga da li ste prijavljeni na sajt i sadrže informacije o vašoj sesiji, a ujedno i infomacije koje su povezane sa vašim korisničkim podacima, tako da ovi kolačići mogu pratiti vaš identitet kada ponovo posetite sajt.
Obično se prilikom prijave na bilo koji WordPress sajt kreiraju dva kolačića:
- wordpress_[hash]
- wordpress_logged_in_[hash]
Da bi otežao hakerima upotrebu podataka iz kolačića, WordPress koristi sigurnosne ključeve i salt-ove. Oni rade zajedno kako bi kriptografski pretvorili tu plain tekst lozinku u random niz karaktera koji sprečevaju nekoga da pristupi vašim korisničkim podacima/kredencijalima.
Pretpostavimo da ste za lozinku uneli “mojasifra”. WordPress će pretvoriti tu lozinku u nešto poput “hsd78q34%7832$4jkhkjsfd78782^^429nsdf” i tako je sačuvati.
Dakle, osim ako neko nema pristup vašim salt-ovima i sigurnosnim ključevima, gotovo je nemoguće da prevede taj random niz karaktera u originalnu lozinku.
Kada je potrebno menjati WordPress sigurnosne ključeve i salt-ove?
Kao što ste već videli, WordPress sigurnosni ključevi i salt-ovi čuvaju vaš sajt zaštićenim. I pored toga što je to dovoljan nivo zaštite, redovnom promenom ključeva i salt-ova obezbedićete dodatni nivo bezbednosnii za vaš WordPress web sajt.
Ukoliko sumnjate da je vaš sajt hakovan, obavezno je da ih promenite zajedno sa lozinkama. Takođe je dobra ideja ažurirati salt-ove i sigurnosne ključeve ako je na vašem sajtu detektovan malware.
Sa malware-om, hakeri imaju neovlašćen pristup fajlovima web sajta, uključujući i wp-config.php fajl. Dakle, prvi korak je skeniranje sajta kako biste uklonili malware, a zatim promenili sigurnosne ključeve i salt-ove.
Za detaljnije instrukcije vezano za oporavljanje sajta nakon hakerskog napada pročitajte naš tekst Kako očistiti inficiran WordPress sajt.
Menjanje vaših WordPress ključeva i salt-ova jednom ili dva puta godišnje trebalo bi da bude dovoljno da održite vaš sajt bezbednim. Međutim, ako želite da budete dodatno oprezni, razmislite da ih menjate svakih nekoliko meseci. Iako može biti malo zahtevnije po pitanju vremena, pomaže vam da se zaštitite u slučaju kompromitovanja naloga.
Kada promenite salt ključeve, to poništava sve postojeće kolačiće. To znači da će svi prijavljeni korisnici biti odjavljeni sa sajta, uključujući i vas.
Kako promeniti WordPress sigurnosne ključeve i salt-ove?
Postoje nekoliko načina na koje možete promeniti ključeve i salt-ove vašeg sajta. Možete koristiti plugin ili to uraditi ručno, editovanjem wp-config.php fajla. Pošto je korišćenje plugina mnogo lakše, za manje iskusne korisnike preporučujemo upotrebu plugina.
Za one naprednije korisnike objasnićemo kako to može da se uradi i ručno, bez korišćenja plugina.
Promena WordPress sigurnosnih ključeva i salt-ova pomoću Sucuri plugina
Ako želite da brzo i jednostavno promenite WordPress sigurnsone ključeve i salt-ove, najbolje je da to uradite pomoću plugina.
Sucuri je jedan od najboljih plugina za bezbednost WordPress-a na tržištu. Besplatan je za korišćenje i nudi sve funkcionalnosti koje vam mogu biti potrebne za zaštitu WordPress sajta.
Za početak, instalirajte i aktivirajte Sucuri plugin.
Nakon aktivacije, videćete novi meni pod nazivom Sucuri Security dodat u vašem admin Dashboard-u
Ažuriranje WordPress sigurnosnih ključeva i salt-ova
Sada idite na Security > Settings i kliknite na tab pod nazivom “Post-Hack”.
Odatle, jednostavno označite polje “I understand that this operation cannot be reverted.” i kliknite na dugme “Generate New Security Keys” pod sekcijom Update Secret Keys.
Sucuri takođe omogućava funkciju postavljanja automatskog ažuriranja WordPress sigurnosnih ključeva. Za aktiviranje ove funkcionalnosti, iz padajućeg menija Frequency odaberite željenu vremenski okvir za vaš web sajt, a zatim pritisnite dugme Submit.
Promena WordPress sigurnosnih ključeva i salt-ova pomoću Salt Shaker plugina
Plugin pod nazivom Salt Shaker je jedini namenski plugin za promenu WordPress sigurnosnih ključeva i saltova. Omogućava vam da jednim klikom ažurirate svoje WordPress sigurnosne ključeve i salt-ove.
Da biste mogli da ga koristite potrebno je da ga iz vašeg admin Dashboard-a prvo instalirate, a zatim i aktivirate. Nakon toga će se u vašem Dashboard-u sa leve strane. pod opcijom Tools pojaviti nova opcija pod nazivom Salt Shaker.
Sada, idite na Tools > Salt Shaker kako biste pronašli sve njegove postavke i označite polje za automatsko generisanje i promenu salt ključeva.
Ako želite da automatski menjate svoje salt ključeve u određenom periodu, iz padajućeg menija izaberite učestalost (frequency): Daily (dnevno), Weekly (nedeljno), Monthly (mesečno), Quarterly (kvartalno) i Biannually (dva puta godišnje). Kada zakažete automatsku izmenu, plugin će automatski ažurirati vaše salt ključeve u postavljenim intervalima.
Učestalost koju izaberete zavisiće od potreba vašeg web sajta. Što više osetljivih podataka obrađujete, to ćete češće želeti da menjate svoje salt ključeve. Imajte samo u vidu da se dnevne promene generalno smatraju preteranim za većinu web sajtova.
Ako ne želite da zakazujete automatske promene WordPress sigurnsonih ključeva i salt-ova, jednostavno kliknite na dugme Change Now.
Kada kliknete na Change Now, to će odmah promeniti vaše salt ključeve, nakon čega će WordPress zatražiti da se ponovo prijavite.
Ručna promena WordPress sigurnosnih ključeva and salt-ova
Ručno podešavanje WordPress security keys nije teško kako može na prvi pogled da se čini. Samo treba da pratite sledeće korake:
Prvo, da biste promenili vaše starije salt-ove i ključeve, morate generisati nove. Za to koristite WordPress SALT keys API generator i jednostavno kopirajte nove vrednosti koje dobijete.
Pre nego što pređete na izmenu wp-config.php fajla, napravite rezervnu kopiju fajla. Ovo je neophodna mera opreza jer ćete ručno editovati core WordPress fajl, i postoji šansa da u slučaju neke greške tokom izmene vaš sajt može da prestane sa radom.
Da biste zamenili stare ključeve i salt-ove, koristite neki FTP klijent ili File Manager aplikaciju unutar cPanel-a vašeg WordPress hosting naloga. Nakon što se povežete na sajt ili otvorite svoj cPanel nalog, pronađite i otvorite wp-config.php fajl. Za više detalja o wp-config.php fajlu pročitajte naš tekst Kako da pomoću wp-config.php fajla kastomizujete svoj WordPress web sajt.
Sada se spustite do dela Authentication Unique Keys and Salts i zamenite kod sa novim generisanim ključevima, a zatim sačuvajte izmene.
Da biste potvrdili, vaš FTP klijent obično pita da li želite da zamenite postojeći fajl sa novom verzijom. Izaberite Yes, i to je to. Promenili ste svoje WordPress sigurnosne ključeve i salt-ove.
Zaključak
Iako vam menjanje WordPress sigurnosnih ključeva i salt-ova pruža visoku bezbednost vašeg WordPress sajta, redovno menjanje na svakih nekoliko meseci dodaje još jedan sloj kompleksnosti.
Dobra praksa je menjati ih na svakih šest meseci. Naravno, to je samo u slučaju da niste imali problem sa hakovanjem sajta. Ukoliko je vaš sajt hakovan ili je zaražen malware-om, tada je neophodno da ih promenite, jer na taj način sprečavate napadača da i dalje ima pristup vašem sajtu.
Da li vi redovno menjate WordPress sigurnosne ključeve i salt-ove? Podelite u komentarima vaša iskustva.
Nenad Mihajlović