如何更改WordPress安全金鑰（3種方法）

WordPress 安全金鑰是一種加密協議，用於保護您的登入憑證。它們使黑客更難訪問您的網站。雖然您可以通過定期更改這些安全金鑰使您的網站更加安全，但這樣做似乎很棘手。

幸運的是，有三種直接的方法可以更改 WordPress 安全金鑰。更妙的是，從 WordPress 初學者到完全專家，每個使用者級別都有適合的方法。按照本教學，您可以讓自己的網站更能抵禦安全威脅。

在本篇文章中，我們將詳細介紹 WordPress 安全金鑰。我們還將討論為什麼要更新安全金鑰，並向您展示三種簡單的更新方法。

WordPress 安全金鑰簡介

WordPress 安全金鑰是保護您登入資訊的加密工具。它們的工作原理是鎖定和解鎖您的密碼和其他詳細資訊。這樣，黑客就很難破解您的資訊，從而幫助您防止網站上的欺詐和其他騙局。

當您登入 WordPress 網站時，cookie 會在您的計算機上儲存您的登入資訊。這就是您無需每次重新載入頁面或訪問網站時都登入的原因。

所有這些資訊都是用隨機字串加密儲存的（由 WordPress 生成）。因此，您的憑據無法與字元區分開來，很難被竊取。

金鑰由WordPress自動生成，並儲存在您的wp-config.php檔案中。總共有四個安全金鑰：

• AUTH_KEY
• SECURE_AUTH_KEY
• LOGGED_IN_KEY
• NONE_KEY

每個安全金鑰都有一個對應的 WordPress salt。Salt 是一種加密工具，有助於確保 cookie 中資訊的安全。與金鑰一樣，Salt 也儲存在 wp-config.php 檔案中：

• AUTH_SALT
• SECURE_AUTH_SALT
• LOGGED_IN_SALT
• NONE_SALT

WordPress 安全金鑰和 salts 一起安全地儲存您的資訊，並驗證您網站上的密碼。

WordPress 安全金鑰與 Salts 的區別

WordPress 安全金鑰幾乎等同於密碼。它們可以使用字母數字和特殊字元對資訊進行加密。然後，使用相同的金鑰將資訊解密為純文字。

加密時會新增 salts，使密碼更難被逆向工程破解。

因此，它們提供了額外的安全保障。總的來說，salts 和 WordPress 安全金鑰是相似的，因為這兩種協議都能降低網站受到安全威脅的可能性。WordPress 網站被黑客攻擊的情況並不少見，尤其是使用中等難度的普通密碼。但是，隨機字串幾乎不可能被破解。

何時更改 WordPress 安全金鑰

由於 WordPress 安全金鑰是由 WordPress 生成的，因此您通常不需要擔心它們。不過，在某些情況下，還是有必要更改安全金鑰：

• 惡意行為者可能檢視或訪問了您網站的 wp-config.php 檔案（包括本地備份）。
• 你的網站被惡意軟體感染。
• 你傾向於定期更改密碼，使黑客更難入侵你的網站。您可以選擇每六個月左右更換一次密碼。

如果在網站上發現惡意軟體，第一步是掃描網站，清除惡意軟體。不過，最理想的情況是，在問題變得太嚴重之前，您就能擁有一個檢測和解決問題的工具。

如何更改 WordPress 安全金鑰（三種方法）

既然您已經對 WordPress 安全金鑰有了更多瞭解，讓我們來看看更改金鑰的三種簡單方法！

1. 使用專用外掛

更改 WordPress 安全金鑰的最簡單方法就是使用優質外掛。Salt Shaker 外掛正是為此目的而設計的：

Salt Shaker

此外，你還可以使用 Salt Shaker 自動設定金鑰和 Salt 的更換時間表。此外，您還可以輕鬆設定並忘記密碼，因為該工具會處理好剩下的事情。

要開始使用，只需在 WordPress 中安裝並啟用外掛。然後，導航至工具 > Salt Shaker：

Salt Shaker 外掛設定

在這裡，您可以設定定期更改安全金鑰和 Salt 的計劃。您也可以點選 “Change Now” 立即更新值。

2. 使用通用安全外掛

安全外掛非常有用，因為它們通常會自動執行許多安全任務，如備份和更新。同時，根據你的提供商，你一般可以從防火牆和惡意軟體掃描等額外的安全措施中獲益。

Sucuri Security 是專門從事 WordPress 安全的最佳選擇。它可以免費使用，並提供一系列安全功能，包括遠端惡意軟體掃描、安全活動審計和黑客攻擊後的安全行動：

Sucuri Security

另一個不錯的選擇是 Wordfence Security，它擁有超過四百萬的安裝量，專門從事防火牆和惡意軟體掃描。如果您不確定使用哪種 WordPress 安全外掛，可以檢視我們的文章：Sucuri 與 Wordfence。

我們將向你展示如何使用 Sucuri 更改 WordPress 安全金鑰。首先，安裝並啟用外掛。然後，前往 Sucuri Security > 設定，切換到 “Post-Hack” 選項卡：

Sucuri Security

下一步，向下滾動並點選 Generate New Security Keys：

生成新的安全金鑰

您還可以設定更新金鑰的時間表。只需使用下拉選單選擇最適合您網站的時間框架。然後點選 Submit。

3. 手動更改 WordPress 安全金鑰

手動更改安全金鑰是可行的。不過，這需要訪問網站檔案。由於您需要編輯一個重要的核心檔案，因此必須對這樣做有信心。如果你是新手，前兩種方法可能更適合你。

要使用這種方法，您需要從 WordPress 金鑰生成器中獲取新的安全金鑰和 salt 值：

WordPress 新安全金鑰生成器

然後，備份您的網站，以防出錯。建立一個暫存環境也很有用。您可以使用我們的高階暫存環境外掛來這樣做。這實質上是建立了一個網站副本，您可以在此測試新軟體並安全執行更新，而不必擔心會破壞您的網站。

接下來，你需要找到並編輯 wp-config.php 檔案。您可以通過 FTP 下載該檔案，編輯後重新上傳到 WordPress。或者，你也可以使用檔案管理器直接編輯該檔案。

您可以在 public_html 資料夾中找到該檔案。在截圖底部，你可以看到 wp-config.php：

找到 wp-config.php 檔案

開啟該檔案並向下滾動，直到看到 “Authentication Unique Keys and Salts“：

更改 wp-config.php 檔案中的安全金鑰

然後，只需用 WordPress 生成的新程式碼替換 salt 和金鑰即可。完成後，所有登入使用者都必須重新登入網站。不過，他們的使用者名稱和密碼將保持不變。

完成後，點選 Save。沒有必要寫下這些新值，因為你不需要再知道它們了。

保護 WordPress 登入的 6 種其他方法

雖然更改 WordPress 安全金鑰是提高網站安全性的好方法，但還有其他方法可以保護登入資訊。以下是我們的六條基本建議！

1. 鼓勵使用強大、獨特的密碼

設定自己的安全密碼是件好事。但是，確保其他網站使用者遵守同樣的標準也很重要。

事實上，只有 4% 的人使用密碼生成器建立公司密碼，76% 的人自己選擇密碼。

這可能導致密碼薄弱、重複使用且容易被猜中。即使在今天，在洩密事件中最常見的密碼也是 “password” 和 “123456”。因此，請考慮建立獨特、強大的密碼來保護您網站的安全。

如果您不使用密碼管理器，請記住最安全的密碼由小寫字母和大寫字母組成。此外，還要考慮使用特殊字元和數字，並儘量延長密碼的長度。我們建議不要使用字典中的單詞或您以前使用過的密碼。

2. 使用雙因子身份驗證

雙因子身份驗證要求使用兩種身份驗證方法訪問網站。通常情況下，第一個關鍵字是密碼（與您通常使用的一樣），第二個關鍵字可能是通過資訊或電子郵件傳送的實時程式碼。由於機器人無法建立第二個金鑰，因此使用雙因素身份驗證是提高雲安全的好方法。

您可以使用 WP 2FA 等外掛在網站上設定這種身份驗證方法：

WP 2FA

WP 2FA是一款靈活的工具，支援多種驗證方法，如電子郵件OTP、電子郵件連結、推送通知、語音驗證、Whatsapp等。只需一個簡單的安裝過程，您就可以立即在自己的網站上啟用這一功能，無論您經營的是 WooCommerce 商店還是會員制網站。

3. 限制登入嘗試

即使黑客不知道你的密碼，他們也可能使用已知的密碼和使用者名稱組合來訪問你的網站。這些威脅被稱為暴力攻擊，而且越來越流行。

因此，安裝一個限制登入嘗試的外掛是個好主意。Limit Login Attempts Reloaded 就是一個很好的選擇：

Limit Login Attempts Reloaded

該外掛可以防止暴力攻擊，並通過限制 WordPress、WooCommerce 和自定義登入頁面的登入嘗試來優化網站效能。您還可以更改 WordPress 登入頁面，讓黑客更難控制您的網站，從而讓您更加放心。

4. 啟用自動登出

根據您的設定，WordPress 會在一段時間後（通常在 48 小時到 14 天之間）自動登出使用者。但是，如果您讓您的會話在標籤頁中開啟，黑客就可以通過瀏覽器中的 Cookie 來控制您的網站。

這就是為什麼安裝一個外掛，讓使用者在設定時間後登出網站會很有幫助。Inactive Logout 會自動終止閒置的使用者會話：

Inactive Logout 外掛

您可以確定空閒超時時間，並啟用十秒倒計時提醒使用者登出。您還可以建立自定義彈出訊息，通知使用者或將其重定向到超時頁面。更妙的是，該外掛提供了一個簡單的使用者介面（UI），設定快捷方便。

5. 審查使用者角色

確保網站使用者擁有正確的許可權非常重要。例如，有時您可能會出於特定目的將編輯器升級為管理員角色。但是，如果您忘記取消這一許可權，您的網站就更容易受到攻擊，因為黑客可以通過侵入管理員賬戶訪問所有內容。

因此，我們建議在任務完成後撤銷許可權。定期檢查使用者角色並驗證使用者是否擁有適當的訪問級別也是一個好主意。如果發現某些使用者擁有不適當的許可權，您可以通過 WordPress 面板中的 “使用者” 輕鬆進行更改。

6. 禁用 XML-RPC

XML-RPC 是 WordPress 的一項功能，可讓您遠端釋出內容。雖然這是一項安全的功能，但黑客也可以利用它強行進入你的網站。

因此，如果您不需要該功能，最好禁用 XML-RPC，使您的網站更加安全。您可以使用外掛或編輯 .htaccess 檔案來禁用該功能。

小結

更改 WordPress 安全金鑰是保護登入資訊的好方法。幸運的是，使用外掛或調整網站檔案就可以輕鬆做到這一點。這樣，黑客就幾乎無法訪問您的網站了。

更改安全金鑰的最簡單方法是使用 Salt Shaker 這樣的專用外掛。不過，你也可以使用像 Sucuri 這樣的通用安全外掛。該工具還包括其他有用的功能，如惡意軟體掃描和防火牆。最後，你也可以通過編輯 wp-config.php 檔案手動更改金鑰。