WordPress-sikkerhedsnøgler er krypteringsprotokoller, der beskytter dine loginoplysninger. De gør det sværere for hackere at få adgang til dit websted. Selv om du kan gøre dit websted mere sikkert ved at ændre disse sikkerhedsnøgler regelmæssigt, kan det virke besværligt at gøre det.
Heldigvis er der tre ligetil måder, hvorpå du kan ændre dine WordPress-sikkerhedsnøgler. Endnu bedre, der er en metode for hvert brugerniveau, fra WordPress-anbegynder til komplet ekspert. Ved at følge denne vejledning kan du gøre dit websted mere modstandsdygtigt over for sikkerhedstrusler.
I dette indlæg vil vi se nærmere på WordPress-sikkerhedsnøgler. Vi vil også diskutere, hvorfor du måske ønsker at opdatere dine sikkerhedsnøgler, og vise dig tre nemme måder at gøre det på. Lad os komme i gang!
En introduktion til WordPress sikkerhedsnøgler
WordPress-sikkerhedsnøgler er krypteringsværktøjer, der beskytter dine loginoplysninger. De fungerer ved at låse og låse op for dine passwords og andre oplysninger. På denne måde er dine oplysninger svære at afkode for hackere, hvilket hjælper dig med at forhindre svindel og andre svindelnumre på dit websted.
Når du logger ind på dit WordPress-websted, gemmer cookies dine loginoplysninger på din computer. Derfor behøver du ikke at logge ind, hver gang du genindlæser siden eller besøger dit websted igen.
Alle disse oplysninger gemmes i en krypteret form (genereret af WordPress) ved hjælp af tilfældige tegnstrenge. Som følge heraf er dine legitimationsoplysninger umulige at skelne fra tegn, hvilket gør dem svære at stjæle.
Nøglerne genereres automatisk af WordPress og gemmes i din wp-config.php-fil. Der er fire sikkerhedsnøgler i alt:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONE_KEY
Hver sikkerhedsnøgle har en tilsvarende WordPress-salt. Salte er kryptografiske værktøjer, der hjælper med at sikre oplysninger i dine cookies. Ligesom nøgler gemmes salts også i filen wp-config.php:
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONE_SALT
Sammen gemmer WordPress-sikkerhedsnøgler og salte dine oplysninger sikkert og autentificerer passwords på dit websted.
Forskellen mellem WordPress-sikkerhedsnøgler og salts
WordPress-sikkerhedsnøgler svarer næsten til passwords. De kan kryptere en besked ved hjælp af alfanumeriske og specialtegn. Derefter bruger du den samme nøgle til at de-kryptere oplysningerne tilbage til almindelig tekst.
Der tilføjes et salt til krypteringen for at gøre adgangskoden vanskeligere at omvendt konstruere. Derfor giver de et ekstra lag af sikkerhed.
Samlet set er salte og WordPress-sikkerhedsnøgler ens, da begge protokoller gør dit websted mindre sårbart over for sikkerhedstrusler. Det er ikke ualmindeligt, at WordPress-websteder bliver hacket, især ved brug af almindelige passswords med middelhøj sværhedsgrad. En tilfældig streng af tegn er dog næsten umulig at knække.
Hvornår du skal ændre dine WordPress-sikkerhedsnøgler
Da WordPress-sikkerhedsnøgler genereres af WordPress, behøver du typisk ikke at bekymre dig om dem. Der er dog nogle scenarier, hvor det giver mening at ændre dine sikkerhedsnøgler:
- En ondsindet aktør kan have set eller fået adgang til dit webstedets wp-config.php-fil (herunder en lokal backup).
- Dit websted er blevet inficeret af malware.
- Du foretrækker at ændre dine passwords regelmæssigt for at gøre det sværere for hackere at bryde ind på dit websted. Du kan vælge at gøre dette hvert halve år eller deromkring.
Hvis du finder malware på dit websted, er det første skridt at scanne dit websted for at fjerne malware. Ideelt set ville du dog have et værktøj, der opdager og løser problemerne, før de bliver for problematiske.
Kinsta APM er et værktøj til overvågning af ydeevne, der er designet eksplicit til WordPress. Det gør det muligt for dig at identificere eventuelle problemer på dit websted og få dem løst hurtigt:
For eksempel får du tidsstemplede oplysninger om problemer som lange API-kald, langsomme databaseforespørgsler og ikke-optimeret kode. Endnu bedre er det, at Kinsta APM er gratis med alle vores hostingabonnementer.
Sådan ændres WordPress Sikkerhedsnøgler (3 Metoder)
Nu hvor du ved mere om WordPress-sikkerhedsnøgler, lad os se på tre enkle måder at ændre dem på!
1. Brug et dedikeret plugin
Den nemmeste måde at ændre dine WordPress-sikkerhedsnøgler på er at bruge et kvalitets-plugin. Salt Shaker plugin blev designet til netop dette formål:
Hvad mere er, kan du bruge Salt Shaker til at oprette automatiske tidsplaner for nøgle- og saltændringer. Desuden kan du nemt indstille og glemme passwords, da du ved, at værktøjet tager sig af resten.
For at komme i gang skal du blot installere og aktivere plugin’et i WordPress for at komme i gang. Derefter skal du navigere til Værktøjer > Salt Shaker:
Her kan du indstille en tidsplan for at ændre dine sikkerhedsnøgler og salte regelmæssigt. Du kan også klikke på Change Now for at opdatere værdierne med det samme.
2. Brug et generelt sikkerhedsplugin
Sikkerhedsplugins er nyttige, da de typisk automatiserer mange sikkerhedsopgaver, f.eks. sikkerhedskopiering og opdateringer. I mellemtiden kan du, afhængigt af din udbyder, generelt drage fordel af yderligere sikkerhedsforanstaltninger som f.eks. firewalls og malware-scanninger.
Sucuri Security er et glimrende valg, der har specialiseret sig i WordPress-sikkerhed. Det er gratis at bruge og tilbyder et sæt sikkerhedsfunktioner, herunder fjernscanning af malware, revision af sikkerhedsaktiviteter og sikkerhedsforanstaltninger efter hacking:
En anden god mulighed er Wordfence Security, som har over fire millioner installationer og har specialiseret sig i firewall og malware-scanning. Hvis du er usikker på, hvilket WordPress-sikkerhedsplugin du skal bruge, kan du tjekke vores indlæg: Sucuri vs. Wordfence.
Vi vil vise dig, hvordan du ændrer dine WordPress-sikkerhedsnøgler ved hjælp af Sucuri. Først skal du installere og aktivere plugin’et. Derefter skal du gå til Sucuri Security > Settings og skifte til fanen Post-Hack:
Rul derefter ned, og klik på Generer nye sikkerhedsnøgler:
Du kan også indstille en tidsplan for opdatering af dine nøgler. Du skal blot bruge dropdown-menuen til at vælge den mest passende tidsramme for dit websted. Tryk derefter på Send.
3. Ændre dine WordPress-sikkerhedsnøgler manuelt
Det er muligt at ændre dine sikkerhedsnøgler manuelt. Det kræver dog, at du får adgang til dine webstedsfiler. Da du skal redigere en vigtig kernefil, er det vigtigt at føle dig sikker på at gøre det. De to foregående metoder er måske mere velegnede, hvis du er nybegynder.
For at bruge denne metode skal du få nye sikkerhedsnøgle- og saltværdier fra WordPress’ hemmelige nøglegenerator:
Derefter skal du tage backup af dit websted, hvis noget går galt. Det kan også være nyttigt at opsætte et scene-miljø. Du kan gøre dette med vores premium scenemiljøer add-on. Dette skaber i det væsentlige en kopi af dit websted, hvor du kan teste ny software og køre opdateringer sikkert uden at bekymre dig om at ødelægge dit websted.
Dernæst skal du finde og redigere filen wp-config.php. Du kan downloade filen via FTP for at redigere og genindlæse filen til WordPress. Alternativt kan du bruge File Manager til at redigere filen direkte.
Du kan finde filen i din mappe public_html. Nederst i skærmbilledet kan du se wp-config.php:
Åbn filen, og rul ned, indtil du ser Authentication Unique Keys and Salts (Autentifikation unikke nøgler og salte):
Derefter skal du blot erstatte salte og nøgler med de nye koder, der genereres af WordPress. Alle loggede brugere skal logge ind på dit websted igen, når dette er gjort. Deres brugernavne og password vil dog forblive de samme.
Når du er færdig, skal du trykke på Gem. Der er ingen grund til at skrive disse nye værdier ned, da du ikke får brug for at kende dem igen.
6 andre måder at beskytte dine WordPress-logins på
Mens det at ændre dine WordPress-sikkerhedsnøgler er en god måde at øge sikkerheden på dit websted på, er der andre måder at beskytte dine loginoplysninger på. Her er seks af vores vigtige tips!
1. Opfordre til stærke, unikke passwords
Det er fint nok at oprette din egen sikre passwords. Men det er også vigtigt at sikre, at de andre brugere af dit websted overholder de samme standarder.
Faktisk er det kun 4% af folk, der bruger en password-generator til at oprette virksomhedens adgangskoder, mens 76% af folk selv vælger deres adgangskoder.
Dette kan resultere i svage, genbrugte passwords, der er lette at gætte. Selv i dag er de mest almindelige adgangskoder, der findes i lækager, “password” og “123456”. Overvej derfor at oprette unikke, stærke passwords for at sikre dit websted.
Hvis du ikke bruger en passwordadministrator, skal du huske på, at de mest sikre passwords består af små og store bogstaver. Overvej desuden at bruge specialtegn og tal, og tilstræb at gøre passwords så lange som muligt. Vi anbefaler, at du holder dig fra ordbogs-ord eller passwords, som du har brugt før.
2. Brug to-faktor-autentificering
To-faktor-autentifikation kræver to autentifikationsmetoder for at få adgang til dit websted. Typisk er den første nøgle en password (som du normalt ville bruge), og den anden kan være en realtidskode, der sendes via en besked eller e-mail. Da bots ikke kan oprette den anden nøgle, er brugen af to-faktor-godkendelse en god måde at forbedre sikkerheden i skyen på.
Du kan opsætte denne godkendelsesmetode på dit websted ved hjælp af et plugin som WP 2FA:
WP 2FA er et fleksibelt værktøj, der understøtter flere autentifikationsmetoder såsom e-mail OTP, e-mail-links, push-notifikationer, stemmeautentifikation, Whatsapp og meget mere. Med en simpel installationsproces kan du straks aktivere denne funktionalitet på dit websted, uanset om du driver en WooCommerce-butik eller endda et medlemswebsted.
3. Begræns loginforsøg
Selv hvis hackere ikke kender dine adgangskoder, kan de måske bruge kendte kombinationer af password og brugernavn til at få adgang til dit websted. Disse trusler er kendt som brute force-angreb, og de bliver mere og mere populære.
Derfor er det en god idé at installere et plugin, der begrænser loginforsøg. Limit Login Attempts Reloaded er en glimrende mulighed:
Dette plugin kan forhindre brute force-angreb og optimere din websteds ydeevne ved at begrænse loginforsøg på tværs af WordPress, WooCommerce og brugerdefinerede login-sider. For ekstra ro i sindet kan du også ændre din WordPress-loginside for at gøre det sværere for hackere at tage kontrol over dit websted.
4. Aktiver automatisk afmelding
Afhængigt af dine indstillinger logger WordPress automatisk brugere ud af dit websted efter en vis periode (normalt mellem 48 timer og 14 dage). Men hvis du lader din session være åben i en fane, kan hackere få fat i dit websted via cookies i din browser.
Derfor kan det være nyttigt at installere et plugin, der logger brugere ud af dit websted efter et bestemt tidsrum. Inaktiv logout afslutter automatisk inaktive brugersessioner:
Du kan bestemme den idle timeout-tid og aktivere en nedtælling på ti sekunder for at advare brugerne om logout. Du kan også oprette en brugerdefineret popup-meddelelse for at underrette brugerne eller omdirigere dem til en timeout-side. Endnu bedre, plugin’et giver en simpel brugergrænseflade (UI) og er hurtig og nem at sætte op.
5. Gennemgå brugerroller
Det er vigtigt at sikre, at brugerne på dit websted har de korrekte rettigheder. Der kan f.eks. være tilfælde, hvor du opgraderer en redaktør til en administratorrolle til et bestemt formål. Hvis du imidlertid glemmer at ophæve dette privilegium, er dit websted mere sårbart over for angreb, da en hacker kan få adgang til alt ved at bryde ind på administratorkontoen.
Derfor anbefaler vi, at du tilbagekalder rettighederne, når opgaverne er udført. Det kan også være en god idé at gennemgå dine brugerroller regelmæssigt og kontrollere, at brugerne har de rette adgangsniveauer. Hvis du finder ud af, at nogle brugere har uretmæssige rettigheder, kan du nemt ændre dem ved at gå til Brugere i dit WordPress-dashboard.
6. Deaktiver XML-RPC
XML-RPC er en WordPress-funktion, som gør det muligt at udgive indhold eksternt. Selv om det er en sikker funktion, kan den også bruges af hackere til brute force-adgang til dit websted.
Hvis du ikke har brug for funktionen, er det derfor bedst at deaktivere XML-RPC for at gøre dit websted mere sikkert. Du kan gøre dette med et plugin eller ved at redigere din .htaccess-fil.
Opsummering
Ændring af dine WordPress-sikkerhedsnøgler er en god måde at beskytte dine loginoplysninger på. Heldigvis er det nemt at gøre det ved hjælp af et plugin eller ved at justere dine webstedsfiler. Så kan du gøre det næsten umuligt for hackere at få adgang til dit websted.
Den nemmeste måde at ændre dine sikkerhedsnøgler på er med et dedikeret plugin som Salt Shaker. Du kan dog også bruge et generelt sikkerhedsplugin som Sucuri. Dette værktøj indeholder andre nyttige funktioner, som f.eks. malware-scanning og firewalls. Endelig kan du også ændre dine nøgler manuelt ved at redigere din wp-config.php-fil.
Du kan også forbedre din hjemmesides sikkerhed ved at vælge sikker WordPress-hosting. Hos Kinsta bruger vi to kraftfulde firewalls til at beskytte dit websted. Derudover tilbyder vi gratis SSH-adgang, installation af SSL-certifikater med et enkelt klik og et dedikeret malware-team. Tjek vores planer i dag for at komme i gang!