WordPress SALT-codes zijn voor het grootste deel een manier om je WordPress-site veilig te houden door de wachtwoorden van gebruikers op je site veilig op te slaan en te authentiseren.

In dit artikel leer je wat WordPress SALT-codes zijn, waar je ze kunt vinden en hoe je ze kunt vervangen.

Wat zijn WordPress SALT-codes? Nader uitgelegd

WordPress SALT-codes, samen met hun bijbehorende beveiligingssleutels, zijn een cryptografisch hulpmiddel dat helpt om de login van je WordPress-site te beveiligen.

In het bijzonder beveiligen SALT-codes en beveiligingssleutels informatie in de cookies die WordPress gebruikt om je in te loggen.

Zodra je inlogt op WordPress, heb je de mogelijkheid om ingelogd te blijven, zodat je niet elke keer je gebruikersnaam en wachtwoord hoeft in te voeren. Om dit te doen, slaat WordPress je inloginformatie op in cookies in plaats van PHP-sessies te gebruiken.

Dat is superhandig voor gebruikers, maar dit opent ook de mogelijkheid voor een beveiligingsprobleem, mocht iemand de cookies van je browser kunnen kapen.

Om dit te voorkomen, gebruikt WordPress SALT-codes en beveiligingssleutels om je inloggegevens te beveiligen, zodat kwaadwillenden er niets mee kunnen doen. Beschouw ze als een soort “extra” wachtwoorden voor je site die voor iemand met snode plannen bijna niet te raden zijn.

Vanwege hun belang mag je je WordPress SALT-codes en beveiligingssleutels nooit met iemand delen.

Waar bevinden de WordPress SALT-codes zich?

WordPress wordt standaard geleverd met zijn eigen SALT-codes en beveiligingssleutels. Ze bevinden zich in het bestand wp-config.php van je site. Je zou in totaal acht sleutels moeten zien:

  • De eerste vier vermeldingen zijn de beveiligingssleutels.
  • De laatste vier vermeldingen zijn de WordPress SALT-codes.
Voorbeeld van SALT-codes in je wp-config.php-bestand
Voorbeeld van SALT-codes in je wp-config.php-bestand

Hoe werken de WordPress SALT-codes?

Stel dat je wachtwoord voor je WordPress-site ‘mijnwachtwoord’ is (dit is een vreselijk makkelijk te raden wachtwoord, maar komt in dit voorbeeld wel goed van pas).

Om in te loggen, voer je je gebruikersnaam en wachtwoord in. Vervolgens slaat WordPress die informatie op in twee browsercookies, zodat je ingelogd blijft (deze informatie wordt ook opgeslagen in de database van je site).

Als WordPress je wachtwoord echter zomaar opslaat — “mypassword” — dan bevindt dit zich in het openbaar voor iedereen die het wil zien. Dit wordt het opslaan van het wachtwoord in platte tekst genoemd, en het is een strenge no-no als het om beveiliging gaat.

Beveiligingssleutels en SALT-codes voorkomen dit probleem door samen te werken om dat platte tekstwachtwoord cryptografisch te veranderen in een willekeurige verzameling tekens die het toepassen van reverse-engineering onmogelijk maken zonder toegang tot je sleutels en SALT-codes te hebben.

Dus, hoewel je “mijnwachtwoord” hebt ingevoerd om in te loggen, verandert WordPress je wachtwoord in iets als “hsd78q34% 7832 $ 4jkhkjsfd78782 ^^ 429nsdf” voor opslag.

Tenzij iemand toegang heeft tot je SALT-codes én beveiligingssleutels, zou het onmogelijk zijn om die willekeurige wirwar van tekens te vertalen naar je werkelijke wachtwoord.

Moet je de WordPress SALT-codes en de beveiligingssleutels wijzigen?

Nieuwe WordPress-installaties worden standaard geleverd met hun eigen set sleutels en SALT-codes, dus je WordPress-site is al veilig zonder dat je iets eraan hoeft te doen.

Er zijn echter enkele redenen om te overwegen je SALT-codes en sleutels periodiek te wijzigen.

Het basisconcept is dat je door het periodiek wijzigen van je sleutels en SALT-codes het voor een kwaadwillige gast nog moeilijker maakt om aan deze te kunnen komen.

Als je je SALT-codes wijzigt, worden bovendien alle aangemelde gebruikers op je site automatisch uitgelogd en moeten ze opnieuw inloggen, wat een ander potentieel voordeel is. Als je bijvoorbeeld per ongeluk bent ingelogd op een openbare computer en bent vergeten uit te loggen, kun je hiermee dat account gedwongen uitloggen om ervoor te zorgen dat niemand toegang kan krijgen.

Hoe kun je de WordPress SALT-codes wijzigen? (twee manieren)

Als je SALT-codes in WordPress wilt wijzigen, hebt je twee hoofdmogelijkheden:

Zo gebruik je beide benaderingen:

WordPress SALT-codes handmatig wijzigen

Als je de SALT-codes van je site handmatig wilt wijzigen, moet je via FTP verbinding maken met de server van je site en het wp-config.php-bestand bewerken. Mocht je niet zeker weten hoe dat te doen, lees dan dit artikel over het gebruik van SFTP bij Kinsta.

Zodra je bent verbonden, ga je naar de officiële WordPress.org SALT-codegenerator. Deze pagina maakt willekeurig SALT-codes en beveiligingssleutels voor je, net zoals je hierboven hebt kunnen zien. Het zou de vier beveiligingssleutels plus vier SALT-codes moeten genereren (acht in totaal):

WordPress.org kan je helpen bij het genereren van nieuwe sleutels en SALT-codes
WordPress.org kan je helpen bij het genereren van nieuwe sleutels en SALT-codes

Verwijder vervolgens de bestaande sleutels in het wp-config.php-bestand en vervang ze door de sleutels van de SALT-codegenerator van WordPress.org te plakken:

SALT-codes veranderen in wp-config.php
SALT-codes veranderen in wp-config.php

Als je klaar bent, zou het er precies hetzelfde uit moeten zien als voorheen — alleen zijn de willekeurige tekenreeksen anders.

Zorg ervoor dat je de wijzigingen opslaat en de wp-config.php –bestand opnieuw uploadt, indien nodig.

WordPress SALT-codes veranderen met een plugin

Als alternatief voor de bovenstaande handmatige methode kun je ook een plugin gebruiken om de SALT-codes van je site te wijzigen.

De plugin Salt Shaker is een populaire gratis optie met één voordeel ten opzichte van de handmatige methode:

Je kunt deze instellen om automatisch de SALT-codes te wijzigen volgens een schema dat je zelf bepaalt. Of je kunt het ook gewoon gebruiken om handmatig SALT-codes te veranderen.

Nadat je de plugin hebt geïnstalleerd en geactiveerd, ga je naar Tools → Salt Shaker.

Als je de SALT-codes meteen handmatig wilt wijzigen, klik je op de knop Change Now.

Of je kunt ook de functie Scheduled Change gebruiken om de SALT-codes automatisch te wijzigen in een van de volgende schema’s:

  • Dagelijks
  • Wekelijks
  • Maandelijks
  • Per kwartaal
  • Twee keer per jaar
Hoe je de plugin Salt Shaker gebruikt
Hoe je de plugin Salt Shaker gebruikt

Sommige beveiligingsplugins van WordPress, met name iThemes Security, bevatten ook functies waarmee je de WordPress SALT-codes eenvoudig kunt wijzigen.

Samenvatting

WordPress SALT-codes en beveiligingssleutels helpen het inlogproces van je site en de cookies die WordPress gebruikt om gebruikers te authentiseren te beveiligen.

Je site wordt standaard geleverd met een eigen set SALT-codes en sleutels, dus je hoeft niets in te stellen om van de SALT-codes te profiteren.

Er zijn echter beveiligingsvoordelen verbonden aan het regelmatig wijzigen van de SALT-codes, om het voor kwaadwillige gasten nog moeilijker te maken om er toegang tot te krijgen.

Om de SALT-codes te veranderen, kun je de SALT-codegenerator van WordPress.org gebruiken en het wp-config.php-bestand handmatig bewerken of je kunt een gratis plugin, zoals Salt Shaker gebruiken.