WordPress säkerhetsnycklar är krypteringsprotokoll som skyddar dina inloggningsuppgifter. De gör det svårare för hackers att få tillgång till din webbplats. Du kan visserligen göra din webbplats säkrare genom att byta dessa säkerhetsnycklar regelbundet. Det kan dock verka knepigt att göra detta.

Det finns lyckligtvis tre enkla sätt att ändra dina WordPress-säkerhetsnycklar. Ännu bättre är att det finns en metod för varje användarnivå, från WordPress-nybörjare till fullständig expert. Genom att följa den här handledningen så kan du göra din webbplats mer motståndskraftig mot säkerhetshot.

I det här inlägget så tittar vi närmare på WordPress säkerhetsnycklar. Vi diskuterar även varför du kanske bör uppdatera dina säkerhetsnycklar och visar dig tre enkla sätt att göra detta på. Nu sätter vi igång!

En introduktion till WordPress säkerhetsnycklar

Säkerhetsnycklar för WordPress är krypteringsverktyg som skyddar din inloggningsinformation. De låser och låser upp dina lösenord och andra uppgifter. På så sätt är din information svår för hackers att avkoda. Som ett resultat så kan du förhindra bedrägerier på din webbplats.

När du loggar in på din WordPress-webbplats så lagrar cookies din inloggningsinformation på din dator. Det är därför som du inte behöver logga in varje gång som du laddar om sidan eller återbesöker din webbplats.

All denna information lagras i en krypterad form (genererad av WordPress) med hjälp av slumpmässiga teckensträngar. Som ett resultat av detta så är dina inloggningsuppgifter omöjliga att skilja från tecken. Detta gör dem svåra att stjäla.

Nycklarna genereras automatiskt av WordPress och lagras i din fil wp-config.php. Det finns totalt fyra säkerhetsnycklar:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONE_KEY

Varje säkerhetsnyckel har ett motsvarande WordPress-salt. Salter är kryptografiska verktyg som hjälper till att säkra informationen i dina cookies. Precis som nycklar så lagras även salter i filen wp-config.php:

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONE_SALT

Tillsammans så lagrar WordPress-säkerhetsnycklar och salter din information på ett säkert sätt och autentiserar lösenord på din webbplats.

Skillnaden mellan WordPress säkerhetsnycklar och salter

Säkerhetsnycklar för WordPress är nästan likvärdiga med lösenord. De kan kryptera ett meddelande med hjälp av alfanumeriska tecken och specialtecken. Därefter så använder du samma nyckel för att avkryptera informationen tillbaka till klartext.

Ett salt läggs till krypteringen för att göra lösenordet svårare att bakåtkompilera. Som ett resultat av detta så får du ett extra säkerhetslager.

Sammantaget så är salter och WordPress-säkerhetsnycklar likartade eftersom båda protokollen gör din webbplats mindre sårbar för säkerhetshot. Det är inte ovanligt att WordPress-webbplatser hackas, särskilt om man använder vanliga lösenord med medelhög svårighetsgrad. En slumpmässig teckensträng är dock nästan omöjlig att knäcka.

När ska du byta dina WordPress-säkerhetsnycklar?

Eftersom WordPress-säkerhetsnycklar genereras av WordPress behöver du vanligtvis inte oroa dig för dem. Det finns dock vissa scenarier där det är klokt att ändra dina säkerhetsnycklar:

  • En skadlig aktör kan ha sett eller fått tillgång till din webbplats wp-config.php-fil (inklusive en lokal säkerhetskopia).
  • Din webbplats har blivit infekterad av skadlig kod.
  • Du föredrar att regelbundet ändra dina lösenord för att göra det svårare för hackers att bryta sig in på din webbplats. Du kan välja att göra detta ungefär var sjätte månad.

Om du hittar skadlig kod på din webbplats så är det första steget att skanna din webbplats för att rensa bort skadlig kod. Du bör dock helst ha ett verktyg som upptäcker och löser problem innan de blir alltför problematiska.

Kinsta APM är ett verktyg för prestandaövervakning som är särskilt utformat för WordPress. Det gör det möjligt för dig att identifiera eventuella problem på din webbplats och åtgärda dem snabbt:

Kinsta APM
Kinsta APM

Du får exempelvis tidsstämplad information om problem som långa API-anrop, långsamma databasfrågor och icke-optimerad kod. Ännu bättre är att Kinsta APM ingår kostnadsfritt i alla våra hosting-planer.

Hur man ändrar WordPress säkerhetsnycklar (3 metoder)

Nu när du vet mer om WordPress säkerhetsnycklar så ska vi titta på tre enkla sätt att ändra dem!

1. Använd ett dedikerat plugin

Det enklaste sättet att ändra dina WordPress-säkerhetsnycklar är att använda ett kvalitets-plugin. Salt Shaker-pluginet har utformats för just detta ändamål:

Salt Shaker
Salt Shaker

Du kan dessutom använda Salt Shaker för att ställa in automatiska scheman för nyckel- och saltbyten. Det går även enkelt att ställa in och glömma lösenord. Du vet ju att verktyget tar hand om resten.

För att komma igång så behöver du bara installera och aktivera pluginet i WordPress. Navigera sedan till Verktyg > Salt Shaker:

Inställningar för pluginet Salt Shaker
Inställningar för pluginet Salt Shaker

Här kan du ställa in ett schema för att byta dina säkerhetsnycklar och salter regelbundet. Du kan även klicka på Ändra nu för att uppdatera värdena direkt.

2. Använd ett allmänt säkerhetstillägg

Säkerhetsplugins är användbara eftersom de vanligtvis automatiserar många säkerhetsuppgifter, exempelvis säkerhetskopiering och uppdateringar. Samtidigt kan du, beroende på din leverantör, generellt sett dra nytta av ytterligare säkerhetsåtgärder som brandväggar och skanningar av skadlig kod.

Sucuri Security är ett utmärkt val som specialiserar sig på WordPress-säkerhet. Det är kostnadsfritt att använda och erbjuder en uppsättning säkerhetsfunktioner. Detta inkluderar exempelvis fjärrskanning av skadlig kod, granskning av säkerhetsaktivitet och säkerhetsåtgärder efter ett hack:

Sucuri Security
Sucuri Security

Ett annat bra alternativ är Wordfence Security som har över fyra miljoner installationer och specialiserar sig på brandväggar och skanning av skadlig kod. Om du är osäker på vilket WordPress-säkerhetsplugin som du ska använda kan du kolla in vårt inlägg: Sucuri vs Wordfence.

Vi kommer att visa dig hur du ändrar dina WordPress-säkerhetsnycklar med hjälp av Sucuri. Först installerar och aktiverar du pluginet. Gå sedan till Sucuri Security > Inställningar och växla till fliken Post-Hack:

Sucuri Security
Sucuri Security

Scrolla sedan nedåt och klicka på Generera nya säkerhetsnycklar:

Generera nya säkerhetsnycklar
Generera nya säkerhetsnycklar

Du kan även ställa in ett schema för uppdatering av nycklarna. Använd bara rullgardinsmenyn för att välja den lämpligaste tidsramen för din webbplats. Tryck sedan på Skicka

3. Ändra dina WordPress-säkerhetsnycklar manuellt

Det är möjligt att ändra dina säkerhetsnycklar manuellt. Det kräver dock att du får tillgång till filerna på din webbplats. Eftersom du måste redigera en viktig kärnfil så är det viktigt att du känner dig säker på att göra detta. De två tidigare metoderna kan vara mer lämpliga om du är nybörjare.

För att använda den här metoden så måste du få nya säkerhetsnyckel- och saltvärden från WordPress hemliga nyckelgenerator:

WordPress nya säkerhetsnyckelgenerator
WordPress nya säkerhetsnyckelgenerator

Säkerhetskopiera sedan din webbplats om något skulle gå fel. Det kan även vara användbart att sätta upp en inscensättningsmiljö. Du kan göra detta med vårt premium-iscensättningsmiljötillägg. Detta skapar i huvudsak en kopia av din webbplats där du kan testa ny programvara och köra uppdateringar på ett säkert sätt utan att oroa dig för att din webbplats ska gå sönder.

Därefter så måste du hitta och redigera filen wp-config.php . Du kan ladda ner filen via FTP för att redigera och ladda upp filen till WordPress igen. Alternativt så kan du använda filhanteraren för att redigera filen direkt.

Du hittar filen i din mapp public_html. Längst ner i skärmbilden kan du se wp-config.php:

Hitta filen wp-config.php
Hitta filen wp-config.php

Öppna filen och bläddra ner tills du ser Autentisering av unika nycklar och salter:

Ändra säkerhetsnycklar i filen wp-config.php
Ändra säkerhetsnycklar i filen wp-config.php

Därefter så byter du helt enkelt ut salterna och nycklarna mot de nya koderna som genereras av WordPress. När detta har blivit gjort så måste alla inloggade användare logga in på din webbplats igen . Deras användarnamn och lösenord kommer dock att förbli desamma.

När du är klar så trycker du på Spara. Det finns ingen anledning att skriva ner de nya värdena eftersom du inte kommer att behöva känna till dem igen.

6 andra sätt att skydda dina WordPress-logins

Ändring av dina WordPress-säkerhetsnycklar är visserligen ett bra sätt att öka säkerheten på din webbplats. Det finns dock även andra sätt att skydda dina inloggningsuppgifter. Här är sex av våra viktiga tips!

1. Uppmuntra starka, unika lösenord

Det är bra att skapa ett eget säkert lösenord. Men det är även viktigt att se till att andra användare på din webbplats följer samma normer.

Faktum är att endast 4 procent av alla människor använder en lösenordsgenerator för att skapa företagslösenord. 76 procent av personerna väljer lösenord själva.

Detta kan leda till svaga, återanvända lösenord som är lätta att gissa. Än idag så är de vanligaste lösenorden som hittas i läckor ”password” och ”123456” Överväg därför att skapa unika, starka lösenord för att säkra din webbplats.

Om du inte använder en lösenordshanterare så ska du komma ihåg att de säkraste lösenorden består av små och stora bokstäver. Överväg dessutom att använda specialtecken och siffror och sträva efter att göra lösenorden så långa som möjligt. Vi rekommenderar att du undviker ordboksord eller lösenord som du har använt tidigare.

2. Använd tvåfaktorsautentisering

Tvåfaktorsautentisering kräver två autentiseringsmetoder för att få tillgång till din webbplats. Den första nyckeln är vanligtvis ett lösenord (som du normalt använder) och den andra kan vara en realtidskod som skickas via meddelande eller e-post. Eftersom robotar inte kan skapa den andra nyckeln så är användning av tvåfaktorsautentisering ett utmärkt sätt att förbättra molnsäkerheten.

Du kan ställa in den här autentiseringsmetoden på din webbplats med hjälp av ett plugin som WP 2FA:

WP 2FA
WP 2FA

WP 2FA är ett flexibelt verktyg som stöder flera autentiseringsmetoder. Det handlar exempelvis om OTP via e-post, e-postlänkar, push-notiser, röstautentisering, Whatsapp med mera. Med en enkel installationsprocess så kan du omedelbart aktivera denna funktionalitet på din webbplats. Detta gäller oavsett om du driver en WooCommerce-butik eller till och med en medlemswebbplats.

3. Begränsa inloggningsförsöken

Även om hackers inte känner till dina lösenord så kan de använda kända kombinationer av lösenord och användarnamn för att få tillgång till din webbplats. Dessa hot är kända som brute force-attacker, och de blir alltmer populära.

Det är därför en bra idé att installera ett plugin som begränsar inloggningsförsöken. Limit Login Attempts Reloaded är ett utmärkt alternativ:

Limit Login Attempts Reloaded plugin
Limit Login Attempts Reloaded är ett bra alternativ

Det här pluginet kan förhindra brute force-attacker och optimera webbplatsens prestanda genom att begränsa inloggningsförsök i WordPress, WooCommerce och anpassade inloggningssidor. För extra trygghet så kan du även ändra din WordPress-inloggningssida för att göra det svårare för hackers att ta kontroll över din webbplats.

4. Aktivera automatiska utloggningar

Beroende på dina inställningar så loggar WordPress automatiskt ut användare från din webbplats efter en viss tid (vanligtvis mellan 48 timmar och 14 dagar). Men om du lämnar din session öppen i en flik så kan hackers ta kontroll över din webbplats via cookies i din webbläsare.

Det kan därför vara bra att installera ett plugin som loggar ut användare från din webbplats efter en viss tid. Inaktiv utloggning avslutar automatiskt inaktiva användarsessioner:

Plugin för inaktiv utloggning
Plugin för inaktiv utloggning

Du kan bestämma den inaktiva timeouttiden och aktivera en nedräkning på tio sekunder för att varna användarna för utloggningen. Det går även att skapa ett anpassat popup-meddelande för att meddela användarna eller omdirigera dem till en timeout-sida. Ännu bättre är att pluginet har ett enkelt användargränssnitt (UI) och är snabbt och enkelt att installera.

5. Granska användarroller

Det är viktigt att se till att användarna på din webbplats har rätt privilegier. Det kan exempelvis hända att du uppgraderar en redaktör till en administratörsroll i ett visst syfte. Men om du glömmer att återkalla dessa privilegier så är din webbplats mer sårbar för attacker. Då kan ju en hacker komma åt allt genom att bryta sig in på administratörskontot.

Därför rekommenderar vi att du återkallar behörigheterna när uppgifterna är slutförda. Det kan även vara en bra idé att se över dina användarroller regelbundet och kontrollera att användarna har rätt åtkomstnivåer. Om du upptäcker att vissa användare har otillbörliga privilegier så kan du enkelt ändra dem genom att gå till Användare i din WordPress-instrumentpanel.

6. Inaktivera XML-RPC

XML-RPC är en WordPress-funktion som låter dig publicera innehåll på distans. Även om det är en säker funktion så kan den även användas av hackers. De kan nyttja den för att få tillgång till din webbplats med hjälp av brute force.

Om du inte behöver funktionen så är det därför bäst att inaktivera XML-RPC för att göra din webbplats säkrare. Du kan göra detta med ett plugin eller genom att redigera din .htaccess-fil.

Sammanfattning

Att ändra dina säkerhetsnycklar i WordPress är ett bra sätt att skydda dina inloggningsuppgifter. Det är lyckligtvis enkelt att göra detta med hjälp av ett plugin eller genom att justera filerna på din webbplats. Då kan du göra det nästan omöjligt för hackers att komma åt din webbplats.

Det enklaste sättet att ändra dina säkerhetsnycklar är med ett dedikerat plugin som Salt Shaker. Du kan dock även använda ett allmänt säkerhetsplugin som Sucuri. Det här verktyget innehåller andra användbara funktioner. Det finns exempelvis skanning av skadlig kod och brandväggar. Slutligen så kan du även ändra dina nycklar manuellt genom att redigera filen wp-config.php.

Du kan även förbättra din webbplats säkerhet genom att välja en säker WordPress-hosting. På Kinsta så använder vi två kraftfulla brandväggar för att skydda din webbplats. Vi erbjuder dessutom kostnadsfri SSH-åtkomst, installation av SSL-certifikat med ett klick och ett dedikerat malware-team. Kolla in våra planer idag för att komma igång!