WordPress ソルト(Salt)は、セキュリティキーと一緒に WordPress サイトのログインのセキュリティを強化するのに役立ついくつかの種類の暗号化ツールです。 具体的にはSaltとセキュリティキー(Security key)は、 WordPressがログイン時に使用するクッキーに保存されている情報を安全に保護します。
WordPressにログインするときに毎回ログインするたびにユーザー名とパスワードを入力する必要がないように、ブラウザからログインを保持するオプションを提供しています。 この機能を使用すると、 WordPressは、PHPのセッションを使用する代わりに、ログイン情報をクッキーに保存します。
ブラウザのパスワード保存機能を使用すると、ユーザーにとって非常に便利ですが、誰かがブラウザのクッキーを傍受することができている場合、セキュリティの問題が発生する可能性もあります。
WordPress ソルト(Salt)の動作
この問題を回避するために、 WordPressでSaltとセキュリティキーを使用してログイン情報のセキュリティを強化します。
たとえば、パスワードが「mypwd」の場合(実際にこれらのパスワードを使用すると問題になるため、必ず強力なパスワードを使用してください)、ユーザーがログインするためにユーザー名とパスワードを入力してもログインを維持するようにします。 WordPressは二つのブラウザのCookieに情報を保存します。
しかし、もし WordPressでパスワードを「mypwd」のような形で保存すると、悪意のあるユーザーがパスワードをすぐに気付くことになります。 このように平文(プレーンテキスト)でパスワードを保管するとセキュリティの面で大きく問題になります。
セキュリティキー(Security key)と WordPress ソルトは平文パスワードをランダムで不規則な文字に変換して、このセキュリティキーとSaltsにアクセスせずには、リバースエンジニアニングすることが不可能になります。
したがって、ログイン時に「mypwd」と入力しても WordPressはパスワードを「dse65q34%7832$4jkhkjsfd78782^^429nsdf」(例)のように複雑でランダムな文字に変換して保存します。
WordPress ソルトはどこに保存されるか?
WordPressは、独自のソルト値とセキュリティキーを基本的に搭載しています。 ソルトとセキュリティキーは、wp-config.phpファイルにあります。 合計8個のキーがあります。
- 前の4つの項目は、セキュリティキイム。 セキュリティキーは、 WordPress インストール時に自動的に生成されてデータベースとwp-config.phpの設定ファイルに保存される。
- 背後にある4つの項目が WordPress ソルト(Salt)である。 ソルトは WordPress インストール中に生成されたセキュリティキーから生成されwp-config.phpの設定ファイルに保存される。 hashing operation中ソルトは、セキュリティキーに接続されて、さまざまな認証およびシステムによって実行される認証処理中に生成されるハッシュ(hash)を強化します。
下の図で①部分がセキュリティキーで②の部分が WordPress ソルトです。
セキュリティのためにSaltsとセキュリティキーを変更することが安全
基本的には WordPress 新規インストールすると、認証キーとソルトセットが搭載されて使用者側で別の措置を取らなくても、すでに安全な状態です。
しかし、いくつかの理由で、定期的にソルトとセキュリティキーを変更する必要があります。 定期的にキーとソルト値を変更すると、悪意のあるユーザーがソルトキーを入手するのが難しくなります。
また、ソルトを変更すると、サイトにログインしたすべてのユーザーを強制的にログアウトされます。 たとえば、誰でもアクセスすることができる公共の場所やインターネットカフェなどのコンピュータで WordPress サイトにログインした後にログアウトすることを点滅した場合、ソルトを変更することにより、アカウントから強制的にログアウトされます。
WordPress ソルトを変更して、セキュリティを強化する方法
WordPress ソルトキーを変更する方法には、大きく二つがあります。 一つは、手動で変更するものであり、一つは、プラグインを使用することです。
手動で WordPress ソルトを変更する
手動でソルト値を変更するには、FTP経由でのサイトのサーバーに接続してwp-config.phpファイルを変更する必要があります。 Bluehost など cPanelを提供するウェブホスティングを利用する場合 File Manager(ファイルマネージャ) ツールを使用して接続することも可能です。
まず、 WordPress 公式ソルト生成サイト(WordPress.org Salt Generator)を訪問して、自動的に生成されたソルト値とセキュリティキーをコピーします。
次にwp-config.phpファイルのソルト値とキーを削除して、コピーした値を貼り付けます。
図の赤で表示されボックス部分を新たに作成したソルト値に置き換えるようにします。
プラグインを使用して WordPress ソルト値を定期的に変更する
塩入れは WordPress Saltを手動または自動で変更する WordPress プラグインです。 WordPress 伝言板から プラグイン]> [新規追加をクリックして "salt shaker"で検索してこのプラグインをインストールできます。
このプラグインをインストールして有効にすると WordPress 伝言板>ツール> Salt Shakerに移動し、手動または自動でソルトを変更することができます。
定期的に自動的にソルト値を変更するには、 Scheduled Change 下から Change WP Keys and Salts on ___ Basis(___ごと WordPress キーとソルト変更)のチェックをクリックして、周期を選択します。 周期はDaily(毎日)、Weekly(週ごと)、Monthly(1ヶ月毎)、Quarterly(四半期ごと)、Biannually(6ヶ月毎)の中から選択することができます。 サイクルを選択すると、すぐにソルトと認証キーが変更され、管理者ページからログアウトされます。
手動で変更するには、 Immediate Change 下の 今すぐ変更 ボタンをクリックします。 その後、すぐにソルトキーが変更されログアウトされます。
ソルト値を定期的に変更したいか、管理者ページでソルト値を変更したい場合に、このプラグインを使用することができます。 ちなみにセキュリティプラグイン iThemes Securityもソルトを変更するオプションが搭載されています。
一般ユーザーはよく知らない内容について詳細に説明していただきありがとうございます。 多くの助けになりました。 ^^ wp-config.iniを開けて見て、なぜそうして漠然とした疑問が、持ったが、セキュリティテメそうだろうと思いました。 Saltというのも今日初めて知りました。
一般ユーザーは WordPress Saltが何なのか、どのような役割をするのか分からない可能がありますね。
ftpに接続する機会があるときに一度Salt値を変更すると、セキュリティに少し役立つと思われる。