Pernahkah Anda membayangkan situs WordPress Anda sebagai benteng, dengan kredensial login Anda sebagai kunci benteng? Bagaimana jika kunci itu dapat berubah menjadi keajaiban yang dapat berubah bentuk, yang mustahil ditiru oleh penyusup?

Itulah keajaiban garam dan kunci keamanan WordPress. Alat kriptografi ini bertindak sebagai lapisan perlindungan ekstra, mengubah proses login Anda menjadi penghalang keamanan yang tangguh terhadap akses tidak sah dan serangan brute force.
Panduan lengkap ini akan mengungkap rahasia WordPress salts, mengeksplorasi peran krusialnya dalam memperkuat pertahanan situs Anda, dan menunjukkan cara memanfaatkan kekuatannya. Baik Anda pengembang berpengalaman atau pemilik situs yang penasaran, memahami dan menerapkan rangkaian karakter acak ini dengan benar sangat penting untuk menjaga keamanan yang kuat dalam lanskap digital yang terus berkembang.
Apa itu garam dan kunci WordPress?
Garam dan kunci keamanan WordPress adalah alat kriptografi yang meningkatkan keamanan proses login situs web Anda. Rangkaian karakter acak ini berfungsi sebagai lapisan perlindungan tambahan untuk kata sandi pengguna dan kredensial login.
Buat Situs Web Luar Biasa
Dengan Elementor pembuat halaman gratis terbaik
Mulai sekarangBerikut ini uraian aspek-aspek utamanya:
- Rangkaian acak: Garam dan kunci pada dasarnya merupakan kumpulan karakter acak.
- Terletak di wp-config.php: Mereka didefinisikan dalam file wp-config.php situs Anda.
- Meningkatkan keamanan kata sandi: Garam ditambahkan ke hash kata sandi, membuatnya lebih tahan terhadap upaya peretasan.
- Lindungi cookie autentikasi: Kunci membantu mengamankan cookie untuk mempertahankan sesi pengguna.
- Unik untuk setiap situs: Setiap instalasi WordPress seharusnya mempunyai kumpulan garam dan kunci yang unik.
- Pembaruan berkala direkomendasikan: Mengubahnya secara teratur akan menambah penghalang keamanan lainnya.
Dengan menggabungkan elemen-elemen ini, WordPress membuatnya jauh lebih sulit bagi pengguna yang tidak berwenang untuk mengakses situs Anda, bahkan jika mereka entah bagaimana memperoleh data kata sandi yang dienkripsi.
Memahami Kunci Salt WordPress
Garam WordPress seperti bahan rahasia yang membuat resep keamanan situs Anda lebih sulit dipecahkan. Anggap saja itu sebagai alat kriptografi yang mengacak data sensitif menjadi kumpulan karakter yang tidak dapat dibaca, termasuk kata sandi dan kredensial login. Proses ini, yang disebut hashing, merupakan langkah keamanan penting yang digunakan banyak platform untuk melindungi informasi pengguna.

Begini cara kerjanya:
- Perlindungan kata sandi: Saat Anda mengetikkan kata sandi ke dalam formulir login, salts membantu mengubahnya menjadi kode yang rumit sebelum disimpan dalam basis data. Ini berarti meskipun seseorang mengintip basis data, mereka tidak dapat membaca kata sandi Anda yang sebenarnya.
- Keamanan kuki: Salts juga melindungi kuki peramban Anda (data kecil yang mengingat bahwa Anda sedang login). Kuki tersebut juga diacak, sehingga lebih sulit bagi penyerang untuk berpura-pura menjadi Anda dengan mencuri data kuki Anda.
- Keamanan login yang ditingkatkan: Dengan adanya salts, area login WordPress Anda menjadi benteng. Jauh lebih sulit bagi pengguna yang tidak berwenang untuk membobolnya.
- Perlindungan bawaan: Kabar baiknya adalah WordPress menyediakan salt yang siap pakai. Anda dapat menemukannya di berkas wp-config.php situs Anda, biasanya di folder public_html. Salt tampak seperti rangkaian karakter acak, yang masing-masing berfungsi sebagai kunci keamanan unik.

Dengan menggunakan kunci garam ini, WordPress menambahkan lapisan perlindungan ekstra ke situs Anda, membuatnya jauh lebih tangguh terhadap ancaman keamanan umum.
Jenis-jenis Garam WordPress
Kunci keamanan dan salt WordPress adalah rangkaian karakter acak yang berbeda. Nama pengguna dan kata sandi Anda di-hash menggunakan rangkaian ini untuk mencegah peretas menguraikannya. Kredensial hash Anda tidak dapat digunakan untuk mengakses situs web Anda, meskipun dicuri. Salt ini biasanya disimpan dalam file wp-config.php, komponen penting dari struktur file WordPress.
"Kunci keamanan WordPress" dan "salt WordPress" sering digunakan secara bergantian. Namun, kedelapan string tersebut sama. Keempat kunci keamanan tersebut adalah AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, dan NONCE_KEY. Setiap kunci keamanan memiliki salt yang cocok.

Karena salt WordPress melindungi kredensial login Anda, sangat penting untuk merahasiakannya. Beberapa server, seperti Cloudways, lebih suka menyimpannya di file wp-salt.php yang berbeda, meskipun biasanya disimpan di file wp-config.php. Salt tidak boleh disimpan di tempat lain, apa pun file tempatnya disimpan. Inilah sebabnya Anda tidak dapat mengakses atau mengubahnya di beberapa web hosting, seperti Pantheon.io.
Bagaimana cara kerja WordPress Salts?
Salah satu jenis sistem tanpa status adalah WordPress. Ini menunjukkan bahwa, tidak seperti program lain, sistem ini tidak dapat menyimpan sesi pengguna. Sebaliknya, sistem ini menggunakan cookie dari peramban WordPress untuk menjaga pengguna tetap "masuk". Oleh karena itu, WordPress membuat cookie yang dikirimkan ke peramban Anda setelah Anda masuk dengan nama pengguna dan kata sandi (dan 2FA jika Anda serius tentang keamanan WordPress). Anda tetap "masuk" jika Anda memiliki cookie tersebut dan persyaratannya terpenuhi.
Agar WordPress dapat mengidentifikasi Anda, cookie ini harus diberikan ke WordPress setiap kali Anda menggunakan situs web, yang mengharuskan Anda untuk mengautentikasi diri sendiri. WordPress mengenkripsi kata sandi yang disimpan dalam cookie untuk memastikan data tetap seaman mungkin. Salt berguna dalam situasi ini.

Kuki WordPress
Meskipun membahas secara spesifik tentang cookie WordPress berada di luar cakupan tulisan ini, ada baiknya kita membahas sedikit tentang salt dan cookie.
Ingatlah bahwa cookie adalah berkas teks yang disimpan di peramban pengguna WordPress. Cookie menyediakan informasi penting bagi WordPress, seperti identitas pengguna dan apakah mereka sudah masuk.
- WordPress_logged_in_[hash]: WordPress menggunakan kuki untuk menentukan apakah Anda login. Kunci LOGGED_IN_KEY dan salt LOGGED_IN_SALT digunakan untuk membuat hash kuki ini. Di bagian berikut, kami akan membahasnya lebih rinci.
- WordPress_[hash]: Kuki ini memungkinkan Anda mengubah situs web WordPress dan digunakan di halaman admin. Jika SSL/TLS digunakan, kunci SECURE_AUTH_KEY dan salt SERCURE_AUTH_SALT digunakan untuk membuat hash kuki ini; jika SSL/TLS tidak digunakan, kunci AUTH_KEY dan salt AUTH_SALT digunakan.
Kue Asin
Sederhananya, salt digunakan untuk membuat hash data pribadi, seperti kredensial login cookie Anda. Karena itu, hampir mustahil untuk membaca kata sandi jika cookie dicuri.
Perlu diperhatikan bahwa salt dan kunci hanya kompatibel dengan sesi peramban WordPress standar. Data tidak akan di-hash menggunakan salt WordPress jika Anda menggunakan sesi PHP, yang tidak disarankan karena beberapa alasan.
Seperti yang telah kami nyatakan, metode ini tidak sempurna. Jika sebuah cookie dicuri, orang yang memilikinya dapat mengambil alih sesi tersebut dan menggunakan situs WordPress sebagai ganti Anda. Ya, dari sudut pandang WordPress, orang tersebut adalah Anda.
Meskipun salt dan key dibuat secara otomatis saat WordPress diinstal, keduanya dapat dimodifikasi kapan saja. Kami akan membahas cara mengubahnya dan tempat mencarinya.
Cara Mengubah Salt WordPress Anda (Dua Metode)
Terkadang Anda mungkin perlu membuat salt WordPress sendiri. Kunci keamanan telah ditetapkan sebelumnya dalam situasi lain. Periksa situasi Anda, dan jika kunci salt tidak ada, atur dengan mengikuti langkah-langkah mudah berikut:
Metode Manual
Anda harus membuat kunci rahasia untuk melakukannya secara manual. Dengan generator kunci acak bawaan WordPress, Anda dapat melakukannya dari dalam platform. Gunakan metode ini daripada membuat kunci rahasia karena karakternya lebih sulit dipecahkan. Ini tidak akan membuang-buang waktu karena hanya butuh beberapa detik untuk menyelesaikannya.
Selanjutnya, dapatkan daftarnya dengan membuka Secret Key Service dari WordPress. Daftar ini berisi salt key dan replacement key. Beginilah tampilannya:

Menyalin salt WordPress ini dan meluncurkan klien FTP Anda adalah langkah selanjutnya. Untuk membuat perubahan, klik kanan file wp-config.php di folder root situs web Anda. Cari baris "Authentication Unique Keys and Salts" dan ganti salt WordPress yang baru saja Anda salin dengan apa pun yang Anda temukan di bawah bagian ini. Ingatlah untuk mengunggah file kembali ke server dan menyimpan modifikasi. Pendekatan termudah untuk menjaga keamanan situs Anda adalah melakukannya setiap tiga hingga enam bulan. Untuk membuat kunci Anda, selalu gunakan layanan kunci rahasia WordPress.org .
Menggunakan Plugin

Jika Anda merasa prosedur sebelumnya terlalu sulit, Anda dapat menggunakan plugin, yang merupakan pendekatan yang lebih sederhana. Plugin gratis bernama Salt Shaker mengotomatiskan setiap langkah yang Anda baca di atas. Plugin ini hanya perlu diunduh dan diaktifkan. Kemampuan tambahan yang tidak tersedia saat membuat perubahan secara manual disediakan dengan menggunakan plugin. Anda dapat menghilangkan beberapa kewajiban Anda dengan menggunakan Salt Shaker untuk merencanakan kapan Anda ingin menyesuaikan salt WordPress Anda. Ingatlah bahwa setiap kali Anda mengubah salt WordPress, Anda dan pengguna situs web lainnya harus masuk lagi menggunakan halaman login WordPress.
Kesimpulan
Salah satu bagian terpenting dalam menjaga keamanan situs WordPress adalah mengetahui dan mengendalikan salt dan kunci keamanan Anda. Jika Anda mengikuti praktik yang direkomendasikan ini, Anda akan berada di jalur yang tepat untuk melindungi situs web Anda dari kemungkinan bahaya seperti pembajakan cookie dan akses ilegal.
Untuk lebih meningkatkan keamanan situs web Anda, ingatlah untuk mengganti salt dan kunci secara berkala. Dan untuk menghindari akses yang tidak diinginkan, selalu jaga kerahasiaannya!
Pertanyaan yang Sering Diajukan (FAQ)
1. Apa itu garam WordPress?
Jawaban: Garam WordPress adalah rangkaian karakter acak yang digunakan untuk mengamankan kredensial login pengguna. Garam ini menciptakan hash kriptografi nama pengguna dan kata sandi, sehingga meningkatkan keamanan.
2. Mengapa disebut garam oleh WordPress?
Jawaban: "Salt" adalah data acak yang ditambahkan sebelum enkripsi dalam kriptografi. Kunci keamanan WordPress berfungsi dengan cara ini, maka dinamakan "salt".
3. Mengapa saya harus mengubah kunci garam di WordPress?
Jawaban: Ubah salt WordPress setelah terjadi pelanggaran keamanan. Jika peretas mengakses file wp-config.php Anda, mereka berpotensi memecahkan kata sandi. Mengubah salt membantu mencegah akses yang tidak sah.
Bagaimana cara mengubah garam di WordPress?
Jawab: Tiga metode untuk mengubah garam WordPress:
- Edit wp-config.php atau wp-salt.php secara manual
- Gunakan plugin keamanan dengan fitur penguatan
- Gunakan plugin Salt Shaker