WordPress安全密钥生成器
为您的 wp-config.php 文件生成加密安全的 WordPress 安全密钥和盐。支持一键复制、密钥强度分析以及分步安装指南。
检测到广告拦截,导致我们无法展示广告
MiniWebtool 依靠广告收入免费提供服务。如果这个工具帮到了你,欢迎开通 Premium(无广告 + 更快),或将 MiniWebtool.com 加入白名单后刷新页面。
- 或升级 Premium(无广告)
- 允许 MiniWebtool.com 显示广告,然后刷新
WordPress安全密钥生成器
WordPress安全密钥生成器为您的 wp-config.php 文件创建加密安全的身份验证密钥和盐。这 8 个唯一的字符串可保护用户会话、防止 cookie 伪造并防御 CSRF 攻击。使用 CSPRNG(加密安全伪随机数生成器)生成,每个密钥都不会被存储或记录。
什么是 WordPress 安全密钥和盐?
WordPress 在您的 wp-config.php 文件中使用 8 个加密常量来确保身份验证安全。其中四个是密钥(主要加密秘密),四个是盐(增加哈希强度的额外随机性):
密钥和盐如何协同工作
当用户登录 WordPress 时,系统会创建一个身份验证 cookie。此 cookie 使用安全密钥及其对应的盐组合进行加密。密钥提供主加密秘密,而盐将不可预测的数据引入哈希算法 (HMAC),即使攻击者拦截了 cookie 值,也使其难以进行逆向工程。
如果没有合适的密钥和盐,WordPress 将使用强度较低且在不同安装中相同的默认值,从而使您的网站容易受到基于 cookie 的攻击。
如何安装您的安全密钥
- 使用此工具根据您的偏好设置生成密钥。
- 使用“复制所有密钥”按钮复制所有密钥。
- 通过 FTP/SFTP 打开
wp-config.php。此文件位于您的 WordPress 根目录中。 - 找到密钥部分 —— 寻找注释
/* Authentication Unique Keys and Salts */(身份验证唯一密钥和盐)。 - 替换所有 8 条
define()行为您新生成的密钥,然后保存并上传。
注意:更改安全密钥将注销所有当前已登录的用户。他们需要使用密码重新登录。这是预期行为,实际上对安全性很有帮助。
您应该什么时候更改安全密钥?
| 场景 | 操作 |
|---|---|
| 新安装 WordPress | 立即生成并添加密钥 |
| 怀疑被黑客入侵或泄密 | 立即重新生成所有密钥 |
| 发现未知的管理员帐户 | 重新生成密钥 + 更改密码 |
| 清除恶意软件后 | 作为清理工作的一部分重新生成密钥 |
| 日常运行(无问题) | 无需定期更改 |
| 迁移到新主机 | 考虑生成全新的密钥 |
密钥长度与熵值
熵值衡量密钥的随机性(不可预测性),单位为位(bits)。熵值越高,意味着攻击者需要尝试的可能组合就越多。背景参考:
- 128 位 —— 大多数加密应用的最低推荐值
- 256 位 —— 在当前技术下被认为是不可破解的(AES-256 级别)
- 400+ 位 —— 使用全字符集的默认 64 字符 WordPress 密钥提供约 406 位的熵值
即使是带有全字符集的标准 64 字符密钥,也远远超出了任何暴力攻击所能破解的范围。
安全最佳实践
- 切勿共享您的密钥 —— 像对待密码一样对待它们
- 为每个 WordPress 安装使用唯一的密钥
- 不要在多个站点之间重复使用密钥
- 保护
wp-config.php的安全 —— 确保正确的文件权限(通常为 440 或 400) - 单靠密钥是不够的 —— 还要使用强密码,保持 WordPress 更新,并使用安全插件
常见问题解答
什么是 WordPress 安全密钥和盐?
WordPress 安全密钥和盐是存储在 wp-config.php 中的加密字符串,用于加密用户 cookie 中的数据。共有 4 个密钥(AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY)和 4 个对应的盐。它们共同作用,使攻击者几乎不可能伪造身份验证 cookie。
如何将安全密钥添加到 wp-config.php?
打开您的 wp-config.php 文件(在 WordPress 根目录中),找到标记为“Authentication Unique Keys and Salts”的部分,并将现有的 define() 行替换为您新生成的密钥。保存文件并通过 FTP/SFTP 重新上传。所有用户都需要重新登录。
我应该什么时候更改 WordPress 安全密钥?
如果您怀疑网站被黑、发现未知的管理员帐户或在移除恶意软件后,请立即更改安全密钥。正常情况下无需定期更换。更改密钥将强制所有登录用户重新验证身份。
这个生成器安全吗?密钥存储在某处吗?
是的,此生成器使用 Python 的加密安全 secrets 模块 (CSPRNG)。密钥是在每次请求时在服务器端生成的,从不存储、记录或缓存。响应包含 no-cache 标头以防止浏览器缓存。
WordPress 密钥和盐有什么区别?
WordPress 密钥加密 cookie 数据,而盐为加密过程增加额外的随机性。密钥充当主要的加密秘密,而盐通过在哈希函数中引入额外的不可预测数据,使暴力攻击的难度呈指数级增加。两者对于强大的 WordPress 安全性都是必不可少的。
如果我更改 WordPress 安全密钥会发生什么?
更改 WordPress 安全密钥将使所有现有的身份验证 cookie 失效。这意味着每个已登录的用户(包括您)都将被注销,并需要使用用户名和密码重新登录。这实际上是一个安全功能,在发生安全漏洞后非常有用。
更多资源
引用此内容、页面或工具为:
"WordPress安全密钥生成器" 于 https://MiniWebtool.com/zh-cn/wordpress安全密钥生成器/,来自 MiniWebtool,https://MiniWebtool.com/
由 miniwebtool 团队开发。更新日期:2026年2月13日