WordPress安全密鑰生成器
為您的 wp-config.php 檔案生成加密安全的 WordPress 安全密鑰與鹽。提供一鍵複製、密鑰強度分析以及逐步安裝指南。
偵測到廣告封鎖,導致我們無法顯示廣告
MiniWebtool 依靠廣告收入免費提供服務。如果這個工具幫到你,歡迎升級 Premium(無廣告 + 更快),或將 MiniWebtool.com 加入允許清單後重新整理頁面。
- 或升級 Premium(無廣告)
- 允許 MiniWebtool.com 顯示廣告,然後重新載入
WordPress安全密鑰生成器
WordPress安全密鑰生成器 為您的 wp-config.php 檔案創建加密安全的安全密鑰與鹽 (salts)。這 8 個獨特的字串可保護使用者工作階段、防止 Cookie 偽造,並抵禦 CSRF 攻擊。每個密鑰均使用 CSPRNG(加密安全偽隨機數生成器)生成,絕不會被儲存或記錄。
什麼是 WordPress 安全密鑰與鹽?
WordPress 在您的 wp-config.php 檔案中使用 8 個加密常量 來保護身份驗證。其中四個是 密鑰(主要的加密秘密),另外四個是 鹽(增加雜湊強度的額外隨機性):
密鑰和鹽如何協同工作
當使用者登入 WordPress 時,系統會創建一個身份驗證 Cookie。此 Cookie 使用安全 密鑰 及其對應的 鹽 組合進行加密。密鑰提供主要的加密秘密,而鹽在雜湊演算法 (HMAC) 中引入不可預測的數據,這使得攻擊者即使截獲了 Cookie 值的內容,要對其進行逆向工程也變得指數級困難。
如果沒有適當的密鑰和鹽,WordPress 會使用較弱且跨安裝版本相同的預設值,使您的網站容易受到基於 Cookie 的攻擊。
如何安裝您的安全密鑰
- 使用此工具根據您的偏好設定 生成密鑰。
- 使用「複製所有密鑰」按鈕 複製所有密鑰。
- 透過 FTP/SFTP 打開
wp-config.php。此檔案位於您的 WordPress 根目錄中。 - 找到密鑰部分 — 尋找註釋
/* Authentication Unique Keys and Salts */。 - 替換所有 8 個
define()行 為您新生成的密鑰,然後儲存並上傳。
注意: 更改安全密鑰將登出所有當前登入的使用者。他們將需要使用密碼重新登入。這是預期行為,實際上對安全性很有幫助。
您應該在什麼時候更改安全密鑰?
| 場景 | 操作 |
|---|---|
| 全新 WordPress 安裝 | 立即生成並添加密鑰 |
| 懷疑被駭或發生洩漏 | 立即重新生成所有密鑰 |
| 發現未知的管理員帳戶 | 重新生成密鑰 + 更改密碼 |
| 清除惡意軟體後 | 作為清理工作的一部分重新生成密鑰 |
| 日常維運(無問題) | 無需定期更改 |
| 遷移到新主機 | 考慮生成全新的密鑰 |
密鑰長度與熵
熵以位元 (bits) 為單位衡量密鑰的隨機性(不可預測性)。熵值越高,意味著攻擊者需要嘗試的可能組合越多。參考背景:
- 128 bits — 大多數加密應用的最低建議值
- 256 bits — 被認為以目前的技術無法破解 (AES-256 級別)
- 400+ bits — 預設的 64 字符 WordPress 密鑰配備完整字符集提供約 406 bits 的熵
即使是帶有完整字符集的標準 64 字符密鑰,也遠遠超過了任何暴力破解攻擊所能應付的範圍。
安全最佳實踐
- 絕不分享您的密鑰 — 像對待密碼一樣對待它們
- 為每個 WordPress 安裝使用唯一的密鑰
- 不要在多個網站之間重複使用密鑰
- 保持
wp-config.php安全 — 確保檔案權限正確(通常為 440 或 400) - 僅靠密鑰是不夠的 — 同時也要使用強密碼,保持 WordPress 更新,並使用安全插件
常見問題
什麼是 WordPress 安全密鑰與鹽?
WordPress 安全密鑰與鹽是儲存在 wp-config.php 中的加密字串,用於對使用者 Cookie 中的數據進行加密。共有 4 個密鑰 (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY) 和 4 個對應的鹽。它們共同運作,使攻擊者幾乎不可能偽造身份驗證 Cookie。
我該如何將安全密鑰添加到 wp-config.php?
打開您的 wp-config.php 檔案(位於 WordPress 根目錄),找到標記為『Authentication Unique Keys and Salts』的部分,並用新生成的 define() 行替換現有的行。儲存檔案並透過 FTP/SFTP 重新上傳。所有使用者將需要重新登入。
我應該在什麼時候更改 WordPress 安全密鑰?
如果您懷疑網站被駭、發現未知的管理員帳戶或在清除惡意軟體後,請立即更改安全密鑰。在正常情況下,您不需要定期輪換密鑰。更改密鑰將強制所有已登入的使用者重新進行身份驗證。
這個生成器安全嗎?密鑰會被儲存在任何地方嗎?
是的,此生成器使用 Python 的加密安全 secrets 模組 (CSPRNG)。密鑰在每次請求時於伺服器端生成,且絕不會被儲存、記錄或快取。回應中包含 no-cache 標頭以防止瀏覽器快取。
WordPress 密鑰和鹽之間有什麼區別?
WordPress 密鑰加密 Cookie 數據,而鹽則為加密過程增加額外的隨機性。密鑰作為主要的加密秘密,而鹽透過在雜湊函數中引入額外的不可預測數據,使暴力破解攻擊難度呈指數級增加。兩者對於強大的 WordPress 安全性都至關重要。
如果我更改 WordPress 安全密鑰會發生什麼?
更改 WordPress 安全密鑰將使所有現有的身份驗證 Cookie 失效。這意味著每個已登入的使用者(包括您)都將被登出,並需要使用其使用者名稱和密碼重新登入。這實際上是一項安全功能,在發生安全漏洞後非常有用。
其他資源
引用此內容、頁面或工具為:
"WordPress安全密鑰生成器" 於 https://MiniWebtool.com/zh-tw/wordpress安全密鑰生成器/,來自 MiniWebtool,https://MiniWebtool.com/
由 miniwebtool 團隊提供。更新於:2026年2月13日