ワードプレスのwp-config.php にある証用ユニークキーについて解説いたします。
証用ユニークキー の役割
ワードプレスのwp-config.phpには、
AUTH_KEY
SECURE_AUTH_KEY
LOGGED_IN_KEY
NONCE_KEY
等のランダムな文字列を設定する箇所がありますね。
この認証ユニークキーは、ワードプレスのログイン情報や、ワードプレスの裏側で個別のユーザーごとに通信が発生するときに権限のあるユーザーであることを証明・承認するために、そのユーザーのブラウザ(Cookie)に様々な情報を、暗号化して保持するために使用されます。
ワードプレスでログイン後に、管理画面でログイン状態で管理者機能が利用できるのも、このログイン情報が暗号化されて保持されているためです。
証用ユニークキー が初期状態になっている場合の危険性
認証用ユニークキーは最初の設定では
put your unique phrase here
になっていますが、このままにしていることはセキュリティー上危険性がございます。ユーザーのコンピューターに何らかのウィルスなどが入っていたり、ユーザーの一時保存情報であるCookieが盗まれてしまうと、put your unique phrase here という文字列をキーにして様々なワードプレス関連の認証情報などが複合できてしまう可能性があるからです。
証用ユニークキー の作成方法
認証用ユニークキーは、wp-config.php の
{@link https://api.wordpress.org/secret-key/1.1/ WordPress.org の秘密鍵サービス}
と記載がある URL にアクセスすると下図のようにランダムな文字列を作成してくれます。
このままコピペして、wp-config.php の認証用キーのところに、挿入してFTPソフトウェアでアップロードします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除・セキュリティー対策・安全なアップデートのご依頼・ご相談はお気軽にWPドクターまでお送りください
