[Помогите] Для чего "уникальные фразы" WP

Тема в разделе "Wordpress", создана пользователем kostik789, 30 авг 2011.

Статус темы:
Закрыта.
Модераторы: DzSoft, Sorcus
  1. kostik789

    kostik789 Постоялец

    Регистр.:
    1 июл 2009
    Сообщения:
    149
    Симпатии:
    33
    define('AUTH_KEY', 'впишите сюда уникальную фразу');
    define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу');
    define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу');
    define('NONCE_KEY', 'впишите сюда уникальную фразу');
    define('AUTH_SALT', 'впишите сюда уникальную фразу');
    define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
    define('LOGGED_IN_SALT', 'впишите сюда уникальную фразу');
    define('NONCE_SALT', 'впишите сюда уникальную фразу');

    Везде искал, не пойму, для чего это нужно? Что если WP был установлен без этих фраз?
     
  2. jami

    jami Постоялец

    Регистр.:
    10 авг 2011
    Сообщения:
    114
    Симпатии:
    39
    Из wp-config.php чуть выше этих define:
    * Change these to different unique phrases!
    * You can generate these using the {@link Перейти по ссылке WordPress.org secret-key service}
    * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.

    Т.е. если их изменить - можно разлогинить всех пользователей, изменив имена кук, иногда это нужно.
    Если не менять - ничего страшного не произойдет, очевидно :)
     
    kostik789 нравится это.
  3. kostik789

    kostik789 Постоялец

    Регистр.:
    1 июл 2009
    Сообщения:
    149
    Симпатии:
    33
    То есть, их можно менять и после установки WP? Разницы нет?
     
  4. KainCq

    KainCq Постоялец

    Регистр.:
    15 июн 2011
    Сообщения:
    118
    Симпатии:
    22
    Да, разницы нет, ведь эти параметры уникализируют куки и прочую секретную фигню, которая появляется в большей степени после установки блога.

    Так же были неоднократно замечено что если не изменить данные поля, то некоторые плагины будут выдавать ошибку "Вы не имеете достаточно прав для доступа к данной странице"
     
    kostik789 нравится это.
  5. GoR

    GoR Читатель

    Заблокирован
    Регистр.:
    17 авг 2011
    Сообщения:
    76
    Симпатии:
    5
    Данные параметры в основном касаются безопасности, лучше всего при установке их вводить
     
  6. rafor

    rafor Постоялец

    Регистр.:
    27 июн 2011
    Сообщения:
    118
    Симпатии:
    20
    можно и после, но тогда как справедливо уже заметили разлогинятся все пользователи (тоесть если кто-то входил поставив галочку запомнив пароль, то ему снова придётся его вводить).

    Имхо лучше это сделать сразу вовремя устновки вордпресс, всё равно правите этот файл, вводите имя, пароль к базе и лучше всё сразу за один раз настроить.

    (заодно и управления ревизиями настроить).

    Добавлено через 1 минуту
    Для повышения безопасности.
    лучше поздно чем никогда.
     
  7. lordBlack

    lordBlack

    Регистр.:
    29 ноя 2007
    Сообщения:
    620
    Симпатии:
    246
    уникализация кукисов... и собсно все...
    даж на мд5 паролей не влияет...
     
  8. AleZ

    AleZ Постоялец

    Регистр.:
    28 авг 2011
    Сообщения:
    58
    Симпатии:
    27
    Уникальные фразы повышают безопасность системы и рекомендуются к заполнению.
    Уникальные фразы используются при связке с разными дополнительными скриптами и крупными модулями. Тот же bbpress, при установке нужно указать одинаковые уникальные фразы в обеих скриптах, иначе сцепка работать не будет.
    Кстати, в старых версиях 2,5-2,6 смена ключа вызывала проблемы с паролями пользователей и их приходилось запрашивать заново. С версии выше 2,7 это исправлено и можно менять на рабочей системе.
     
  9. PHPCod3r

    PHPCod3r

    Регистр.:
    7 июн 2010
    Сообщения:
    261
    Симпатии:
    25

    Если на вашем блоге нашли, SQLi то выудив, хэш админа, и еще секретный кей, из таблицы wp_options нападающии может вполне создать валидные куки и проити в админку....
    Если же вы вели эти секретные фразы, то для создания кук, нужно
    еще и прочитать конфиг, что со скули сделать можно не всегда....
    Так что при правильно созданом конфиге, даже если скулю у вас и найдут, то для попадания в админку, придется брутить хзш, а если
    вы пас задали не детскии, то это занятие фактически бесполезное...
    Да кстати если глянуть как в вп устроено авторизация, то можно заметить что блог поддерживает, разные варианты создания кук, поэтому, если у кого совсем параноя рулит , можно еще и сам механизм создания кук допилить до нужного уровня...
     
    3xmaster нравится это.
Статус темы:
Закрыта.