发布于admin

解析 WordPress `wp_salt` 常量在 `wp-config.php` 中的源码:它如何与认证 `Cookie` 绑定。

各位观众,欢迎来到今天的 "WordPress 盐焗鸡" (Salted Chicken) 讲座! 别误会,我们不是要讲吃的,而是要深入探讨 WordPress wp-config.php 中那些神秘的 SALT 常量,看看它们是如何守护我们的 WordPress 站点,尤其是如何与认证 Cookie 纠缠不清的。

废话不多说,咱们直接上干货!

第一部分:wp-config.php 中的 "盐"

wp-config.php 文件,是 WordPress 站点的配置文件,它存储着数据库连接信息、调试设置等等重要信息。 而我们今天要关注的,就是其中定义的 SALT 常量。

你会在 wp-config.php 中看到类似这样的定义:

define( 'AUTH_KEY',         'put your unique phrase here' );
define( 'SECURE_AUTH_KEY',  'put your unique phrase here' );
define( 'LOGGED_IN_KEY',    'put your unique phrase here' );
define( 'NONCE_KEY',        'put your unique phrase here' );
define( 'AUTH_SALT',        'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT',   'put your unique phrase here' );
define( 'NONCE_SALT',       'put your unique phrase here' );

看到没? 一大堆 KEYSALT。 它们的作用是什么呢? 简单来说,它们是 WordPress 用来增强密码安全和生成唯一认证 Cookie 的“佐料”。 如果没有这些 "盐",那你的 WordPress 站点就相当于裸奔,很容易被坏人盯上。

为什么要用 "盐"?

你可能要问了,直接用密码不行吗? 当然不行! 因为密码很可能被泄露。 就算你的密码很复杂,也可能被暴力破解。 而使用 "盐" 的目的就是增加密码的复杂度,让破解难度呈指数级增长。

打个比方,假设你的密码是 "password"。 如果直接存储 "password",那黑客拿到数据库后,直接用彩虹表或者暴力破解就能轻易得到你的密码。 但是,如果 WordPress 先用 AUTH_SALT 对 "password" 进行 "腌制",比如 AUTH_SALT 是 "supersecret",那么存储的就不是 "password",而是 md5("passwordsupersecret") 或者其他更复杂的哈希结果。 这样,即使黑客拿到了数据库,也需要先知道 "supersecret" 这个 "盐",才能破解你的密码。

"盐" 的种类

WordPress 定义了多种 SALT, 它们各有分工:

常量名称 作用
AUTH_KEY 用于生成认证 Cookie,验证用户身份。
SECURE_AUTH_KEY 用于生成安全认证 Cookie,只在 HTTPS 连接中使用。
LOGGED_IN_KEY 用于生成“记住我” Cookie,延长用户登录时间。
NONCE_KEY 用于生成 Nonce (Number used ONCE),防止 CSRF (Cross-Site Request Forgery) 攻击。
AUTH_SALT 用于增强 AUTH_KEY 的安全性。
SECURE_AUTH_SALT 用于增强 SECURE_AUTH_KEY 的安全性。
LOGGED_IN_SALT 用于增强 LOGGED_IN_KEY 的安全性。
NONCE_SALT 用于增强 NONCE_KEY 的安全性。

可以看到,SALT 主要是为了增强 KEY 的安全性。 KEY 才是直接参与 Cookie 生成的关键。

第二部分:认证 Cookie 的 "诞生"

现在,让我们来深入了解认证 Cookie 是如何 "诞生" 的,以及 SALT 在其中扮演的角色。

什么是认证 Cookie?

当你登录 WordPress 后,WordPress 会在你的浏览器中创建一个或多个 Cookie,用于记录你的登录状态。 这些 Cookie 就被称为认证 Cookie。 每次你访问 WordPress 站点时,浏览器都会自动将这些 Cookie 发送给服务器,服务器通过验证这些 Cookie 来确定你的身份,从而允许你访问需要登录才能访问的页面。

认证 Cookie 的 "配方"

WordPress 使用 wp_set_auth_cookie() 函数来生成认证 Cookie。 这个函数位于 wp-includes/pluggable.php 文件中,它是 WordPress 认证机制的核心。

让我们来看一下 wp_set_auth_cookie() 函数的部分源码 (简化版):

function wp_set_auth_cookie( $user_id, $remember = false, $secure = false ) {
    $expiration = time() + ( $remember ? DAY_IN_SECONDS : 2 * HOUR_IN_SECONDS );
    $secure_cookie = is_ssl() && $secure;
    $auth_cookie_name = AUTH_COOKIE;
    $scheme = is_ssl() ? 'secure_auth' : 'auth';

    $pass_frag = substr( wp_hash( get_user( $user_id )->user_pass, $scheme ), 8, 4 );

    $key = wp_generate_auth_cookie( $user_id, $expiration, $scheme, $pass_frag );

    setcookie( $auth_cookie_name, $key, $expiration, COOKIEPATH, COOKIE_DOMAIN, $secure_cookie, true );

    if ( $remember ) {
        wp_set_auth_cookie( $user_id, true, $secure ); // Regenerate cookie with longer expiration
    }

    /**
     * Fires immediately after a user is authenticated.
     *
     * @since 2.5.0
     *
     * @param int   $user_id  User ID.
     * @param bool  $remember Whether to remember the user.
     * @param mixed $logged_in_cookie Life span of the cookie in seconds or timestamp.
     */
    do_action( 'set_auth_cookie', $user_id, $remember, $logged_in_cookie );
}

这个函数接收三个参数:

  • $user_id: 用户 ID。
  • $remember: 是否记住我 (记住登录状态)。
  • $secure: 是否使用安全 Cookie (HTTPS)。

关键在于 wp_generate_auth_cookie() 函数,这个函数负责生成 Cookie 的值。 让我们再来看看 wp_generate_auth_cookie() 函数的部分源码 (简化版):

function wp_generate_auth_cookie( $user_id, $expiration, $scheme = 'auth', $pass_frag = '' ) {
    $key = hash_hmac( 'md5', $user_id . '|' . $expiration . '|' . $pass_frag . '|' . $scheme, wp_hash( $user_id . '|' . $scheme . '|' . $pass_frag, $scheme . '_auth' ) );
    return $user_id . '|' . $expiration . '|' . $key;
}

注意看 hash_hmac() 函数,这个函数使用 HMAC-MD5 算法来生成一个哈希值。 HMAC (Hash-based Message Authentication Code) 是一种消息认证码算法,它使用一个密钥来生成哈希值,可以有效地防止消息被篡改。

hash_hmac() 函数的第一个参数是哈希算法,这里是 md5。 第二个参数是要哈希的数据,第三个参数是密钥。 而这个密钥,就是 wp_hash() 函数的返回值。

wp_hash() 函数是 WordPress 用来生成哈希值的函数,它会使用 SALT 来增加哈希值的复杂度。 让我们来看看 wp_hash() 函数的部分源码 (简化版):

function wp_hash( $data, $scheme = 'auth' ) {
    $salt = wp_salt( $scheme );
    return hash_hmac( 'md5', $data, $salt );
}

可以看到,wp_hash() 函数内部调用了 wp_salt() 函数来获取 "盐"。 而 wp_salt() 函数会根据 $scheme 参数来选择使用哪个 SALT 常量。

function wp_salt( $scheme = 'auth' ) {
    if ( defined( 'NONCE_SALT' ) && $scheme === 'nonce' ) {
        return NONCE_SALT;
    }

    if ( defined( 'SECURE_AUTH_SALT' ) && $scheme === 'secure_auth' ) {
        return SECURE_AUTH_SALT;
    }

    if ( defined( 'LOGGED_IN_SALT' ) && $scheme === 'logged_in' ) {
        return LOGGED_IN_SALT;
    }

    if ( defined( 'AUTH_SALT' ) ) {
        return AUTH_SALT;
    }

    return '';
}

总结一下:

  1. 当你登录 WordPress 后,wp_set_auth_cookie() 函数会被调用,生成认证 Cookie。
  2. wp_set_auth_cookie() 函数会调用 wp_generate_auth_cookie() 函数来生成 Cookie 的值。
  3. wp_generate_auth_cookie() 函数使用 hash_hmac() 函数来生成一个哈希值,作为 Cookie 的一部分。
  4. hash_hmac() 函数的密钥,是通过 wp_hash() 函数生成的。
  5. wp_hash() 函数使用 wp_salt() 函数来获取 "盐",增加哈希值的复杂度。
  6. wp_salt() 函数根据不同的 $scheme 参数,选择不同的 SALT 常量。

Cookie 的 "真面目"

生成的 Cookie 看起来会是这样:

wordpress_logged_in_[hash] = [user_id]|[expiration]|[hash]

例如:

wordpress_logged_in_e5d8e56a2b954a902e5699c66612e53 = 1|1678886400|a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6

其中:

  • [user_id] 是用户 ID。
  • [expiration] 是 Cookie 的过期时间戳。
  • [hash] 是使用 HMAC-MD5 算法生成的哈希值,包含了 SALT 的信息。

第三部分:SALT 的重要性

现在你应该明白了,SALT 在认证 Cookie 的生成过程中扮演着至关重要的角色。 如果没有 SALT,那么黑客就可以更容易地破解 Cookie,冒充你的身份登录 WordPress 站点。

SALT 被泄露的后果

如果你的 SALT 被泄露了,那么黑客就可以使用泄露的 SALT 来生成伪造的 Cookie,从而冒充你的身份登录 WordPress 站点。 因此,保护 SALT 的安全至关重要。

如何保护 SALT 的安全

  • 不要将 wp-config.php 文件放在 Web 目录中。 wp-config.php 文件包含敏感信息,应该放在 Web 目录之外,防止被直接访问。
  • 定期更换 SALT 定期更换 SALT 可以有效地防止黑客使用旧的 SALT 来破解 Cookie。 你可以使用 WordPress 提供的 "秘密密钥服务" 来生成新的 SALT。 访问 https://api.wordpress.org/secret-key/1.1/salt/ 就可以获取一组新的 SALT
  • 使用强密码。 强密码可以有效地防止黑客通过暴力破解来获取你的密码,从而防止 SALT 被泄露。
  • 保持 WordPress 版本更新。 WordPress 会不断修复安全漏洞,保持版本更新可以有效地防止黑客利用漏洞来攻击你的站点。

实际案例分析 (虚拟)

假设黑客拿到了你的数据库,并知道了你的用户名和密码 (虽然不应该发生,但我们假设一下)。 如果没有 SALT,黑客可以很容易地计算出你的认证 Cookie,然后冒充你的身份登录 WordPress 站点。

但是,如果你使用了 SALT,那么黑客就需要先知道 SALT 的值,才能计算出你的认证 Cookie。 而 SALT 存储在 wp-config.php 文件中,如果你的 wp-config.php 文件保护得当,黑客就很难获取到 SALT 的值。

第四部分:深入理解 wp_hash() 函数

让我们更深入地研究 wp_hash() 函数,它在整个认证过程中起着关键作用。

function wp_hash( $data, $scheme = 'auth' ) {
    $salt = wp_salt( $scheme );
    return hash_hmac( 'md5', $data, $salt );
}

这个函数的核心在于 hash_hmac() 函数。 hash_hmac() 函数使用 HMAC-MD5 算法来生成哈希值,它需要两个参数:

  • $data: 要哈希的数据。
  • $key: 密钥。

wp_hash() 函数中,$data 是要哈希的数据,$salt 是密钥。 $salt 的值是通过 wp_salt() 函数获取的,它会根据 $scheme 参数来选择使用哪个 SALT 常量。

HMAC-MD5 算法的原理是:

  1. 将密钥填充到固定长度。
  2. 将填充后的密钥与内部填充 (ipad) 进行异或运算。
  3. 将异或运算的结果与数据拼接起来。
  4. 对拼接后的数据进行 MD5 哈希。
  5. 将密钥填充到固定长度。
  6. 将填充后的密钥与外部填充 (opad) 进行异或运算。
  7. 将异或运算的结果与 MD5 哈希的结果拼接起来。
  8. 对拼接后的数据进行 MD5 哈希。

最终得到的 MD5 哈希值就是 HMAC-MD5 的结果。

HMAC-MD5 算法可以有效地防止消息被篡改,因为即使消息被篡改了,生成的哈希值也会发生变化。 而且,由于 HMAC-MD5 算法使用了密钥,因此即使黑客拿到了哈希值,也无法推算出原始数据。

第五部分:总结与展望

今天的 "WordPress 盐焗鸡" 讲座就到这里了。 希望通过这次讲座,你能够更深入地理解 WordPress SALT 常量在认证 Cookie 生成过程中的作用,以及如何保护 SALT 的安全。

总结一下,SALT 是 WordPress 安全机制的重要组成部分,它可以有效地增强密码安全和防止 Cookie 被破解。 保护 SALT 的安全至关重要,你应该采取必要的措施来防止 SALT 被泄露。

未来,WordPress 可能会采用更安全的哈希算法,比如 SHA-256 或者 SHA-3,来替代 MD5。 此外,WordPress 也会不断改进认证机制,以提供更安全的用户体验。

谢谢大家! 希望下次有机会再和大家一起 "烹饪" WordPress 的其他 "美味佳肴"。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注