WordPress源码深度解析之：`wp-config.php`的加载顺序与秘密：配置文件的底层解析与`SALTS`机制。 - 智猿学院-前后端，数据库，人工智能，云计算等领域前沿技术讲座

各位观众老爷们，晚上好！我是你们今晚的WordPress导游，今天咱们不看风景，专挖WordPress的“祖坟”——wp-config.php！放心，挖祖坟不是搞破坏，而是为了更懂它，用好它，以后才能更好地调戏它（误）。

咱们今天的内容主要包括：

wp-config.php的加载顺序：看看WordPress是怎么找到你的配置文件的，要是找不着会咋样？
wp-config.php的底层解析：扒开它的皮，看看里面都藏着些啥秘密。
SALTS机制：搞清楚这堆神秘的盐巴到底是用来干嘛的，关系到你的网站安全！

废话不多说，咱们开始！

第一站：`wp-config.php`的寻踪觅影

wp-config.php的重要性，大家都懂。它就像是WordPress的大脑，存储着数据库连接信息、密钥等关键数据。但WordPress启动的时候，是怎么找到它的呢？如果没找到，又会发生什么？

加载顺序

WordPress在启动时，会按照以下顺序寻找wp-config.php：

当前目录：首先，它会在WordPress安装的根目录下寻找wp-config.php。这是最常见的情况。
父目录：如果根目录下没有找到，它会尝试在父目录（也就是上一层目录）寻找。

这个过程的代码逻辑主要在wp-load.php中。 wp-load.php是 WordPress 加载核心文件之前加载的一个文件，它定义了 ABSPATH 常量，并尝试加载 wp-config.php。简化版的代码如下：

<?php
// 假设这是 wp-load.php 的简化版

// 定义 ABSPATH，WordPress 的根目录
if ( ! defined( 'ABSPATH' ) ) {
    define( 'ABSPATH', dirname( __FILE__ ) . '/' );
}

// 尝试加载 wp-config.php
if ( file_exists( ABSPATH . 'wp-config.php' ) ) {
    require_once( ABSPATH . 'wp-config.php' );
} elseif ( file_exists( dirname( ABSPATH ) . '/wp-config.php' ) && ! file_exists( ABSPATH . 'wp-settings.php' ) ) {
    /** The config file resides in a parent directory;
     *  but the installation may be a subdirectory install.
     *  We'll search for it up to one level above the installation
     */
    require_once( dirname( ABSPATH ) . '/wp-config.php' );
} else {
    // 如果找不到 wp-config.php，则提示安装或报错
    header( 'Location: wp-admin/install.php' );
    exit;
}

找不到wp-config.php会怎样？

如果WordPress在上述两个地方都找不到wp-config.php，它会跳转到wp-admin/install.php，也就是WordPress的安装向导页面。这是WordPress给你的一个友好的提示： "哥们儿，你还没配置数据库呢！"

为啥要找父目录？

这种机制允许你将wp-config.php放在WordPress安装目录的上一层目录，这在某些情况下可以提高安全性。比如，你的Web服务器配置不当，允许直接访问WordPress安装目录下的文件，那么把wp-config.php放在上一层目录，可以避免它被直接访问到，从而降低泄露数据库信息的风险。

第二站：`wp-config.php`的解剖手术

现在，我们来打开wp-config.php，看看里面都有啥。

一个典型的wp-config.php文件，通常包含以下内容：

配置项	说明	是否必须	示例
`DB_NAME`	数据库名	是	`define( 'DB_NAME', 'your_database_name' );`
`DB_USER`	数据库用户名	是	`define( 'DB_USER', 'your_database_user' );`
`DB_PASSWORD`	数据库密码	是	`define( 'DB_PASSWORD', 'your_database_password' );`
`DB_HOST`	数据库主机名	是	`define( 'DB_HOST', 'localhost' );` (通常是`localhost`，如果数据库在不同的服务器上，需要修改)
`DB_CHARSET`	数据库字符集	否	`define( 'DB_CHARSET', 'utf8mb4' );` (推荐使用`utf8mb4`，支持更广泛的字符)
`DB_COLLATE`	数据库排序规则	否	`define( 'DB_COLLATE', 'utf8mb4_unicode_ci' );` (通常不需要修改)
`AUTH_KEY`	身份验证密钥，用于加密Cookie信息	是	`define( 'AUTH_KEY', 'put your unique phrase here' );`
`SECURE_AUTH_KEY`	安全身份验证密钥，用于加密Cookie信息	是	`define( 'SECURE_AUTH_KEY', 'put your unique phrase here' );`
`LOGGED_IN_KEY`	登录密钥，用于加密Cookie信息	是	`define( 'LOGGED_IN_KEY', 'put your unique phrase here' );`
`NONCE_KEY`	随机数密钥，用于加密Cookie信息	是	`define( 'NONCE_KEY', 'put your unique phrase here' );`
`AUTH_SALT`	身份验证盐，用于增加加密的复杂度	是	`define( 'AUTH_SALT', 'put your unique phrase here' );`
`SECURE_AUTH_SALT`	安全身份验证盐，用于增加加密的复杂度	是	`define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );`
`LOGGED_IN_SALT`	登录盐，用于增加加密的复杂度	是	`define( 'LOGGED_IN_SALT', 'put your unique phrase here' );`
`NONCE_SALT`	随机数盐，用于增加加密的复杂度	是	`define( 'NONCE_SALT', 'put your unique phrase here' );`
`WP_DEBUG`	开启/关闭调试模式	否	`define( 'WP_DEBUG', true );` (开发环境建议开启，生产环境建议关闭)
`WP_DEBUG_LOG`	是否将调试信息写入日志文件	否	`define( 'WP_DEBUG_LOG', true );` (需要同时开启`WP_DEBUG`)
`WP_DEBUG_DISPLAY`	是否在页面上显示调试信息	否	`define( 'WP_DEBUG_DISPLAY', false );` (生产环境建议关闭，防止泄露敏感信息)
`WP_SITEURL`	WordPress网站的URL	否	`define( 'WP_SITEURL', 'http://example.com' );` (通常不需要手动设置，WordPress会自动检测)
`WP_HOME`	WordPress网站的首页URL	否	`define( 'WP_HOME', 'http://example.com' );` (通常不需要手动设置，WordPress会自动检测)
`WP_CONTENT_DIR`	`wp-content`目录的绝对路径	否	`define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/wp-content' );` (可以自定义`wp-content`目录的位置)
`WP_CONTENT_URL`	`wp-content`目录的URL	否	`define( 'WP_CONTENT_URL', 'http://example.com/wp-content' );` (需要和`WP_CONTENT_DIR`配合使用)
`WP_TEMP_DIR`	临时目录的绝对路径	否	`define( 'WP_TEMP_DIR', '/tmp/' );` (如果服务器没有默认的临时目录，需要手动设置)
`AUTOMATIC_UPDATER_DISABLED`	禁用自动更新	否	`define( 'AUTOMATIC_UPDATER_DISABLED', true );` (可以禁用WordPress的自动更新)
`DISALLOW_FILE_EDIT`	禁止在WordPress后台编辑主题和插件文件	否	`define( 'DISALLOW_FILE_EDIT', true );` (提高安全性，防止恶意代码注入)
`WP_POST_REVISIONS`	限制文章修订版本的数量	否	`define( 'WP_POST_REVISIONS', 3 );` (可以限制保存的文章修订版本数量，减少数据库占用)
`EMPTY_TRASH_DAYS`	自动清空回收站的天数	否	`define( 'EMPTY_TRASH_DAYS', 7 );` (可以设置回收站自动清空的天数，默认是30天)
`WP_CACHE`	启用WordPress缓存	否	`define( 'WP_CACHE', true );` (需要配合缓存插件使用)
`COOKIE_DOMAIN`	Cookie的作用域	否	`define( 'COOKIE_DOMAIN', '.example.com' );` (如果你的网站使用了子域名，可以设置Cookie的作用域)
`FORCE_SSL_ADMIN`	强制后台使用HTTPS	否	`define( 'FORCE_SSL_ADMIN', true );` (如果你的网站启用了SSL，建议强制后台使用HTTPS)
`WP_ALLOW_REPAIR`	允许自动修复数据库	否	`define( 'WP_ALLOW_REPAIR', true );` (谨慎使用，可能会带来安全风险)
`CONCATENATE_SCRIPTS`	合并JS和CSS文件	否	`define( 'CONCATENATE_SCRIPTS', false );` (在某些情况下，合并JS和CSS文件可能会导致问题，可以禁用)
`SCRIPT_DEBUG`	启用JS和CSS的调试模式	否	`define( 'SCRIPT_DEBUG', true );` (开发环境建议开启，生产环境建议关闭)
`SAVEQUERIES`	保存数据库查询信息	否	`define( 'SAVEQUERIES', true );` (可以保存数据库查询信息，用于性能分析)
`WP_MEMORY_LIMIT`	设置WordPress可使用的最大内存	否	`define( 'WP_MEMORY_LIMIT', '256M' );` (如果你的网站需要处理大量的图片或数据，可以增加WordPress可使用的内存)
`WP_MAX_MEMORY_LIMIT`	设置WordPress后台可使用的最大内存	否	`define( 'WP_MAX_MEMORY_LIMIT', '512M' );` (如果你的网站在后台处理大量的图片或数据，可以增加WordPress后台可使用的内存)

数据库配置

这部分是重中之重，配置错误会导致网站无法连接数据库，直接崩溃。

define( 'DB_NAME', 'your_database_name' );
define( 'DB_USER', 'your_database_user' );
define( 'DB_PASSWORD', 'your_database_password' );
define( 'DB_HOST', 'localhost' );
define( 'DB_CHARSET', 'utf8mb4' );
define( 'DB_COLLATE', 'utf8mb4_unicode_ci' );

DB_NAME：你的数据库名称。
DB_USER：你的数据库用户名。
DB_PASSWORD：你的数据库密码。
DB_HOST：你的数据库主机地址，通常是localhost。
DB_CHARSET：数据库字符集，推荐使用utf8mb4。
DB_COLLATE：数据库排序规则，通常不需要修改。

SALTS 配置

这部分是安全的核心，绝对不能泄露，也不能使用默认值！

define( 'AUTH_KEY',         'put your unique phrase here' );
define( 'SECURE_AUTH_KEY',  'put your unique phrase here' );
define( 'LOGGED_IN_KEY',    'put your unique phrase here' );
define( 'NONCE_KEY',        'put your unique phrase here' );
define( 'AUTH_SALT',        'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT',   'put your unique phrase here' );
define( 'NONCE_SALT',       'put your unique phrase here' );

*_KEY：用于加密Cookie信息，保护用户登录状态。
*_SALT：用于增加加密的复杂度，防止彩虹表攻击。

调试模式

这部分用于开启或关闭调试模式，方便开发者排查问题。

define( 'WP_DEBUG', true ); // 开启调试模式
define( 'WP_DEBUG_LOG', true ); // 将调试信息写入日志文件
define( 'WP_DEBUG_DISPLAY', false ); // 不在页面上显示调试信息

WP_DEBUG：开启或关闭调试模式。
WP_DEBUG_LOG：是否将调试信息写入wp-content/debug.log文件。
WP_DEBUG_DISPLAY：是否在页面上显示调试信息。

其他配置

还有一些其他的配置项，可以根据需要进行修改。

define( 'WP_SITEURL', 'http://example.com' ); // WordPress网站的URL
define( 'WP_HOME', 'http://example.com' ); // WordPress网站的首页URL
define( 'WP_CONTENT_DIR', dirname( __FILE__ ) . '/wp-content' ); // wp-content目录的绝对路径
define( 'WP_CONTENT_URL', 'http://example.com/wp-content' ); // wp-content目录的URL

第三站：`SALTS`机制的深度解析

咱们来聊聊SALTS，这玩意儿到底是个啥？为啥这么重要？

SALTS 的作用

简单来说，SALTS就是一组随机字符串，用于增加WordPress加密的复杂度。它们与用户的密码、Cookie等信息结合起来，生成更加安全的哈希值，防止黑客破解。

想象一下，如果你直接用用户的密码进行加密，黑客可以通过彩虹表（预先计算好的哈希值表）来反向破解你的密码。但是，如果你在加密之前，先给密码“加盐”，也就是加上一段随机字符串，那么黑客就需要重新计算彩虹表，大大增加了破解的难度。

SALTS 的生成

SALTS 必须是随机的、唯一的、不可预测的。WordPress官方提供了一个在线生成器：https://api.wordpress.org/secret-key/1.1/salt/。你可以访问这个链接，获取一组随机的SALTS，然后复制到你的wp-config.php文件中。

SALTS 的重要性

如果你的SALTS泄露了，或者使用了默认值，那么你的网站就很容易受到攻击。黑客可以通过已知的SALTS，破解用户的密码、Cookie信息，甚至控制你的整个网站。

SALTS 的代码实现

WordPress在处理用户登录、Cookie验证等操作时，会使用SALTS进行加密。例如，在wp-includes/pluggable.php文件中，可以看到WordPress是如何使用SALTS生成Cookie哈希值的：

<?php
// 简化版的代码

function wp_generate_auth_cookie( $user_id, $expiration, $scheme = 'auth' ) {
    $user = get_userdata( $user_id );
    $pass_frag = substr( $user->user_pass, 8, 4 );

    $key = wp_hash( $user->user_login . $pass_frag . '|' . $expiration . '|' . $scheme, $scheme );
    $hash = hash_hmac( 'md5', $user->user_login . '|' . $expiration . '|' . $scheme, $key );

    return $user->user_login . '|' . $expiration . '|' . $hash;
}

function wp_hash( $data, $scheme = 'auth' ) {
    $salt = wp_salt( $scheme );
    return hash_hmac( 'md5', $data, $salt );
}

function wp_salt( $scheme = 'auth' ) {
    switch ( $scheme ) {
        case 'auth':
            $salt = AUTH_SALT;
            break;
        case 'secure_auth':
            $salt = SECURE_AUTH_SALT;
            break;
        case 'logged_in':
            $salt = LOGGED_IN_SALT;
            break;
        case 'nonce':
            $salt = NONCE_SALT;
            break;
        default:
            $salt = AUTH_SALT;
            break;
    }

    return $salt;
}

这段代码中，wp_salt()函数会根据不同的scheme（例如auth、secure_auth、logged_in、nonce），返回不同的SALT值。然后，wp_hash()函数会使用这个SALT值，对数据进行哈希加密。

SALTS 的维护

定期更换：建议定期更换SALTS，例如每隔几个月或一年。更换SALTS会使之前生成的Cookie失效，需要重新登录。
安全存储：确保wp-config.php文件的安全，防止被非法访问。
不要泄露：绝对不要将SALTS泄露给任何人。

总结

今天咱们一起深入了解了wp-config.php的加载顺序、底层解析以及SALTS机制。希望大家能够更好地理解这个重要的配置文件，并采取必要的安全措施，保护自己的WordPress网站。

记住，wp-config.php是WordPress的命脉，SALTS是网站安全的基石。好好对待它们，你的网站才能安全稳定地运行。

好了，今天的讲座就到这里。感谢大家的观看，咱们下次再见！

第一站：wp-config.php的寻踪觅影

第二站：wp-config.php的解剖手术

第三站：SALTS机制的深度解析

总结

发表回复 取消回复

第一站：`wp-config.php`的寻踪觅影

第二站：`wp-config.php`的解剖手术

第三站：`SALTS`机制的深度解析

发表回复取消回复