WordPress でシークレットキーやソルトを変更する方法
WordPress を利用する際はシークレットキーとソルトが外部に漏れないように安全に管理する必要があります。 これらの値はサイトのログイン情報の保存やウェブフォーム送信時の送信元の検証に使われて、セキュリティを強固にする役割を果たします。
万が一シークレットやソルトが外部に漏れたときには早急に変更する必要があります。 ここでは WordPress でシークレットキーやソルトを変更する手順を説明します。
1. 新しいキーとソルトを生成する
まずは新しいシークレットキーとソルトを生成します。 WordPress 公式が提供する秘密鍵サービスにアクセスして生成されたキーとソルトをコピーします。
Salt Generator のページにアクセスするとそのままコピー & ペーストして使えるシークレットとソルトの設定コードが出力されます。
サンプル(リクエストする度に値が変わります):
define('AUTH_KEY', ']B~;E8c=_3p?1bL1$D;6(]vreiN`F`cv8hZ]-5L9xX1m#ez_V]~(;Pl;Gg@-nW}%');
define('SECURE_AUTH_KEY', ';|Nt^Z|`=NeI2$(wN5B)WAo0%kD245430:_c[ga,<}.]|s;qdx1<C(Gy$KL{p>$a');
define('LOGGED_IN_KEY', '-ymcA5(-.[yNb{<vkWI1U%N9GJy([Q^Xk|c1rTQ+&=G?{Wp;-^KzF-CjpEkzop4n');
define('NONCE_KEY', 'Au-q@}klyzQA|1rMo6KWY[&e|W~R<57u;U&ksA_~+,hR).V&E3]3/9i-ZMr%~5]g');
define('AUTH_SALT', 'rFsh<%^:^]rM!@}P?T7etZ$1,VrSUaV)vJ%5+.g$xE*0e5n>m,|AX0Fmxc@*RC9r');
define('SECURE_AUTH_SALT', 'J>edEG;X6by`2Kl>!G3LtDN->WfamB40SzS-m|Xfb0[3j!j3BE(kkLi-:x|GNCXa');
define('LOGGED_IN_SALT', 'd%sZ&_xKmY6!@N^kj=`r&}t:wB =HgAoQ+8JLSb?g ld6HR7o.w3Jj2Oy,O4j<0[');
define('NONCE_SALT', '`kBjd}^fq68qLUMS]7a|,chc6-j@[P7;t-|al`$3S{8R,PX-4-d#4kySpT1ZWgKI');
ターミナルでの作業に慣れている方であればターミナルでコマンドを打つ方がかんたんかもしれません。
2. wp-config.php ファイルを編集する
次に、サーバーマシンの WordPress インストールディレクトリにある wp-config.php ファイルを編集します。
編集には SSH や SFTP などのクライアント、もしくはホスティングのファイルマネージャーなどが利用できます。
3. キーとソルトを変更する
wp-config.php ファイルを開いたら AUTH_KEY SECURE_AUTH_KEY … NONCE_SALT に関する define() 行を探します。
稼働中の WordPress サイトの場合は必ずあるはずです。
それらの行をステップ 1 で生成した新しいコードに置き換えます。 変更を終えたらファイルを保存します。
注意点
シークレットキーとソルトを変更すると、ログイン中のすべてのユーザーが強制的にログアウトされます。 そのため作業中のユーザーがいる(いる可能性のある)場合は事前に通知・共有してから作業を行うようにしてください。
また、 wp-config.php はシークレットとソルトの他にも重要な設定を含むファイルです。
作業ミスをしない自身があっても、変更を加える前には必ずバックアップを取るようにしてください。
余談: WP-CLI を使う方法も
WordPress のコマンドラインツール WP-CLI にはシークレットキーとソルトを再生成してセットし直す機能が備わっています。
WP-CLI が使える場合は wp configu shuffle-salts コマンドを使うと便利です。