什么是WordPress的Nonce？安全密钥怎么用？-WordPress-PHP中文网

wordpress的nonce是一种用于防止跨站请求伪造（csrf）攻击的安全机制，它通过生成有时效性的加密令牌，确保用户请求的合法性；当用户提交表单或点击链接时，wordpress会验证该nonce是否匹配当前用户、操作和时间周期，若不匹配则拒绝请求，从而阻止攻击者伪造操作；而安全密钥是定义在wp-config.php文件中的八个随机字符串（如auth_key、nonce_key等），它们作为加密“盐值”，用于增强nonce、会话cookie和密码哈希的安全性，防止被逆向破解；更新安全密钥可强制所有用户重新登录，有效切断潜在的恶意会话，建议在怀疑网站被入侵或迁移站点后进行更新，操作方式是访问wordpress官方密钥生成器获取新密钥，然后替换wp-config.php中的旧值并上传保存；在开发中，应使用wp_nonce_field()生成表单nonce，wp_create_nonce()生成url或ajax用nonce，并通过check_admin_referer()或wp_verify_nonce()进行验证，同时配合权限检查current_user_can()以实现完整安全防护，最终确保每个敏感操作都经过身份、权限和意图的三重校验，有效提升网站整体安全性。

什么是WordPress的Nonce？安全密钥怎么用？

WordPress的Nonce，你可以把它理解成一个“一次性”的安全令牌，或者更准确地说，是一个有时效性的安全验证码。它不是真的“只用一次”，而是有一个有限的生命周期，用于验证用户请求的合法性，防止恶意操作。至于安全密钥，它们是定义在

wp-config.php

登录后复制

文件里的一系列随机字符串，是WordPress生成Nonce、加密Cookie、以及处理其他敏感数据的基础，它们让你的网站安全防护更上一层楼，变得更难被攻破。

解决方案

WordPress的Nonce（Number Used Once），说白了，它就是WordPress为了防止跨站请求伪造（CSRF）攻击而设计的一种安全机制。它其实是一个哈希值，结合了用户ID、特定的操作、一个对象ID（如果有的话），以及一个不断变化的“时间戳”（或者叫“tick”）。这玩意儿的目的，就是确保你网站上的每一个操作请求，比如提交表单、点击链接，都是由一个真实的用户、出于真实的目的发起的，而不是被某个恶意网站诱导或伪造的。

它的工作原理是这样：当你加载一个WordPress页面，比如一个后台设置页面或者一个需要提交数据的表单，WordPress会悄悄地在这个页面或链接里嵌入一个Nonce。当你提交这个表单或者点击这个链接时，WordPress会检查这个Nonce是否有效——它有没有过期？它是不是和预期的操作以及用户匹配？如果Nonce无效，WordPress就会直接拒绝这个请求，就像一个保安把可疑分子挡在门外一样。

而安全密钥，这些可是WordPress的“核心秘密武器”。它们是八个定义在

wp-config.php

登录后复制

文件里的长串随机字符，比如

AUTH_KEY

登录后复制

、

SECURE_AUTH_KEY

登录后复制

、

LOGGED_IN_KEY

登录后复制

、

NONCE_KEY

登录后复制

等等。这些密钥的作用，就是作为加密的“盐”（salt）。WordPress利用它们来生成更复杂、更难被猜测的哈希值和加密数据。没有它们，或者说如果它们太弱、太容易被猜到，攻击者就有可能通过逆向工程来破解你的用户密码哈希，或者劫持用户的会话Cookie。

具体来说，当WordPress生成Nonce时，它会把

NONCE_KEY

登录后复制

和

NONCE_SALT

登录后复制

这两个密钥，以及用户的登录状态、当前时间等信息混合在一起，生成那个独一无二的哈希值。同样，当你登录网站时，WordPress会用

AUTH_KEY

登录后复制

和

LOGGED_IN_KEY

登录后复制

等来加密你的会话Cookie，确保你的登录状态安全。所以，这些安全密钥的强度和独特性，直接关系到你WordPress网站的整体安全性。我个人觉得，每次搭建新站或者迁移网站，第一件事就是确保这些密钥是全新的、足够复杂的，这能省掉很多未来的麻烦。

WordPress Nonce如何防止跨站请求伪造（CSRF）攻击？

要理解Nonce怎么防CSRF，我们得先知道CSRF是个什么鬼。简单来说，跨站请求伪造（CSRF）就是攻击者想方设法地诱骗一个已经登录到你网站的用户，去执行TA原本不想执行的操作。比如，你作为管理员登录着WordPress后台，攻击者可能给你发个邮件，里面有个链接，你一点，哎哟，某个用户就被删了，或者某个设置被改了。而这个链接，看起来可能很正常，但背后却藏着恶意。因为你已经登录了，你的浏览器会自动带上你的登录凭证（Cookie），所以网站会认为是你本人在操作。

Nonce在这里扮演的角色，就像一个只有你和网站知道的“秘密握手暗号”。当WordPress生成一个表单或链接时，它会生成一个独特的Nonce，并把它藏在表单的隐藏字段里，或者作为URL的一个参数。这个Nonce是动态生成的，并且有时效性，攻击者根本无从猜测。

举个例子，假设你有一个删除用户的链接，没有Nonce的话，它可能长这样：

yoursite.com/wp-admin/user-delete.php?user_id=123

登录后复制

。攻击者可以轻易构造这样的链接，然后诱骗你点击。但有了Nonce，WordPress生成的链接会是这样：

yoursite.com/wp-admin/user-delete.php?user_id=123&_wpnonce=abcdef123

登录后复制

。这里的

abcdef123

登录后复制

就是那个Nonce。当你的浏览器发送请求时，这个Nonce也会一并提交。WordPress收到请求后，会检查这个Nonce是否有效。如果Nonce不对，或者根本没有，WordPress就会拒绝这个删除请求。攻击者因为无法预测或生成正确的Nonce，所以他们构造的恶意链接，即使你点击了，也无法通过WordPress的安全验证。这就是Nonce如何有效地阻止CSRF攻击的秘密。它确保了每个关键操作都必须带着一个合法的、由WordPress自身生成的、且与当前用户和操作匹配的“令牌”。

我应该多久更新一次WordPress的安全密钥？如何操作？

关于WordPress安全密钥的更新频率，这不像换手机壳那么随意，也不是每天都得搞。说实话，我个人觉得，除非你有明确的安全顾虑，比如怀疑网站被入侵了，或者你刚把网站从一个不那么信任的环境迁移过来，再或者就是想定期做个“大扫除”，否则没必要频繁去动它们。通常来说，每年检查一次或者在发生重大安全事件后立即更新，都是比较合理的做法。它不是那种需要固定周期去维护的东西，更多的是一种“按需操作”的策略。

那么，具体怎么操作呢？其实不复杂，但需要你直接修改

wp-config.php

登录后复制

文件。

智谱清言 - 免费全能的AI助手

查看详情

访问
wp-config.php
登录后复制
：你需要通过FTP/SFTP客户端连接到你的网站服务器，或者使用主机控制面板的文件管理器。找到你WordPress安装目录下的
```
wp-config.php
```
登录后复制
文件。这个文件是WordPress的核心配置文件，所以操作时务必小心，建议先备份一份。

定位密钥定义： 打开

wp-config.php

登录后复制

文件，你会看到类似这样的八行代码：

define( 'AUTH_KEY',         'put your unique phrase here' );
define( 'SECURE_AUTH_KEY',  'put your unique phrase here' );
define( 'LOGGED_IN_KEY',    'put your unique phrase here' );
define( 'NONCE_KEY',        'put your unique phrase here' );
define( 'AUTH_SALT',        'put your unique phrase here' );
define( 'SECURE_AUTH_SALT', 'put your unique phrase here' );
define( 'LOGGED_IN_SALT',   'put your unique phrase here' );
define( 'NONCE_SALT',       'put your unique phrase here' );

登录后复制

当然，你实际看到的

'put your unique phrase here'

登录后复制

部分会是长串的随机字符。

生成新密钥： 最简单、最安全的方法是访问WordPress官方提供的密钥生成器：
```
https://api.wordpress.org/secret-key/1.1/salt/
```
登录后复制
。每次你访问这个页面，它都会生成一套全新的、高强度的随机密钥。
替换旧密钥： 将网页上生成的所有八行代码，完整地复制粘贴到你的
```
wp-config.php
```
登录后复制
文件中，替换掉原来的那八行。
保存并上传： 保存
```
wp-config.php
```
登录后复制
文件，然后通过FTP/SFTP将其上传回服务器，覆盖掉旧文件。

操作后的影响： 一旦你更新了这些安全密钥，所有当前登录的用户（包括你自己在内）的会话都会立即失效。这意味着他们会被强制登出，需要重新输入用户名和密码才能登录。这其实是更新密钥的一个重要目的：如果网站真的被入侵了，更新密钥可以强制所有潜在的恶意会话失效，从而切断攻击者的连接。所以，如果你是在怀疑有安全问题的情况下更新密钥，这一点反而是好事。

在WordPress开发中，如何正确使用和验证Nonce？

在WordPress开发里，正确使用和验证Nonce是编写安全代码的基石。这玩意儿说起来有点抽象，但用起来其实就那么几个函数。理解它们的核心逻辑，你会发现它真的能帮你挡掉不少麻烦。

1. 生成Nonce：

用于表单（HTML
```
form
```
登录后复制
标签内）： 使用
```
wp_nonce_field()
```
登录后复制
函数。它会生成两个隐藏的
```
input
```
登录后复制
字段，一个包含Nonce值，另一个包含Nonce的名称。
```
<form method="post" action="">
    
    <?php wp_nonce_field( 'my_custom_action', 'my_nonce_field_name' ); ?>
    <input type="submit" value="提交">
</form>
```
登录后复制
这里的
```
'my_custom_action'
```
登录后复制
是Nonce的“动作”名称，你可以随便定义，但要确保它在验证时能对应上。
```
'my_nonce_field_name'
```
登录后复制
是隐藏字段的
```
name
```
登录后复制
属性。

用于URL或AJAX请求： 使用

wp_create_nonce()

登录后复制

函数。它只返回Nonce值，你需要手动把它添加到URL参数里或者AJAX请求的数据中。

$nonce = wp_create_nonce( 'delete_post_' . $post_id );
$delete_url = add_query_arg(
    array(
        'action'    => 'delete_my_post',
        'post_id'   => $post_id,
        '_wpnonce'  => $nonce
    ),
    admin_url( 'admin.php' ) // 或其他你的处理URL
);
echo '<a href="' . esc_url( $delete_url ) . '">删除文章</a>';

登录后复制

或者，你也可以直接用

wp_nonce_url()

登录后复制

，它会帮你把Nonce值添加到URL里：

$delete_url = wp_nonce_url( admin_url( 'admin.php?action=delete_my_post&post_id=' . $post_id ), 'delete_my_post' );
echo '<a href="' . esc_url( $delete_url ) . '">删除文章</a>';

登录后复制

2. 验证Nonce：

用于管理后台的表单提交（推荐）： 使用

check_admin_referer()

登录后复制

函数。这个函数非常方便，因为它不仅验证Nonce，如果验证失败，它还会自动终止脚本执行并显示一个错误消息。

// 在处理表单提交的PHP代码开头
if ( ! current_user_can( 'manage_options' ) ) { // 简单权限检查
    wp_die( '你没有权限执行此操作！' );
}

// 验证 Nonce，如果失败则停止执行
check_admin_referer( 'my_custom_action', 'my_nonce_field_name' );

// 如果Nonce验证通过，则继续处理表单数据
// ...

登录后复制

这里的

'my_custom_action'

登录后复制

和

'my_nonce_field_name'

登录后复制

必须和生成Nonce时使用的参数一致。

用于其他情况（如AJAX请求、前台表单、或你不想立即终止脚本）： 使用

wp_verify_nonce()

登录后复制

函数。它返回

true

登录后复制

或

false

登录后复制

，你需要根据返回值自行处理逻辑。

// 从 $_POST 或 $_GET 中获取 Nonce 值
$nonce_value = isset( $_POST['my_nonce_field_name'] ) ? $_POST['my_nonce_field_name'] : '';

if ( wp_verify_nonce( $nonce_value, 'my_custom_action' ) ) {
    // Nonce 验证通过，安全地处理请求
    // ...
} else {
    // Nonce 验证失败，可能是恶意请求
    wp_die( '安全验证失败，请重试！' ); // 或者返回 JSON 错误信息给 AJAX
}

登录后复制

一些个人经验和注意事项：

动作字符串（Action String）的重要性：
```
wp_create_nonce()
```
登录后复制
和
```
wp_verify_nonce()
```
登录后复制
的第二个参数（动作字符串）非常关键。它应该是一个描述你正在执行操作的唯一字符串。不要随便写，也不要多个操作共用一个动作字符串，这会降低Nonce的安全性。比如，删除文章的动作字符串可以是
```
'delete_post_' . $post_id
```
登录后复制
，这样就更具体。
Nonce的生命周期： WordPress的Nonce默认有效期是24小时，但实际有效时间是生成后12小时到24小时之间（取决于它生成的时间点）。这意味着你不能指望一个Nonce永远有效，对于长时间不操作的页面，可能需要重新加载才能获得新的Nonce。
不要忘记权限检查： Nonce只是防止CSRF，它不负责权限管理。在处理任何敏感操作之前，始终要先检查当前用户是否有执行该操作的权限，比如
```
current_user_can()
```
登录后复制
。
错误处理： 当Nonce验证失败时，一定要有合适的错误处理机制。对于后台操作，
```
check_admin_referer()
```
登录后复制
的
```
wp_die()
```
登录后复制
很直接。对于AJAX，你可能需要返回一个JSON格式的错误信息。

说实话，我刚开始接触WordPress开发时，Nonce这东西也让我有点摸不着头脑，总觉得它像个小精灵，神神秘秘的。但用多了，你会发现它其实非常直观，而且是WordPress安全体系中不可或缺的一环。每次看到那些因为没用Nonce而导致的安全漏洞，都觉得太可惜了，明明一个简单的函数就能解决大部分问题。所以，在任何需要用户提交数据或执行操作的地方，养成使用Nonce的习惯，绝对是明智之举。

以上就是什么是WordPress的Nonce？安全密钥怎么用？的详细内容，更多请关注php中文网其它相关文章！