Saltos y claves de WordPress: todo lo que necesita saber
Más del 30% de todos los sitios web del mundo funcionan con WordPress, lo que lo convierte en el CMS más popular con diferencia. Aun así, la gente todavía se pregunta con razón qué tan seguro es WordPress. Proteger un sitio web es una prioridad principal en el mundo actual porque los piratas informáticos saben cómo sortear las medidas de seguridad más complejas. Afortunadamente, los piratas informáticos no establecen objetivos claros, a menos que realmente tengan una razón para hacerlo. En la mayoría de las situaciones, buscan el eslabón más débil y se apoderan de sitios web o productos de software que son vulnerables.
En primer lugar, los sitios web de WordPress deben protegerse con credenciales sólidas, pero hay otros factores que son tan importantes como una contraseña segura. Para asegurarse de que es muy poco probable que los atacantes entren en su sitio web, debe conocer y aplicar estas medidas adicionales.
Este artículo creado por nuestro equipo en wpDataTables presentará los hechos sobre las claves de sal de WordPress. Las claves ‘Salt’ están destinadas a mantener las contraseñas de su sitio web protegidas en todo momento. Con claves de sal sólidas, los atacantes no podrán ver ni usar sus credenciales, aunque puedan acceder a la base de datos de su sitio web. Aquí encontrarás detalles sobre qué son las sales de WordPress y cómo puedes cambiar las tuyas usando el complemento Salt Shaker o manualmente, así que sigue leyendo.
Comprender las claves de sal de WordPress
Las sales de WordPress son elementos criptográficos destinados a proteger los datos mediante un proceso llamado hashing. La mayoría de las plataformas que dependen únicamente de las credenciales para la seguridad de sus usuarios y el contenido que alojan a través de la plataforma utilizan claves salt para proteger los datos confidenciales de los piratas informáticos. El proceso de hashing encripta las contraseñas cada vez que se ingresan en el formulario de inicio de sesión y se guardan en la base de datos. Además, las cookies de terceros de su navegador también se codifican con claves de sal para evitar que los atacantes se hagan pasar por usted después de robar sus cookies.
Al usar las claves de sal de WordPress, puede estar seguro de que su área de inicio de sesión es mucho más difícil de penetrar. Lo mismo ocurre con la información almacenada en las cookies de un navegador, que puede ser bastante peligrosa si no proporciona sales para codificarlas. Afortunadamente, WordPress viene con soporte incorporado para agregar tus propias sales. Estos se pueden encontrar en el archivo wp-config.php, ubicado en la carpeta public_html. Normalmente se ven algo como esto:
Tipos de sales de WordPress
Si tiene la versión actual de WordPress, las claves de seguridad vienen en cuatro tipos y se usan cada vez que inicia sesión en su sitio. Para cada clave de seguridad, debe tener una clave de sal de WordPress correspondiente. De forma predeterminada, WordPress los genera automáticamente, por lo que no necesita agregarlos a mano. Los tipos de sales de WordPress son:
LOGGED_IN_KEY: se usa para generar cookies para un usuario que inicia sesión. Estas cookies no se pueden usar para realizar cambios en el sitio.
SECURE_AUTH_KEY: se utiliza para que el administrador de SSL genere una cookie de autorización. Estas cookies se pueden utilizar para realizar cambios en el sitio.
AUTH_KEY: se utiliza para que el administrador que no utiliza SSL genere una cookie de autorización. Estas cookies se pueden utilizar para realizar cambios en el sitio.
NONCE_KEY: se utiliza para firmar la clave nonce que protege los nonces que se generan. Este es el tipo de sal de WordPress que mantiene su sitio web seguro contra múltiples formas de ataques cibernéticos.
¿Cómo funcionan las sales de WordPress?
Hay plataformas de sitios web que se basan en sesiones de PHP para rastrear a los usuarios y sus sesiones de inicio de sesión. No WordPress. En WordPress, la verificación de todos los usuarios, desde administradores hasta comentaristas, se realiza mediante el análisis de cookies o la información que se almacena en el historial del navegador. Cada vez que una persona inicia sesión en el Panel de WordPress, se crean instantáneamente algunas cookies y luego se guardan, con la aceptación del usuario. Las cookies que se crean tienen este aspecto:
wordpress_[hash]La función de las sales de WordPress es muy fácil de entender. Digamos que su contraseña es "contraseña de demostración". Esta es una contraseña muy simple que se puede adivinar o piratear con bastante rapidez. Las claves representan variables aleatorias que se agregan a su contraseña existente para cifrarla. Cada vez que inicia sesión, el La contraseña se almacena en los archivos de cookies de su navegador para que no necesite ingresar sus credenciales cada vez que visita el sitio web. Aquí es donde intervienen las claves de sal. La contraseña almacenada se vuelve muy difícil de descifrar una vez que la cifra, y eso solo puede suceder con la ayuda de las sales de WordPress.
¿Cómo puedes cambiar las sales de WordPress?
En algunos casos, es posible que deba generar sales de WordPress usted mismo. En otros casos, las claves de seguridad están predefinidas. Mira cuál es tu caso y, si faltan las teclas de sal, sigue estos pasos muy simples para configurarlas:
A mano
Para hacerlo manualmente, deberá generar una clave secreta. Puede hacerlo directamente en WordPress, utilizando el generador de claves aleatorias que ofrece la plataforma. En lugar de crear una clave secreta usted mismo, use este método, ya que los caracteres son más difíciles de descifrar. Solo te tomará un par de segundos hacerlo, así que definitivamente no es una pérdida de tiempo.
Luego, acceda a https://api.wordpress.org/secret-key/1.1/salt/ y consulte la lista que aparece. Es una lista de claves de reemplazo y claves de sal. Debe tener un aspecto como este:
El siguiente paso es copiar estas sales de WordPress y abrir su cliente FTP. Navegue a la carpeta raíz de su sitio y haga clic derecho en el archivo wp-config.php para editarlo. Busque la línea "Authentication Unique Keys and Salts" y reemplace todo lo que encuentre en esta sección con las sales de WordPress que acaba de copiar. No olvide guardar los cambios y volver a cargar el archivo en el servidor. Hacer esto cada tres a seis meses es la mejor manera de mantener su sitio seguro. Utilice siempre el servicio de clave secreta de WordPress.org para generar sus claves.
Usando un complemento
Si encuentra que los pasos anteriores son demasiado complicados, puede recurrir al método más fácil que usa un complemento. Salt Shaker es un complemento gratuito que automatiza todos los pasos sobre los que leyó anteriormente. Solo tienes que descargarlo y activarlo. El uso de un complemento le brinda una función adicional que no puede configurar cuando realiza los cambios manualmente. Con Salt Shaker, puede programar cuándo desea que se cambien sus salts de WordPress, deshaciéndose así de algunas responsabilidades. Tenga en cuenta que usted y cualquier otra persona que use su sitio web deberán iniciar sesión nuevamente utilizando la página de inicio de sesión de WordPress después de cada cambio de las sales de WordPress.
Los beneficios de las claves de seguridad de WordPress
Cuando se piratea un sitio, la mayoría de los datos que contiene, si no todos, se verán comprometidos. En lugar de entrar en pánico, debe averiguar qué paso debe seguir a continuación. Cambiar las sales de WordPress y las claves únicas que ha estado usando invalidará a todos los usuarios registrados, incluidos los piratas informáticos. Esto debería darle algo de tiempo para salvar su sitio web de la corrupción total. Además de utilizar las claves de sal de WordPress, no olvide obtener un certificado SSL, para hacer cumplir el uso de clientes FTP seguros, ocultar los archivos que son vitales y reducir el acceso a ellos, etc. Las claves de seguridad de WordPress son solo una capa de protección. No olvides que debes cubrirlos todos.
Envolver
Garantizar la seguridad de su sitio de WordPress no es un proceso fácil, pero vale la pena todo el esfuerzo. Usar las sales de WordPress para mantener seguro el proceso de autenticación y guardar tus datos en caso de un ciberataque es una de las acciones que no puedes omitir. Asegúrese de aplicar todo lo que ha aprendido en este artículo para obtener protección adicional.
Si disfrutó leyendo este artículo sobre sales y claves de WordPress, debe consultar este sobre el complemento SSL de WordPress.
También escribimos sobre algunos temas relacionados, como complementos de escáner de malware y seguridad de WordPress.