Oltre il 30% di tutti i siti Web nel mondo è alimentato da WordPress, il che lo rende di gran lunga il CMS più popolare. Anche così, le persone continuano a chiedersi quanto sia sicuro WordPress. La protezione di un sito Web è una priorità assoluta nel mondo di oggi perché gli hacker sanno come orientarsi intorno alle misure di sicurezza più complesse. Fortunatamente, gli hacker non fissano obiettivi chiari, a meno che non abbiano davvero un motivo per farlo. Nella maggior parte dei casi, cercano l’anello più debole e rilevano siti Web o prodotti software vulnerabili.
Innanzitutto, i siti Web WordPress dovrebbero essere protetti con credenziali solide, ma ci sono altri fattori che contano tanto quanto una password sicura. Per assicurarti che sia molto improbabile che gli aggressori entrino nel tuo sito Web, dovresti conoscere e applicare queste misure aggiuntive.
Questo articolo creato dal nostro team di wpDataTables presenterà i fatti sulle chiavi salt di WordPress. Le chiavi "Salt" hanno lo scopo di mantenere le password del tuo sito Web protette in ogni momento. Con chiavi salt avanzate, gli aggressori non saranno in grado di vedere o utilizzare le tue credenziali, anche se potrebbero impadronirsi del database del tuo sito web. Qui troverai i dettagli su cosa sono i sali di WordPress e su come puoi modificare i tuoi utilizzando il plug-in Salt Shaker o manualmente, quindi continua a leggere.
Capire le chiavi di sale di WordPress
I sali di WordPress sono elementi crittografici che hanno lo scopo di proteggere i dati tramite un processo chiamato hashing. La maggior parte delle piattaforme che si basano solo sulle credenziali per la sicurezza dei propri utenti e del contenuto che ospitano attraverso la piattaforma utilizza chiavi di sale per proteggere i dati sensibili dagli hacker. Il processo di hashing crittografa le password ogni volta che vengono digitate nel modulo di accesso e salvate nel database. Inoltre, i cookie di terze parti del tuo browser vengono sottoposti a hash con chiavi salt per impedire agli aggressori di impersonarti dopo aver rubato i tuoi cookie.
Quando usi le chiavi salt di WordPress, puoi essere certo che la tua area di accesso è molto più difficile da entrare. Lo stesso vale per le informazioni memorizzate nei cookie di un browser, che possono essere piuttosto pericolose se non fornisci sali con cui eseguirne l’hashing. Fortunatamente, WordPress viene fornito con il supporto integrato per aggiungere i tuoi sali. Questi possono essere trovati nel file wp-config.php, che si trova nella cartella public_html. Normalmente hanno un aspetto simile a questo:
Tipi di sali di WordPress
Se disponi della versione corrente di WordPress, le chiavi di sicurezza sono di quattro tipi e vengono utilizzate ogni volta che accedi al tuo sito. Per ogni chiave di sicurezza, è necessario disporre di una chiave salt di WordPress corrispondente. Per impostazione predefinita, vengono generati automaticamente da WordPress, quindi non è necessario aggiungerli manualmente. I tipi di sali di WordPress sono:
LOGGED_IN_KEY – Viene utilizzato per generare cookie per un utente che effettua il login. Questi cookie non possono essere utilizzati per apportare modifiche al sito.
SECURE_AUTH_KEY – Viene utilizzato dall’amministratore SSL per generare un cookie di autorizzazione. Questi cookie possono essere utilizzati per apportare modifiche al sito.
AUTH_KEY – Viene utilizzato dall’amministratore non SSL per generare un cookie di autorizzazione. Questi cookie possono essere utilizzati per apportare modifiche al sito.
NONCE_KEY – Viene utilizzato per firmare la chiave nonce che protegge i nonce generati. Questo è il tipo di sale di WordPress che protegge il tuo sito Web da molteplici forme di attacchi informatici.
Come funzionano i sali di WordPress?
Esistono piattaforme di siti Web che si basano su sessioni PHP per tenere traccia degli utenti e delle loro sessioni di accesso. Non WordPress. Su WordPress, la verifica di tutti gli utenti, dagli amministratori ai commentatori, viene effettuata analizzando i cookie o le informazioni che vengono memorizzate nella cronologia di un browser. Ogni volta che una persona accede alla dashboard di WordPress, alcuni cookie vengono creati istantaneamente e quindi salvati, con l’accettazione dell’utente. I cookie che vengono creati hanno il seguente aspetto:
wordpress_[hash]La funzione dei sali di WordPress è molto facile da capire. Diciamo che la tua password è "demo-password". Questa è una password molto semplice che può essere indovinata o hackerata piuttosto rapidamente. Le chiavi rappresentano variabili casuali che vengono aggiunte alla tua password esistente per renderla crittografata. Ogni volta che accedi, il la password viene memorizzata nei file cookie del browser in modo che non sia necessario digitare le credenziali ogni volta che si visita il sito Web. È qui che intervengono le chiavi salt. La password memorizzata diventa molto difficile da decifrare una volta crittografata e ciò può accadere solo con l’aiuto dei sali di WordPress.
Come puoi cambiare i sali di WordPress?
In alcuni casi, potrebbe essere necessario generare tu stesso i sali di WordPress. Negli altri casi, le chiavi di sicurezza sono predefinite. Guarda qual è il tuo caso e, se mancano le chiavi di sale, segui questi semplicissimi passaggi per configurarle:
Manualmente
Per farlo manualmente, dovrai generare una chiave segreta. Puoi farlo direttamente all’interno di WordPress, utilizzando il generatore di chiavi casuali offerto dalla piattaforma. Invece di creare tu stesso una chiave segreta, usa questo metodo, poiché i personaggi sono più difficili da decifrare. Ci vorranno solo un paio di secondi per farlo, quindi non è sicuramente una perdita di tempo.
Quindi, accedi a https://api.wordpress.org/secret-key/1.1/salt/ e controlla l’elenco che si apre. È un elenco di chiavi sostitutive e chiavi di sale. Dovrebbe sembrare come questo:
Il prossimo passo è copiare questi sali di WordPress e aprire il tuo client FTP. Passa alla cartella principale del tuo sito e fai clic con il pulsante destro del mouse sul file wp-config.php per modificarlo. Cerca la riga “Authentication Unique Keys and Salts" e sostituisci tutto ciò che trovi in questa sezione con i salt di WordPress che hai appena copiato. Non dimenticare di salvare le modifiche e caricare di nuovo il file sul server. Farlo ogni tre o sei mesi è il modo migliore per proteggere il tuo sito. Usa sempre il servizio di chiavi segrete di WordPress.org per generare le tue chiavi.
Utilizzo di un plug-in
Se ritieni che i passaggi precedenti siano troppo complicati, puoi ricorrere al metodo più semplice che utilizza un plug-in. Salt Shaker è un plugin gratuito che automatizza tutti i passaggi di cui hai letto sopra. Devi solo scaricarlo e attivarlo. L’utilizzo di un plug-in offre una funzionalità aggiuntiva che non è possibile impostare quando si apportano le modifiche manualmente. Con Salt Shaker, puoi programmare quando vuoi che i tuoi sali di WordPress vengano cambiati, liberandoti così da alcune responsabilità. Tieni presente che tu e qualsiasi altra persona che utilizza il tuo sito Web dovrete accedere nuovamente utilizzando la pagina di accesso di WordPress dopo ogni modifica dei sali di WordPress.
I vantaggi dei token di sicurezza di WordPress
Quando un sito viene violato, la maggior parte dei dati su di esso, se non tutti, saranno compromessi. Invece di farti prendere dal panico, devi capire quale passo dovresti seguire dopo. La modifica dei salt di WordPress e delle chiavi univoche che hai utilizzato invaliderà tutti gli utenti che hanno effettuato l’accesso, inclusi gli hacker. Questo dovrebbe farti guadagnare un po’ di tempo per salvare il tuo sito web dalla completa corruzione. Oltre a utilizzare le chiavi salt di WordPress, non dimenticare di ottenere un certificato SSL, di imporre l’uso di client FTP sicuri, nascondere tutti i file vitali e ridurne l’accesso e così via. Le chiavi di sicurezza di WordPress sono solo un livello di protezione. Non dimenticare che devi coprirli tutti.
Incartare
Garantire la sicurezza del tuo sito WordPress non è un processo facile, ma ne vale la pena. L’uso dei sali di WordPress per mantenere sicuro il processo di autenticazione e salvare i tuoi dati nell’eventualità di un attacco informatico è una delle azioni che non puoi saltare. Assicurati di applicare tutto ciò che hai imparato in questo articolo per una protezione aggiuntiva.
Se ti è piaciuto leggere questo articolo sui sali e le chiavi di WordPress, dovresti dare un’occhiata a questo sul plugin SSL di WordPress.
Abbiamo anche scritto di alcuni argomenti correlati come i plug- in per lo scanner di malware e la sicurezza di WordPress.