Mais de 30% de todos os sites do mundo são desenvolvidos com WordPress, tornando-o de longe o CMS mais popular. Mesmo assim, as pessoas ainda se perguntam sobre o quão seguro o WordPress é. Proteger um site é uma prioridade no mundo de hoje, porque os hackers sabem como contornar as medidas de segurança mais complexas. Felizmente, os hackers não definem alvos claros, a menos que realmente tenham uma razão para isso. Na maioria das situações, eles procuram o elo mais fraco e assumem sites ou produtos de software vulneráveis.
Em primeiro lugar, os sites do WordPress devem ser protegidos com credenciais fortes, mas há outros fatores que importam tanto quanto uma senha segura. Para garantir que os invasores provavelmente não invadam seu site, você deve aprender e aplicar essas medidas extras.
Este artigo criado por nossa equipe em wpDataTables apresentará os fatos sobre as chaves salt do WordPress. As chaves ‘Salt’ destinam-se a manter as senhas do seu site protegidas o tempo todo. Com chaves salt fortes, os invasores não poderão ver ou usar suas credenciais, mesmo que possam obter o banco de dados do seu site. Aqui você encontrará detalhes sobre o que são os sais do WordPress e como você pode alterar o seu usando o plug-in Salt Shaker ou manualmente, então continue lendo.
Entendendo as chaves salt do WordPress
Os sais do WordPress são elementos criptográficos destinados a proteger os dados por um processo chamado hash. A maioria das plataformas que dependem apenas de credenciais para a segurança de seus usuários e do conteúdo que hospedam por meio da plataforma usa chaves salt para proteger dados confidenciais de hackers. O processo de hash criptografa as senhas sempre que elas são digitadas no formulário de login e salvas no banco de dados. Além disso, os cookies de terceiros do seu navegador também são codificados com teclas de sal para impedir que invasores se passem por você depois de roubar seus cookies.
Ao usar as teclas salt do WordPress, você pode ter certeza de que sua área de login é muito mais difícil de invadir. O mesmo vale para as informações armazenadas nos cookies de um navegador, o que pode ser bastante perigoso se você não fornecer sais para hash. Felizmente, o WordPress vem com suporte embutido para adicionar seus próprios sais. Eles podem ser encontrados no arquivo wp-config.php, localizado na pasta public_html. Eles normalmente se parecem com isso:
Tipos de sais do WordPress
Se você tiver a versão atual do WordPress, as chaves de segurança vêm em quatro tipos e são usadas sempre que você faz login no seu site. Para cada chave de segurança, você precisa ter uma chave salt do WordPress correspondente. Por padrão, eles são gerados automaticamente pelo WordPress, então você não precisa adicioná-los manualmente. Os tipos de sais do WordPress são:
LOGGED_IN_KEY – É usado para gerar cookies para um usuário que faça login. Esses cookies não podem ser usados para fazer alterações no site.
SECURE_AUTH_KEY – Isso é usado para o administrador SSL gerar um cookie de autorização. Esses cookies podem ser usados para fazer alterações no site.
AUTH_KEY – Isso é usado para o administrador não SSL gerar um cookie de autorização. Esses cookies podem ser usados para fazer alterações no site.
NONCE_KEY – Isso é usado para assinar a chave nonce que protege os nonces que estão sendo gerados. Este é o tipo de sal do WordPress que mantém seu site seguro contra várias formas de ataques cibernéticos.
Como funcionam os sais do WordPress?
Existem plataformas de sites que dependem de sessões PHP para rastrear os usuários e suas sessões de login. Não WordPress. No WordPress, a verificação de todos os usuários, variando de administradores a comentadores, é feita por meio da análise de cookies ou das informações que ficam armazenadas no histórico de um navegador. Sempre que uma pessoa faz login no WordPress Dashboard, alguns cookies são criados instantaneamente e depois salvos, com a aceitação do usuário. Os cookies criados são assim:
wordpress_[hash]A função dos sais do WordPress é muito fácil de entender. Digamos que sua senha seja "demo-password". Esta é uma senha muito simples que pode ser adivinhada ou hackeada rapidamente. As chaves representam variáveis aleatórias que são adicionadas à sua senha existente para torná-la criptografada. Cada vez que você faz login, o a senha é armazenada nos arquivos de cookies do seu navegador para que você não precise digitar suas credenciais toda vez que visitar o site. É aqui que as teclas salt entram em ação. A senha armazenada se torna muito difícil de decifrar quando você a criptografa e isso só pode acontecer com a ajuda de sais do WordPress.
Como você pode alterar os sais do WordPress?
Em alguns casos, pode ser necessário gerar você mesmo os sais do WordPress. Em outros casos, as chaves de segurança são pré-definidas. Veja qual é o seu caso e – se as teclas salt estiverem faltando – siga estes passos muito simples para configurá-los:
Manualmente
Para fazer isso manualmente, você precisará gerar uma chave secreta. Você pode fazer isso diretamente no WordPress, usando o gerador de chaves aleatórias que a plataforma oferece. Em vez de criar você mesmo uma chave secreta, use este método, pois os personagens são mais difíceis de decifrar. Levará apenas alguns segundos para fazê-lo, então definitivamente não é uma perda de tempo.
Em seguida, acesse https://api.wordpress.org/secret-key/1.1/salt/ e confira a lista que aparece. É uma lista de chaves de substituição e chaves de sal. Deve ficar assim:
O próximo passo é copiar esses sais do WordPress e abrir seu cliente FTP. Navegue até a pasta raiz do seu site e clique com o botão direito do mouse no arquivo wp-config.php para editá-lo. Procure a linha “Authentication Unique Keys and Salts" e substitua tudo o que você encontrar nesta seção pelos sais do WordPress que você acabou de copiar. Não se esqueça de salvar as alterações e fazer o upload do arquivo de volta para o servidor. Fazer isso a cada três a seis meses é a melhor maneira de manter seu site seguro. Sempre use o serviço de chave secreta do WordPress.org para gerar suas chaves.
Usando um plug-in
Se você achar os passos acima muito complicados, você pode recorrer ao método mais fácil que é usar um plugin. Salt Shaker é um plugin gratuito que automatiza todas as etapas que você leu acima. Você só precisa fazer o download e ativá-lo. O uso de um plug-in oferece um recurso extra que você não pode definir ao fazer as alterações manualmente. Com Salt Shaker, você pode agendar quando deseja que seus sais do WordPress sejam alterados, livrando-se assim de algumas responsabilidades. Lembre-se de que você e qualquer outra pessoa que use seu site terá que fazer login novamente usando a página de login do WordPress após cada alteração dos sais do WordPress.
Os benefícios das chaves de segurança do WordPress
Quando um site é invadido, a maioria dos dados nele – se não todos – será comprometida. Em vez de entrar em pânico, você precisa descobrir qual passo deve seguir em seguida. Alterar os sais do WordPress e as chaves exclusivas que você está usando invalidará todos os usuários conectados, incluindo hackers. Isso deve lhe dar algum tempo para salvar seu site da corrupção completa. Além de usar as chaves salt do WordPress, não se esqueça de obter um certificado SSL, para impor o uso de clientes FTP seguros, ocultar quaisquer arquivos vitais e reduzir o acesso a eles e assim por diante. As chaves de segurança do WordPress são apenas uma camada de proteção. Não se esqueça que você precisa cobrir todos eles.
Embrulhar
Garantir a segurança do seu site WordPress não é um processo fácil, mas vale a pena todo o esforço. Usar sais do WordPress para manter o processo de autenticação seguro e salvar seus dados na eventualidade de um ataque cibernético é uma das ações que você não pode ignorar. Certifique-se de aplicar tudo o que você aprendeu neste artigo para proteção extra.
Se você gostou de ler este artigo sobre sais e chaves do WordPress, você deve conferir este sobre o plugin SSL do WordPress.
Também escrevemos sobre alguns assuntos relacionados, como plugins de scanner de malware e segurança do WordPress.