WordPress es uno de los sistemas de gestión de contenido más conocidos y populares del mundo. En consecuencia, WordPress es un objetivo frecuente de vulnerabilidades de seguridad, como ataques de fuerza bruta, inyección SQL, malware, secuencias de comandos entre sitios y ataques DDoS. De hecho, recientemente, una nueva variedad de malware llamada Clipsa está lanzando ataques de fuerza bruta en sitios de WordPress, robando criptomonedas a través del secuestro del portapapeles.
WordPress es tan seguro como la cantidad de esfuerzo que ponga para mejorar la seguridad de su sitio. Como propietario de un sitio web, es su responsabilidad mantenerse alerta e implementar una estrategia de seguridad proactiva para prevenir ataques maliciosos. El uso de contraseñas y nombres de usuario débiles, la falta de actualización del núcleo y los complementos de WordPress y el alojamiento de mala calidad se encuentran entre los errores de seguridad comunes que cometen los propietarios de sitios web, lo que facilita el acceso a piratas informáticos malintencionados.
WordPress es un CMS altamente seguro a su manera. Sin embargo, mantener su sitio con WordPress a salvo de los ciberdelincuentes requiere que mejore su postura de seguridad y su credibilidad en línea. Pasos simples como actualizar el núcleo de WordPress, elegir un proveedor de alojamiento seguro de WordPress, prestar atención a nombre de dominio seguridad, y el uso de una contraseña segura puede ayudar a bloquear bots y atacantes malintencionados.
En esta publicación, nos centraremos en las claves de seguridad y las sales de WordPress y su función para garantizar que no tenga que lidiar con las consecuencias de los ataques de malware.
¿Qué son las claves de seguridad y las sales de WordPress?
Cuando un usuario inicia sesión en el sitio de WordPress, se crean varias cookies en la computadora. Estos se utilizan para verificar la identidad de los usuarios registrados. Si un pirata informático ingresa a su base de datos o encuentra sus cookies, es posible que pueda leer su contraseña, lo que hace que su sitio sea vulnerable a los ataques.
WordPress usa claves de seguridad y sales para brindarle una salida críptica que se almacena en la base de datos o en la cookie, lo que agrega una capa de seguridad a su sitio web.
Dos de estas cookies son:
- WordPress_[hash] se utiliza solo en la página de administración o en el panel de WordPress.
- WordPress_logged_in_[hash] utilizado en WordPress para determinar si ha iniciado sesión en WordPress.
Los detalles de autenticación almacenados en estas cookies por WordPress se hash (valores crípticos asignados) utilizando los patrones aleatorios que se especifican en las claves de seguridad de WordPress.
Clave de seguridad de WordPress es una contraseña que contiene un conjunto de variables aleatorias, largas y complicadas que mejoran el cifrado, lo que hace que sea casi imposible descifrar su contraseña. La última versión de WordPress utiliza cuatro claves de seguridad, cada una con su correspondiente sal que puede aumentar la seguridad de su sitio web con WordPress.
Estos son:
- CLAVE DE AUTENTICACIÓN se puede utilizar para realizar cambios en el sitio. Le ayuda a firmar la cookie de autorización para no SSL.
- SECURE_AUTH_KEY se utiliza para firmar la cookie de autorización para el administrador de SSL y se utiliza para realizar cambios en el sitio web.
- LOGGED_IN_KEY se utiliza para crear una cookie para un usuario que ha iniciado sesión. No se puede utilizar para realizar cambios en el sitio.
- NONCE_KEY se utiliza para firmar el clave de nonce. Esta clave evita que se generen los nonces, protegiendo así su sitio de ataques.
Encontrará estas claves y sales de autenticación en el archivo wp-config.php, ubicado en la carpeta raíz de WordPress.
Sales de WordPress son cadenas de datos aleatorias que codifican las claves de seguridad y agregan una capa adicional de protección al sitio y a sus credenciales.
Como puede ver en esta imagen, cada clave de seguridad tiene una sal correspondiente, a saber, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT y NONCE_SALT.
¿Por qué utilizar sales y llaves de seguridad de WordPress?
WordPress utiliza cookies para rastrear la identidad de los usuarios que inician sesión en su sitio web. Estas cookies se almacenan en la cuenta del panel de control de su sitio, es decir, del lado del cliente. Para un mejor cifrado, los detalles de autenticación (tanto el nombre de usuario como la contraseña) se codifican utilizando un conjunto de valores aleatorios especificados en las claves de seguridad de WordPress.
Por lo tanto, una contraseña cifrada generada aleatoriamente como «65a3ds2873ba27us36sd89s0fc» es extremadamente difícil de descifrar en comparación con una no cifrada. Por lo tanto, los propietarios de sitios web deben usar las claves de seguridad de WordPress para proteger las cookies de su sitio y evitar que los piratas informáticos malintencionados accedan al sitio.
Cómo cambiar las claves y las sales de WordPRess manualmente
Puede configurar las claves secretas y las sales de forma manual o mediante un complemento de seguridad de WordPress. Si tiene un sitio de WordPress autohospedado, tendrá que agregar las claves de seguridad usted mismo.
Tenga en cuenta: solo recomendamos editar manualmente los archivos de WordPress si es un desarrollador o se siente cómodo trabajando con código en un nivel intermedio o superior. Si es un principiante, pase a los complementos recomendados a continuación.
Primero, use el generador aleatorio en WordPress para obtener una clave secreta única.
A continuación, inicie sesión en el administrador de archivos de su panel de control o mediante FTP. Desde aquí ubique el archivo wp-config.php para modificarlo.
Abra el archivo y desplácese hacia abajo hasta la sección «Claves y sales únicas de autenticación». Aquí es donde puede agregar sus claves secretas que generó anteriormente.
Una vez que guarde el archivo, se le pedirá que inicie sesión nuevamente.
Use un complemento para actualizar claves y sales
Como la mayoría de las cosas en WordPress, no tiene que hacer esto manualmente. Se pueden usar varios complementos de WordPress para automatizar el proceso en su nombre. Son una forma rápida y fácil de cambiar sus claves y sales de WordPress. Aquí hay dos que recomendamos.
Seguridad de iThemes
La versión actual de iThemes Security (Free v4.6 + o iThemes Security Pro v1.14 +) viene con una función de seguridad que ahorra tiempo y que actualiza fácilmente las claves y sales de seguridad de WordPress. Ofrece un recordatorio de actualización cada mes y evita la necesidad de generar manualmente un nuevo conjunto de claves o editar su archivo wp-config.php.
Para actualizar las claves y las sales, vaya a la sección ‘Sales de WordPress’ en la pestaña ‘Avanzado’, haga clic en la casilla de verificación junto a ‘Cambiar sales de WordPress’ y finalmente haga clic en el botón ‘Cambiar sales de WordPress’.
IThemes Security Pro ofrece funciones adicionales como autenticación de dos factores, escaneo programado de malware y reCAPTCHA para detectar software malicioso y agregar una capa adicional de seguridad a sus páginas de inicio de sesión de WordPress.
Salero
De manera similar, Salt Shaker ofrece características y configuraciones impresionantes como claves de seguridad WP manuales e inmediatas y cambios de sales para mejorar la seguridad de WordPress.
Además, después de instalar el complemento Salt Shaker, puede configurar el trabajo programado para el cambio automático de sal. Todo lo que necesita hacer es marcar la casilla y elegir la configuración diaria, semanal o mensual.
En ambos casos, el complemento está programado para enviar recordatorios automáticos para actualizar las claves de WordPress. Como resultado, también obliga a todos los usuarios registrados a pasar por el proceso de inicio de sesión nuevamente. Todas estas funciones ayudan a proteger un sitio web de ataques de fuerza bruta y otros intentos de piratería.
Cuando se trata de proteger su sitio de WordPress, la prevención es el camino a seguir. La combinación contundente de claves de seguridad y sales de WordPress dificulta que los piratas informáticos descifren las contraseñas de sitios web. Así es como WordPress ofrece una seguridad mejorada para las sesiones de los usuarios y protege los datos.
En resumen, aquí hay algunas cosas a tener en cuenta al actualizar las claves de seguridad y las sales de WordPress.
- Después de iniciar su sitio de WordPress, cambie las claves de seguridad y las sales.
- Utilice siempre el generador de claves salt de WordPress para crear claves de seguridad. No lo hagas tú mismo. Alternativamente, puede automatizar el proceso utilizando un complemento de WordPress.
- La actualización de las claves de seguridad y las sales de WordPress invalidará todas las cookies existentes, lo que provocará que todos los usuarios se desconecten instantáneamente. Por lo tanto, cuando los cambie, tenga en cuenta que algunos usuarios pueden estar en línea.
- Si ve signos de que su sitio está siendo atacado, actualice las claves de seguridad de WordPress y anime a sus usuarios a cambiar su contraseña.
¿Tiene alguna pregunta sobre sales y llaves de seguridad? ¿O consejos que agregarías? ¡Háznoslo saber en los comentarios!
