De seguridad en WordPress hemos hablado bastante en este blog, de protección del dashboard, de limpieza de malware, de control de virus, como activar SSL y un largo etcétera que podrás encontrar documentado en la categoría dedicada a la seguridad.
Un punto que siempre hemos pasado por alto, apenas lo hemos mencionada en algún artículo por encima es la gestión de claves secretas en WordPress, funcionalidad que se incorporó a partir de la versión 2.6 incluyendo características como la mejora de la gestión de contraseñas, “hash” de contraseñas y seguridad de las cookies.
Si deseas mejorar, más si cabe, la seguridad de tu sitio deberías establecer claves secretas nuevas únicas para tu instalación de WordPress.
Este proceso es muy sencillo ya que lo único que tienes que hacer es añadir estas líneas al archivo wp-config.php, donde encontrarás defines como los siguientes ya creados (es posible que ya incorporen claves generadas):
define('AUTH_KEY', 'poner su frase única aquí'); define('SECURE_AUTH_KEY', 'poner su frase única aquí'); define('LOGGED_IN_KEY', 'poner su frase única aquí'); define('NONCE_KEY', 'poner su frase única aquí'); define('AUTH_SALT', 'poner su frase única aquí'); define('SECURE_AUTH_SALT', 'poner su frase única aquí'); define('LOGGED_IN_SALT', 'poner su frase única aquí'); define('NONCE_SALT', 'poner su frase única aquí');
Estos defines también se localizan en el archivo wp-config-sample.php.
Tabla de contenidos
¿Qué son las claves de seguridad de WordPress?
Las claves (secret keys) de WordPress son un conjunto de variables aleatorias que mejoran el cifrado de la información almacenada en las cookies del usuario. Hay un total de ocho claves de seguridad:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
¿Por qué utilizar las claves de seguridad de WordPress?
Estas claves de seguridad hacen que sea más difícil de descifrar la contraseña. Una contraseña no cifrada como “nombre de usuario”, “admin” o “wordpress” puede ser fácilmente rota, pero una impredecible contraseña aleatoria, cifrada como “88a7da62429ba6ad3cb3c76a09641fc” llevaría años para llegar a obtener la combinación correcta.
Estas claves únicas deben ser largas y aleatorias, superiores a 60 caracteres es lo ideal y deben ser cada una diferente de las demás, es decir únicas.
WordPress dispone de un generador para estas líneas para ayudar a los usuarios en la creación de las mismas desde el siguiente enlace, donde obtendrás claves aleatorias únicas que podrás utilizar en tu instalación de WordPress con total confianza.
Ten en cuenta que haciendo esto anularas todas las cookies de inicio de sesión, por lo que todos los usuarios registrados en tu sitio tendrán que volver a iniciar sesión, pero hacerlo aumentará en gran medida la fuerza de cookies de WordPress. Esto significa que las cookies de inicio de sesión, si fuesen interceptadas, no podrán ser reproducidas con la misma facilidad. También significa que si alguien obtiene acceso de sólo lectura a la base de datos a través de cualquier otro medio no será capaz de acceder a tu sitio.
En el siguiente vídeo te mostramos lo sencillo que es generar tu propias claves de seguridad y como introducirlas en el archivo wp-config.php de tu instalación de WordPress.
La seguridad de tus instalaciones de WordPress no depende solo del servicio de Hosting, tu también formas parte de esa seguridad y de las medidas que apliques.
¿Te ha resultado útil este artículo?
Miembro del equipo de soporte técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Soporte técnico en CiberProtector. Teacher en Webempresa University