Share
Si alguna vez has visto el archivo de configuración del núcleo (wp-config.php) para un sitio de WordPress entonces es probable que haya notado una sección que define ocho constantes de WordPress relacionadas con claves de seguridad y sales:
Accentsconagua
CLAVE DE AUTENTICACIÓNSECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTNota: wp-config.php se encuentra en la carpeta raíz de su instalación de WordPress por defecto.
Estas constantes contienen claves de seguridad y sales que WordPress usa internamente para agregar una capa adicional de autenticación y mejorar la seguridad.
WordPress utiliza cookies (en lugar de sesiones de PHP) para realizar un seguimiento de quién está conectado actualmente. Esta información se almacena en las cookies de su navegador..
Para asegurarse de que los datos de autenticación sean lo más seguros posible, se utilizan claves y sales únicas para aumentar el nivel de cifrado de cookies. Se recomienda que sean cadenas largas (generalmente de 64 caracteres) de caracteres alfanuméricos y de símbolos aleatorios.
los CLAVE DE AUTENTICACIÓN, SECURE_AUTH_KEY, y LOGGED_IN_KEY las constantes de las claves de seguridad se agregaron en WordPress 2.6, que reemplazó una sola clave todo en uno que se introdujo por primera vez en WordPress 2.5.
NONCE_KEY Se agregó poco después, en WordPress 2.7. Sales correspondientes AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, y NONCE_SALT se agregaron junto con cada clave de seguridad, pero no fue hasta WordPress 3.0 que se agregaron a wp-config.php.
Antes de WordPress 3.0, opcionalmente podría agregar sus propias definiciones de constantes de sal a wp-config.php, De lo contrario, serían generados por WordPress y almacenados en la base de datos..
Si bien se requieren las cuatro constantes de la clave de seguridad, si elimina las constantes de sal del archivo de configuración de WordPress, las deja en sus valores predeterminados, o si se encuentra que cualquier sal es un duplicado de otro, WordPress recupera el sal de la base de datos..
Para los nuevos sitios de WordPress, las sales se generarán y almacenarán en la base de datos..
Durante la instalación, WordPress no genera claves / sales de seguridad únicas en wp-config.php. En su lugar, se ingresa el mismo mensaje predeterminado para cada constante.
Si acaba de instalar WordPress en un servidor remoto, se recomienda cambiar el mensaje predeterminado para cada constante de sal / clave de seguridad a un valor adecuado y único..
A veces, su anfitrión lo hará por usted si instala WordPress a través de un script personalizado. Aun así, para su tranquilidad, es posible que desee actualizar las claves / sales de seguridad de todos modos poco después de que se complete la instalación.
Incluso después de que las claves de seguridad y las sales hayan sido establecidas inicialmente, es una buena idea actualizarlas de vez en cuando. Cualquier cosa que pueda hacer para que su sitio sea más seguro es generalmente una buena idea..
Y aunque es muy poco probable que sus contraseñas (junto con las claves de seguridad / sales) puedan romperse, su actualización periódica tiene sentido ya que protege contra circunstancias imprevistas, como que las copias de seguridad de su sitio sean interceptadas por terceros no deseados, etc..
Entonces, ¿cómo actualizar realmente sus claves de seguridad y sales? Veamos algunos métodos diferentes.
Podría crear manualmente nuevos valores para cada constante, pero esto es bastante tedioso de hacer, especialmente si tiene más de un sitio de WordPress para actualizar. Además, cada clave / sal puede no ser tan segura como podría ser.
Afortunadamente, la buena gente de WordPress ha simplificado este proceso al proporcionar una API para generar automáticamente los valores de clave / sal para usted. Todo lo que tienes que hacer es visitar una clave secreta URL:
https://api.wordpress.org/secret-key/1.1/salt/
Cuando se carga la página, se le presentarán cadenas únicas para cada constante, como se muestra a continuación:
Como puede ver, cada tecla / sal de WordPress generada es una secuencia aleatoria de 64 caracteres. Intente actualizar la página varias veces para asegurarse de que la URL genere claves / sales completamente aleatorias cada vez.
Si está desarrollando su sitio de WordPress localmente, simplemente puede copiar y pegar las claves / sales generadas directamente en wp-config.php para reemplazar las entradas existentes.
Sugerencia: recomiendo usar siempre la URL anterior, que utiliza el protocolo HTTP seguro.
Esto eliminará efectivamente la posibilidad de que cualquier persona intercepte las claves / sales generadas cuando se las devuelvan antes de que se muestren en el navegador..
Si su sitio está alojado en un servidor remoto, para actualizar las claves / sales necesitará acceder y editar wp-config.php a través del panel de control de su servidor, o a través de un cliente FTP que permite editar archivos remotos, como FileZilla (gratis).
Si la idea de editar manualmente los archivos del servidor remoto envía tu cabeza a un giro, entonces deberías considerar usar un complemento en su lugar. Esta es una manera muy fácil de actualizar sus claves / sales de seguridad con solo hacer clic en un botón.
Hay varios complementos disponibles para generar y actualizar sus claves de seguridad y sales. Un complemento relativamente nuevo llamado Salt Shaker, lanzado en octubre de 2016, es una solución liviana con la ventaja adicional de que puede programar actualizaciones automáticas de claves / sales para que ocurran cuando lo desee. Y lo mejor de todo, es gratis. Echemos un vistazo a cómo usarlo..
Descargue Salt Shaker desde el repositorio de WordPress o instálelo directamente desde su administrador de WordPress de la manera habitual. Ir Plugins> Añadir Nuevo y empieza a escribir Salero en el Buscar complementos ... caja de texto. Cuando vea que el complemento aparece en la lista, haga clic en Instalar ahora.
Después de que se instale el plugin, un Activar Aparecerá el botón. Haga clic aquí para finalizar la configuración.
Ahora que el plugin está activo, podemos probarlo. Para acceder a la configuración del complemento, vaya a Herramientas> Salero en el administrador de WordPress.
Aquí, podemos actualizar las claves / sales de seguridad inmediatamente con un solo clic del ratón. Tan pronto como Cambia ahora al hacer clic en el botón, aparece un icono giratorio a la derecha para indicar que el complemento se está actualizando wp-config.php. Tan pronto como el icono desaparezca, sabrá que las claves / sales de seguridad se han actualizado..
En general, el complemento funciona muy bien y puede ahorrarle mucho tiempo, especialmente si tiene varios sitios web de WordPress. Tal vez me gustaría ver un par de opciones más para elegir los intervalos de tiempo, como tres meses y seis meses, para aumentar la flexibilidad del complemento..
Además, un mensaje que indique claramente cuándo se actualizaron las claves / sales sería útil, al igual que otra opción de complemento para redirigir automáticamente a la página de inicio de sesión después de que se hayan actualizado las claves / sales..
Alternativamente, podemos comprobar la Cambiar llaves y sales WP cuadro y elegir cuando el wp-config.php Se actualizan las constantes. Esta es una característica realmente agradable y, básicamente, le permite olvidarse de tener que actualizar las claves / sales de seguridad. Solo deja que el plugin haga todo por ti.!
No obstante, recuerde que cada vez que se actualicen las claves / sales de seguridad, deberá iniciar sesión nuevamente. Esto se debe a que las cookies relacionadas con los inicios de sesión se invalidan y, por lo tanto, los usuarios deben volver a iniciar sesión para actualizar la cookie..
Por lo tanto, antes de cambiar sus claves / sales de seguridad, es una buena idea tener a mano su información de inicio de sesión para que no se bloquee accidentalmente de su sitio..
Si no desea usar un complemento y tiene muchos sitios remotos de WordPress, entonces podría considerar usar un script para actualizar directamente las claves / sales de seguridad.
La desventaja de esto es que necesitas ser un experto en scripting. Sin embargo, hay varias soluciones listas para usar disponibles, por lo que no necesariamente tiene que codificar su propia cuenta..
Uno de estos scripts, llamado WP-Salts-Update-CLI por Ahmad Awais, actualiza las claves / sales de seguridad en su computadora local o servidor remoto.
Para instalar este script en su computadora (solo macOS), abra una ventana de terminal e ingrese lo siguiente:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo install ./wpsucli / usr / local / bin / wpsucli
Esto hará que un script ejecutable esté disponible globalmente a través de wpsucli mando. Puede ejecutarlo en su máquina local para buscar activamente todas las instancias de los archivos de configuración de WordPress y reemplazar las claves / sales de seguridad con nuevos valores directamente desde la URL de la API de clave secreta de WordPress.
Al ejecutar el script en un servidor remoto, se recomienda hacerlo desde la carpeta raíz, es decir,. discos compactos /, y luego correr wpsucli. Para más detalles sobre el script, vea la página de información principal..
En este tutorial, hemos cubierto qué son las claves / sales de seguridad de WordPress y por qué es importante actualizarlas periódicamente. También hemos examinado varias formas en que puede actualizarlos, desde copiar / pegar manualmente (si tiene acceso directo a wp-config.php) a usar un plugin para automatizar completamente el proceso. Si está familiarizado con la línea de comandos, también puede usar un script personalizado para actualizar sitios locales / remotos con bastante facilidad.
La desventaja es que todavía tiene que ejecutar manualmente los scripts que pueden ser fácilmente olvidados, así que en lugar de tener que programar esto en su flujo de trabajo, usar un complemento para automatizar el proceso podría ser la mejor manera de hacerlo..
Sea cual sea el método que elija, lo importante es recordar que está agregando otra capa de seguridad a su (s) sitio (s) de WordPress, y cualquier cosa que pueda hacer para lograrlo con el mínimo esfuerzo solo puede ser algo bueno!
Y si está buscando otras utilidades que lo ayuden a desarrollar su creciente conjunto de herramientas para WordPress o para que el código se estudie y sea más versado en WordPress, no olvide ver lo que tenemos disponible en Envato Market..
