Una guía completa para comprender las claves de seguridad y las sales de WordPress

Rifat Tutoriales de WordPress Nov 22, 2024

¿Alguna vez has imaginado que tu sitio de WordPress fuera una fortaleza, con tus credenciales de inicio de sesión como la llave del castillo? ¿Y si esa llave pudiera transformarse en una maravilla que cambia de forma y que los intrusos no pudieran copiar?

Esa es la magia de las claves de seguridad y las sales de WordPress. Estas herramientas criptográficas actúan como una capa adicional de protección, convirtiendo el proceso de inicio de sesión en una formidable barrera de seguridad contra el acceso no autorizado y los ataques de fuerza bruta.

Esta guía completa desmitificará las sales de WordPress, explorará su papel crucial en el fortalecimiento de las defensas de su sitio y le mostrará cómo aprovechar su poder. Ya sea que sea un desarrollador experimentado o un propietario de sitio curioso, comprender e implementar correctamente estas cadenas aleatorias de caracteres es esencial para mantener una seguridad sólida en el panorama digital en constante evolución.

¿Qué son las sales y claves de WordPress?

Las claves de seguridad y las sales de WordPress son herramientas criptográficas que mejoran la seguridad del proceso de inicio de sesión de su sitio web. Estas cadenas aleatorias de caracteres actúan como una capa adicional de protección para las contraseñas y las credenciales de inicio de sesión de los usuarios.

Create Amazing Websites

Con el mejor generador de páginas gratuito Elementor

Empezar ahora

A continuación se presenta un desglose de sus aspectos clave:

  1. Cadenas aleatorias: las sales y las claves son esencialmente mezclas de caracteres aleatorios.
  2. Ubicados en wp-config.php: están definidos en el archivo wp-config.php de su sitio.
  3. Mejorar la seguridad de las contraseñas: se agregan sales a los hashes de contraseñas, lo que los hace más resistentes a los intentos de descifrado.
  4. Proteger las cookies de autenticación: las claves ayudan a proteger las cookies para mantener las sesiones de usuario.
  5. Único para cada sitio: cada instalación de WordPress debe tener su propio conjunto único de sales y claves.
  6. Se recomiendan actualizaciones periódicas: cambiarlas periódicamente agrega otra barrera de seguridad.

Al incorporar estos elementos, WordPress hace que sea significativamente más difícil para usuarios no autorizados acceder a su sitio, incluso si de alguna manera obtienen datos de contraseñas encriptadas.

Comprensión de las claves Salt de WordPress

Las sales de WordPress son como ingredientes secretos que hacen que la receta de seguridad de tu sitio sea más difícil de descifrar. Piensa en ellas como herramientas criptográficas que convierten datos confidenciales en una maraña ilegible de caracteres, incluidas contraseñas y credenciales de inicio de sesión. Este proceso, llamado hash, es una medida de seguridad crucial que muchas plataformas utilizan para proteger la información de los usuarios.

Así es como funciona:

  1. Protección de contraseña: cuando escribes tu contraseña en el formulario de inicio de sesión, las sales ayudan a convertirla en un código complejo antes de que se guarde en la base de datos. Esto significa que, incluso si alguien echa un vistazo a la base de datos, no podrá leer tu contraseña real.
  2. Seguridad de las cookies: Salts también protege las cookies de tu navegador (esos pequeños fragmentos de datos que recuerdan que estás conectado). También se codifican, lo que hace que sea mucho más difícil para los atacantes hacerse pasar por ti robando los datos de tus cookies.
  3. Seguridad de inicio de sesión mejorada: con las sales instaladas, el área de inicio de sesión de WordPress se convierte en una fortaleza. Es mucho más difícil que usuarios no autorizados entren.
  4. Protección integrada: la buena noticia es que WordPress viene con sales listas para usar. Las encontrarás en el archivo wp-config.php de tu sitio, generalmente en la carpeta public_html. Parecen cadenas de caracteres aleatorios, cada una de las cuales funciona como una clave de seguridad única.

Al usar estas claves de sal, WordPress agrega una capa adicional de protección a su sitio, haciéndolo mucho más resistente contra amenazas de seguridad comunes.

Tipos de sales de WordPress

Las claves de seguridad y las salts de WordPress son cadenas de caracteres aleatorios. Tu nombre de usuario y contraseña se codifican mediante estas cadenas para evitar que los piratas informáticos las descifren. Tus credenciales codificadas no se pueden utilizar para acceder a tu sitio web, incluso si te las roban. Estas salts suelen guardarse en el archivo wp-config.php, un componente esencial de la estructura de archivos de WordPress.

"Claves de seguridad de WordPress" y "sales de WordPress" se utilizan con frecuencia de forma intercambiable. Sin embargo, las ocho cadenas son las mismas. Las cuatro claves de seguridad son AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY y NONCE_KEY. Cada clave de seguridad tiene una sal correspondiente.

WordPress salts and security keys in the wp-config.php file

Dado que las sales de WordPress protegen tus credenciales de inicio de sesión, es fundamental mantenerlas confidenciales. Algunos servidores, como Cloudways, prefieren conservarlas en un archivo wp-salt.php diferente, aunque normalmente se guardan en el archivo wp-config.php. No deberían guardarse en otro lugar, independientemente del archivo en el que se encuentren. Por este motivo, no puedes acceder a ellas ni cambiarlas en algunos servicios de alojamiento web, como Pantheon.io.

¿Cómo funcionan las Salts de WordPress?

Un tipo de sistema sin estado es WordPress. Esto indica que, a diferencia de otros programas, no puede conservar las sesiones de los usuarios. En cambio, utiliza cookies del navegador de WordPress para mantener a los usuarios "conectados". Por lo tanto, WordPress crea una cookie que se envía a su navegador una vez que ha iniciado sesión con su nombre de usuario y contraseña (y 2FA si se toma en serio la seguridad de WordPress). Permanece "conectado" si tiene esa cookie y se cumplen sus requisitos.

Para que WordPress te identifique, esta cookie debe ser entregada a WordPress cada vez que usas el sitio web, lo que requiere que te autentiques. WordPress encripta la contraseña guardada en la cookie para garantizar que los datos permanezcan lo más seguros posible. Las sales son útiles en esta situación.

Cookies de WordPress

Aunque profundizar en los detalles de las cookies de WordPress está fuera del alcance de este artículo, vale la pena hacer una breve digresión para hablar sobre las sales y las cookies.

Recuerde que las cookies son archivos de texto que se guardan en los navegadores de los usuarios de WordPress y que proporcionan a WordPress información crucial, como la identidad del usuario y si ha iniciado sesión.

  • WordPress_logged_in_[hash]: WordPress utiliza la cookie para determinar si ha iniciado sesión. La clave LOGGED_IN_KEY y la sal LOGGED_IN_SALT se utilizan para codificar esta cookie. En la siguiente parte, analizaremos más en detalle estas opciones.
  • WordPress_[hash]: esta cookie permite modificar el sitio web de WordPress y se utiliza en las páginas de administración. Si se utiliza SSL/TLS, se utilizan la clave SECURE_AUTH_KEY y la sal SERCURE_AUTH_SALT para codificar esta cookie; si no se utiliza SSL/TLS, se utilizan la clave AUTH_KEY y la sal AUTH_SALT.

Galletas saladas

En pocas palabras, las sales se utilizan para codificar datos privados, como las credenciales de inicio de sesión de las cookies. Por este motivo, será casi imposible leer la contraseña si se roba la cookie.

Tenga en cuenta que las sales y las claves solo son compatibles con las sesiones estándar del navegador WordPress. Los datos no se codificarán con sales de WordPress si está utilizando sesiones PHP, lo que no se recomienda por varias razones.

Como hemos dicho, este método no es infalible. Si se roba una cookie, la persona que la tiene puede tomar el control de la sesión y utilizar el sitio web de WordPress en tu lugar. Sí, esa persona serías tú desde la perspectiva de WordPress.

Aunque las claves y las sales se crean automáticamente cuando se instala WordPress, se pueden modificar en cualquier momento. Analizaremos cómo cambiarlas y dónde buscarlas.

Cómo cambiar las Salts de WordPress (dos métodos)

Es posible que, en ocasiones, necesites crear salts de WordPress por tu cuenta. En otras situaciones, las claves de seguridad están predefinidas. Examina tu situación y, si no hay claves de salt, configúralas siguiendo estos sencillos pasos:

Métodos manuales

Debes crear una clave secreta para hacerlo a mano. Con el generador de claves aleatorias integrado de WordPress, puedes hacerlo desde dentro de la plataforma. Utiliza este método en lugar de crear tu propia clave secreta porque los caracteres son más difíciles de descifrar. No perderás tiempo porque solo te llevará unos segundos completarlo.

A continuación, obtenga la lista accediendo al Servicio de clave secreta de WordPress. Es una lista de claves de sal y claves de reemplazo. Así es como debería aparecer:

Copiar estas claves de WordPress y ejecutar el cliente FTP son los siguientes pasos. Para realizar cambios, haga clic derecho en el archivo wp-config.php en la carpeta raíz de su sitio web. Busque la línea "Claves y claves únicas de autenticación" y sustituya las claves de WordPress que acaba de copiar por lo que encuentre en esta sección. Recuerde volver a cargar el archivo al servidor y guardar las modificaciones. La forma más sencilla de mantener su sitio seguro es hacer esto cada tres o seis meses. Para generar sus claves, utilice siempre el servicio de clave secreta de WordPress.org .

Usando el complemento

Si crees que los procedimientos anteriores son demasiado difíciles, puedes usar un complemento, que es un método más sencillo. Un complemento gratuito llamado Salt Shaker automatiza cada paso que leíste anteriormente. Solo hay que descargarlo y activarlo. Una función adicional que no está disponible al realizar cambios manualmente se proporciona mediante el uso de un complemento. Puedes eliminar algunas de tus obligaciones al usar Salt Shaker para planificar cuándo quieres que se ajusten tus salts de WordPress. Recuerda que cada vez que modifiques los salts de WordPress, tú y cualquier otro usuario del sitio web deben registrarse nuevamente mediante la página de inicio de sesión de WordPress.

Conclusión

Una de las partes más importantes para mantener seguro un sitio web de WordPress es conocer y controlar sus claves de seguridad y sus salts. Si sigue estas prácticas recomendadas, estará en el buen camino para proteger su sitio web contra posibles peligros como el secuestro de cookies y el acceso ilegal.

Para mejorar aún más la seguridad de su sitio web, recuerde reemplazar sus claves y salts con regularidad. Y para evitar accesos no deseados, ¡manténgalas siempre privadas!

Preguntas frecuentes (FAQ)

1. ¿Qué son las sales de WordPress?

Respuesta: Las sales de WordPress son cadenas de caracteres aleatorios que se utilizan para proteger las credenciales de inicio de sesión de los usuarios. Crean hashes criptográficos de nombres de usuario y contraseñas, lo que mejora la seguridad.

2. ¿Por qué WordPress los llama sales?

Respuesta: Una "sal" es un dato aleatorio que se agrega antes del cifrado en criptografía. Las claves de seguridad de WordPress funcionan de esta manera, de ahí el nombre "sal".

3. ¿Por qué debería cambiar las claves de sal en WordPress?

Respuesta: Cambie las salts de WordPress después de una violación de seguridad. Si los piratas informáticos accedieran a su archivo wp-config.php, podrían descifrar contraseñas. Cambiar las salts ayuda a evitar el acceso no autorizado.

¿Cómo cambio la sal en WordPress?

Respuesta: Tres métodos para cambiar las sales de WordPress:

  1. Edite manualmente wp-config.php o wp-salt.php
  2. Utilice un complemento de seguridad con funciones de refuerzo
  3. Utilice el complemento Salt Shaker
Divi WordPress Theme