Seguridad en WordPress – Las claves secretas

LlavesTenemos muchas opciones para asegurar nuestra instalación de wordpress, y una de ellas es la inclusión de las claves secretas a la hora de crear nuestro archivo wp-config.php. Este archivo se crea en la instalación de wordpress, y las claves secretas aparecieron allá por la versión 2.6 y son exactamente cuatro:

  • AUTH_KEY
  • AUTH_SALT
  • SECURE_AUTH_KEY
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • LOGGED_IN_KEY
  • NONCE_KEY
  • NONCE_SALT

En la versión 2.6 de wordpress, se añadieron las claves, AUTH_KEY, SECURE_AUTH_KEY, y LOGGED_IN_KEY. Estas claves son el reemplazo de las claves simples de wordpress 2.5. En WordPress 2.7 se añadió una clave de fuerza, NONCE_KEY. Cuando cada clave fue añadida, las correspondientes claves de salto (salts) fueron añadidas: AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, y NONCE_SALT

Vale está bien, ¿pero para que diablos quiero yo esto?

Añade seguridad

Siempre te preocupas de cerrar la puerta de tu casa y en muchos casos cerramos con llave para aumentar la seguridad de que no entren. En internet existen muchas maneras de que entren en tu casa y nunca está de más añadir más seguridad a tu wordpress.

Las claves secretas añaden un punto más de seguridad a tu wordpress, ya que al anotar estas claves en tu fichero de configuración dificultas al posible atacante el crackeo de tu contraseña de WordPress(si, ya se que pones el nombre de tu hijo, o el de tu mujer, o el cumpleaños de la abuela, que te he pillado), porque la clave que se genera es del estilo “]+{ESqJe#Z.ryHX2Vuh;62eQGDRLg3YPdmePd2bk-Q^|]q6}0/D}9.GKikC|TBY-”, y no es que lleve un rato descubrirla, es que simplemente se puede tardar años en desencriptarla.

Tiene la ventaja de que estas claves no se pueden leer en la base de datos y que añaden encriptación a las cookies de sesión del usuario, con lo que el posible atacante puede sentirse perdido, y hace casi imposible de detectar la contraseña de acceso a WordPress.

¿Pero son imprescindibles?

No son imprescindibles, pero es MUY recomendable. Además tienen la ventaja de que las puedes cambiar siempre que quieras, incluso puedes poner tu clave de WordPress si esta fuera tipo paranóica con 30 dígitos y muchos numeritos, letras y símbolos. Encima tienen la ventaja de que no tienes que acordarte de ellas ya que WordPress no te las va a pedir nunca, pero recuerdaNUNCA se las des a nadie.

También puede pasar que en alguna instalación de repente un día WordPress te muestra el admin en blanco o no te reconoce las cookies de sesión. ¿Y que hacer? Pues menos tirarse de los pelos muchas cosas, pero si tienes estas claves generadas y puestas en el fichero de configuración podrás solucionar el problema.

Vale me has convencido, ¿Cómo las pongo?

Pues tienes que seguir estos sencillos pasos:

  1. Abres con tu editor de texto favorito el fichero de tu instalación de WordPress el archivo wp-config.php.
  2. Accedes al generador de claves automático.
  3. Copias cada clave y sustituyes el texto de muestra (a no ser que ya tengas generadas estas claves) por la clave correspondiente. No te preocupes si te equivocas mientras solo copies la clave no toda la línea del generador de claves.
    Claves secretas de wordpress
  4. Guardas los cambios, y la próxima vez que accedas a la zona admin te pedirá usuario y contraseña, y todo seguirá como antes, pero un poco más seguro.

¿Tu wordpress está seguro? ¿Qué medidas aplicas?

Es posible que te apetezca leer:

, , ,

No comments yet.

Aporta tus pensamientos