Para qué sirven las salts y cómo protegen tu WordPress

Las salts ayudan a proteger los sitios web WordPress al almacenar las contraseñas de los usuarios y autenticarlos de manera segura. Esta sería la respuesta corta, la larga y detallada es la siguiente:

Una mirada más cercana a las salts de WordPress

Las salts de WordPress y sus claves de seguridad asociadas son una herramienta criptográfica diseñada para mantener el inicio de sesión de su sitio web de WordPress seguro y protegido. Más explícitamente, almacenan información en las cookies utilizadas por WordPress para iniciar sesión en su cuenta.

Cuando inicia sesión en WordPress, puede optar por permanecer conectado si prefiere no ingresar su nombre de usuario y contraseña cada vez. WordPress almacena sus datos de inicio de sesión en sus cookies en lugar de utilizar sesiones de PHP. Este método es realmente importante para los usuarios de WordPress, ya que, un pirata informático podría usar sus habilidades para tomar el control de las cookies en su navegador.

Entonces, para ayudar a proteger la información de inicio de sesión de usuarios no autorizados, WordPress la protege con salts y claves de seguridad. En esencia, las salts de WordPress funcionan como contraseñas adicionales para su sitio web que cualquier pirata informático potencial encontraría prácticamente imposible de adivinar.

Las salts son realmente importantes, así que no las compartas con nadie.

¿Dónde se pueden encontrar las salts de WordPress?

De forma predeterminada, WordPress está equipado con sus propias salts y claves de seguridad almacenadas en el archivo wp-config.php de tu sitio web. Hay ocho claves: las cuatro superiores son claves de seguridad y las cuatro inferiores son salts de WordPress. Cada entrada termina con ‘KEY’ o ‘SALT’, lo que las hace fáciles de identificar.

¿Cómo funcionan las salts de WordPress?

En esta sección, usaremos una contraseña de ejemplo básica, PasswordX, para explicar cómo funcionan las salts de WordPress.

Para comenzar, inicia sesión con tu nombre de usuario y contraseña. WordPress almacena estos datos en dos cookies de navegador separadas para mantenerlo conectado. La base de datos de su sitio web también almacena esta información.

Si WordPress almacena la contraseña simplemente como «PasswordX», al aire libre, un usuario no autorizado podría detectarla fácilmente. Este método se conoce como almacenamiento en texto sin formato, un importante paso en falso de seguridad.

¿Cómo evitan las salts y las claves de seguridad este problema? Colaboran para transformar criptográficamente las contraseñas de texto sin formato en combinaciones aleatorias de caracteres. Es imposible que un usuario malintencionado realice ingeniería inversa de su contraseña sin tener acceso a sus salts o claves de seguridad.

Por ejemplo, incluso si elige PasswordX para tu contraseña, WordPress aún la convertiría en algo mucho más complejo para un almacenamiento seguro. Sin tener acceso a las claves de seguridad y salts, un usuario no autorizado no tendría forma de convertir una cadena aleatoria de caracteres en su contraseña real.

¿Es necesario actualizar las salts y claves de seguridad de WordPress?

Las Salts y claves de seguridad se incluyen con todas las nuevas instalaciones de WordPress de forma predeterminada. Eso significa que no necesita hacer a nada para proteger su sitio web de WordPress desde el principio. Pero vale la pena actualizar las salts y claves de seguridad de WordPress con regularidad.

¿Por qué debería actualizar las salts y claves de seguridad de WordPress?

Porque el uso de nuevas salts y claves hace que sea más difícil para cualquier pirata informático acceder a ellas. Además, cuando cambias las salts, cualquier usuario que haya iniciado sesión en su sitio se desconectará automáticamente. Eso es ideal si inicia sesión en un ordenador público pero olvidas cerrar sesión accidentalmente: esa cuenta se cerraría y nadie más podría volver a ingresar.

Dos formas de actualizar sus salts de WordPress

Tienes dos opciones para cambiar tus salts de WordPress:

  • Editando su archivo wp-config.php para cambiar las salts manualmente.
  • Usar un complemento gratuito que lo hace por ti.

Exploremos ambas opciones en detalle.

Cambiar manualmente las salts de WordPress

Con este método, deberás actualizar el archivo wp-config.php. Comenzamos conectándonos por FTP al hosting donde se encuentra el sitio web sobre el que queremos trabajar, luego abrimos el generador de salts oficial de WordPress. En esta página se generan claves de seguridad y salts aleatorias.

El siguiente paso es eliminar las claves que se encuentran actualmente en su archivo wp-config.php y luego reemplazarlas con las claves que se encuentran en el generador de sal. Aquí simplemente hay que copiar y pegar.

Al finalizar el proceso, el archivo se verá como antes, solo que con diferentes cadenas aleatorias de caracteres, lo que le brinda la seguridad sólida que necesita para mantenerse seguro en línea. Ahora simplemente guardamos los cambios y, si es necesario, volvemos a subir el archivo wp-config.php.

Usar un complemento para cambiar las salts de WordPress

también podemos cambiar las salts de un sitio web con un complemento en lugar de hacerlo manualmente. Una de las opciones gratuitas más populares es el complemento Salt Shaker , y tiene una ventaja clave sobre la alternativa manual: puedes configurar el complemento para cambiar las salts automáticamente según una programación definida, y también puedes cambiar manualmente las sales con este.

Instalamos el complemento, lo activamos, luego nos dirigimos a Herramientas y hacemos clic en Salt Shaker. Hacemos clic en Cambiar ahora si desea cambiar manualmente sus salts inmediatamente. Pero si lo desea, puede aprovechar la conveniente función de cambio programado.

Conclusión

Al usar WordPress, las salts y las claves de seguridad mantienen seguro su proceso de inicio de sesión y protegen las cookies utilizadas por WordPress para verificar a los usuarios. Tu sitio web de WordPress está equipado con salts únicos y claves de seguridad de forma predeterminada, por lo que no tiene que configurar nada para ponerlos en su lugar.

Aún así, es bueno para la seguridad de su sitio actualizar regularmente sus salts para evitar que usuarios no autorizados tengan acceso a ellos. Puedes usar el generador de sal de WordPress.org para editar el archivo wp-config.php manualmente o usar uno de los complementos gratuitos en su lugar.

Valorar post
Diego García Cuesta

Diego García Cuesta

Soy Diego García Cuesta, consultor informático especializado en entornos cloud. Me encanta ayudar a mis clientes en sus proyectos digitales, ya sea en la consultoría, setup, mantenimiento u optimización.
Compartir:

Holi!

Como buenos programadores, en HIT dominamos varios lenguajes. También el tuyo.