Si hackean tu web de WordPress, cambia las claves de seguridad y las salts además de las contraseñas.

WordPress es el gestor de contenidos más usado y, como todo en informática, lo más usado es lo más atacado. En algún momento, sobre todo si no mantienes tu web actualizada, pueden hackearte la web.

Cuando esto pasa, lo más común es cambiar contraseñas de los usuarios con permisos de modificación en la web. Pero no es suficiente.

Tienes que cambiar también tus claves de seguridad y los salt que van asociadas a ellas. Hoy os explicamos por qué y cómo hacerlo.

¿Qué son las claves de seguridad y los salts de WordPress?

Seguramente te habrás dado cuenta que no necesitas introducir tu usuario y contraseña en WordPress cada vez que vas a usarlo. Tus usuarios registrados tampoco. Esto es porque estos datos se guardan en el ordenador de cada uno en unas cookies. Está claro que guardar esto en texto que se pueda leer ( texto plano ) es un fallo de seguridad enorme. Así que WordPress, desde la versión 2.6 añade una pareja de caracteres largos para cifrar estos datos: la clave de seguridad y el salt.

En WordPress hay 4 pares ( 4 claves, 4 salts). Cada clave tiene su salt asociada.

  • AUTH_KEY. Permite hacer cambios en la web. Firma la cookie para la identificación sin ssl.
  • SECURE_AUTH_KEY. Permite hacer cambios en la web. Firma la cookie para la identificación por ssl.
  • LOGGED_IN_KEY. No permite hacer cambios. Firma la cookie para usuarios con sesión iniciada.
  • NONCE_KEY. Para firmar la clave nonce.

Estos son los de un WordPress sin instalar: El proceso de instalación rellena los campos donde poner “put your unique phrase here” con valores únicos para cada instalación. Y en principio no hay que cambiarlos ni tocarlos.

Estos son un ejemplo de valores posibles:

define('AUTH_KEY',         'dDA18,ai!S4-%S(CSDfD8q)+_/Uzyc5z$p/WJ$v(99$yYS?x:_(k:%HgRbvUO:Yo');
define('SECURE_AUTH_KEY',  'dxzRVm9Nb!s9z(}QF7Jt.]bh+Ob-QkyAYI2h)I<Md45MDv(ej;a3i,G-DISW1XBD');
define('LOGGED_IN_KEY',    '|F4|jndwEpMEAt!057;iO~+rA1cxK2u.!guNKb,HoADI+gsRfH2OB!#rlTo=s]}y');
define('NONCE_KEY',        '2&v-IEy IhE?osla|!IH|~<AE_*k/vnK+<9U|u([?Rx~7piwM)c44|bT-Lk~akyx');
define('AUTH_SALT',        'ac5q&|v.BjZ*ZKi:L$$Ko&..Qm@f|]cg:r}0yh-G0AIi-IVa@oE<tF.+0Wt+*t)^');
define('SECURE_AUTH_SALT', 'CQ<z>KD)^WPRR44q=3L:65R[!g68;fzL(4HC[kU#RP|]ieg-A#|,:QcXr[*0wS|<');
define('LOGGED_IN_SALT',   '|rzMZ_]opK9Bq6D-JJF}+#:Z82:5G-@ru!mx7o*#V1KJ0;AiNVxwrUNiV#)f=[|X');
define('NONCE_SALT',       ')2^y]1+07Mf8p.WvM7T!I=b/<?QdNoHEh]}|m]q2C-iQ`-8)Sy>v,.3]iNA17cw)');

¿Cuándo necesitas cambiar las claves de seguridad y los salt y cómo hacerlo?

Muy sencillo, cuando tu web haya sido hackeada. Porque entonces, no es suficiente con cambiar las contraseñas, ya que si los atacantes han conseguido las claves de seguridad y salt que tenías, y las sigues usando, pueden usarlas para volver a conseguir acceso a tu web.

Pueden realizar ataques XSS (Cross Site Scripting) o de secuestro de sesión para conseguir las cookies, Con las cookies, y las claves que tenían del ataque, pueden descubrir los datos de acceso y volver a entrar en tu web.

Así que cuando una web ha sido atacada, debes cambiar las claves y los salt además de las contraseñas de administración.

Para ello (aunque hay plugins de seguridad que lo hacen) puedes hacer lo siguiente.

  • Entra por FTP o ssh a tu servidor y a la carpeta de tu web.
  • Edita el fichero wp-config.php.
  • Encuentra las líneas de las claves y salt y borra el contenido de las mismas.
  • Entra en https://api.wordpress.org/secret-key/1.1/salt/ Esta web genera los 4 pares diferentes cada vez que accedes.
  • Sustituye las de tu fichero wp-config.php por las que te ha dado la web.
  • Guarda el fichero.

Con esto ya lo tendrías cambiado, pero recuerda que, al hacer el cambio , “echará” a todos los usuario y tendrán que iniciar sesión de nuevo.

Otra razón por la que puedas querer añadir estas líneas es que tengas un WordPress que se hubiera creado antes de la versión 2.6 y hayas estado actualizando. SI es así, puede que no se te hayan añadido estos campos. Si entras en tu wp-config.php y ves que es así, puedes (debes) añadirlo.