Si hackean tu web de WordPress, cambia las claves de seguridad y las salts además de las contraseñas.

WordPress es el gestor de contenidos más usado y, como todo en informática, lo más usado es lo más atacado. En algún momento, sobre todo si no mantienes tu web actualizada, pueden hackearte la web.

Cuando esto pasa, lo más común es cambiar contraseñas de los usuarios con permisos de modificación en la web. Pero no es suficiente.

Tienes que cambiar también tus claves de seguridad y los salt que van asociadas a ellas. Hoy os explicamos por qué y cómo hacerlo.

¿Qué son las claves de seguridad y los salts de WordPress?

Seguramente te habrás dado cuenta que no necesitas introducir tu usuario y contraseña en WordPress cada vez que vas a usarlo. Tus usuarios registrados tampoco. Esto es porque estos datos se guardan en el ordenador de cada uno en unas cookies. Está claro que guardar esto en texto que se pueda leer ( texto plano ) es un fallo de seguridad enorme. Así que WordPress, desde la versión 2.6 añade una pareja de caracteres largos para cifrar estos datos: la clave de seguridad y el salt.

En WordPress hay 4 pares ( 4 claves, 4 salts). Cada clave tiene su salt asociada.

  • AUTH_KEY. Permite hacer cambios en la web. Firma la cookie para la identificación sin ssl.
  • SECURE_AUTH_KEY. Permite hacer cambios en la web. Firma la cookie para la identificación por ssl.
  • LOGGED_IN_KEY. No permite hacer cambios. Firma la cookie para usuarios con sesión iniciada.
  • NONCE_KEY. Para firmar la clave nonce.

Estos son los de un WordPress sin instalar: El proceso de instalación rellena los campos donde poner “put your unique phrase here” con valores únicos para cada instalación. Y en principio no hay que cambiarlos ni tocarlos.

Estos son un ejemplo de valores posibles:

define('AUTH_KEY',         'dDA18,ai!S4-%S(CSDfD8q)+_/Uzyc5z$p/WJ$v(99$yYS?x:_(k:%HgRbvUO:Yo');
define('SECURE_AUTH_KEY',  'dxzRVm9Nb!s9z(}QF7Jt.]bh+Ob-QkyAYI2h)I<Md45MDv(ej;a3i,G-DISW1XBD');
define('LOGGED_IN_KEY',    '|F4|jndwEpMEAt!057;iO~+rA1cxK2u.!guNKb,HoADI+gsRfH2OB!#rlTo=s]}y');
define('NONCE_KEY',        '2&v-IEy IhE?osla|!IH|~<AE_*k/vnK+<9U|u([?Rx~7piwM)c44|bT-Lk~akyx');
define('AUTH_SALT',        'ac5q&|v.BjZ*ZKi:L$$Ko&..Qm@f|]cg:r}0yh-G0AIi-IVa@oE<tF.+0Wt+*t)^');
define('SECURE_AUTH_SALT', 'CQ<z>KD)^WPRR44q=3L:65R[!g68;fzL(4HC[kU#RP|]ieg-A#|,:QcXr[*0wS|<');
define('LOGGED_IN_SALT',   '|rzMZ_]opK9Bq6D-JJF}+#:Z82:5G-@ru!mx7o*#V1KJ0;AiNVxwrUNiV#)f=[|X');
define('NONCE_SALT',       ')2^y]1+07Mf8p.WvM7T!I=b/<?QdNoHEh]}|m]q2C-iQ`-8)Sy>v,.3]iNA17cw)');

¿Cuándo necesitas cambiar las claves de seguridad y los salt y cómo hacerlo?

Muy sencillo, cuando tu web haya sido hackeada. Porque entonces, no es suficiente con cambiar las con