WordPress es el gestor de contenidos más usado y, como todo en informática, lo más usado es lo más atacado. En algún momento, sobre todo si no mantienes tu web actualizada, pueden hackearte la web.
Cuando esto pasa, lo más común es cambiar contraseñas de los usuarios con permisos de modificación en la web. Pero no es suficiente.
Tienes que cambiar también tus claves de seguridad y los salt que van asociadas a ellas. Hoy os explicamos por qué y cómo hacerlo.
¿Qué son las claves de seguridad y los salts de WordPress?
Seguramente te habrás dado cuenta que no necesitas introducir tu usuario y contraseña en WordPress cada vez que vas a usarlo. Tus usuarios registrados tampoco. Esto es porque estos datos se guardan en el ordenador de cada uno en unas cookies. Está claro que guardar esto en texto que se pueda leer ( texto plano ) es un fallo de seguridad enorme. Así que WordPress, desde la versión 2.6 añade una pareja de caracteres largos para cifrar estos datos: la clave de seguridad y el salt.
En WordPress hay 4 pares ( 4 claves, 4 salts). Cada clave tiene su salt asociada.
- AUTH_KEY. Permite hacer cambios en la web. Firma la cookie para la identificación sin ssl.
- SECURE_AUTH_KEY. Permite hacer cambios en la web. Firma la cookie para la identificación por ssl.
- LOGGED_IN_KEY. No permite hacer cambios. Firma la cookie para usuarios con sesión iniciada.
- NONCE_KEY. Para firmar la clave nonce.
Estos son los de un WordPress sin instalar: El proceso de instalación rellena los campos donde poner “put your unique phrase here” con valores únicos para cada instalación. Y en principio no hay que cambiarlos ni tocarlos.
Estos son un ejemplo de valores posibles:
define('AUTH_KEY', 'dDA18,ai!S4-%S(CSDfD8q)+_/Uzyc5z$p/WJ$v(99$yYS?x:_(k:%HgRbvUO:Yo');
define('SECURE_AUTH_KEY', 'dxzRVm9Nb!s9z(}QF7Jt.]bh+Ob-QkyAYI2h)I<Md45MDv(ej;a3i,G-DISW1XBD');
define('LOGGED_IN_KEY', '|F4|jndwEpMEAt!057;iO~+rA1cxK2u.!guNKb,HoADI+gsRfH2OB!#rlTo=s]}y');
define('NONCE_KEY', '2&v-IEy IhE?osla|!IH|~<AE_*k/vnK+<9U|u([?Rx~7piwM)c44|bT-Lk~akyx');
define('AUTH_SALT', 'ac5q&|v.BjZ*ZKi:L$$Ko&..Qm@f|]cg:r}0yh-G0AIi-IVa@oE<tF.+0Wt+*t)^');
define('SECURE_AUTH_SALT', 'CQ<z>KD)^WPRR44q=3L:65R[!g68;fzL(4HC[kU#RP|]ieg-A#|,:QcXr[*0wS|<');
define('LOGGED_IN_SALT', '|rzMZ_]opK9Bq6D-JJF}+#:Z82:5G-@ru!mx7o*#V1KJ0;AiNVxwrUNiV#)f=[|X');
define('NONCE_SALT', ')2^y]1+07Mf8p.WvM7T!I=b/<?QdNoHEh]}|m]q2C-iQ`-8)Sy>v,.3]iNA17cw)');¿Cuándo necesitas cambiar las claves de seguridad y los salt y cómo hacerlo?
Muy sencillo, cuando tu web haya sido hackeada. Porque entonces, no es suficiente con cambiar las contraseñas, ya que si los atacantes han conseguido las claves de seguridad y salt que tenías, y las sigues usando, pueden usarlas para volver a conseguir acceso a tu web.
Pueden realizar ataques XSS (Cross Site Scripting) o de secuestro de sesión para conseguir las cookies, Con las cookies, y las claves que tenían del ataque, pueden descubrir los datos de acceso y volver a entrar en tu web.
Así que cuando una web ha sido atacada, debes cambiar las claves y los salt además de las contraseñas de administración.
Para ello (aunque hay plugins de seguridad que lo hacen) puedes hacer lo siguiente.
- Entra por FTP o ssh a tu servidor y a la carpeta de tu web.
- Edita el fichero wp-config.php.
- Encuentra las líneas de las claves y salt y borra el contenido de las mismas.
- Entra en https://api.wordpress.org/secret-key/1.1/salt/ Esta web genera los 4 pares diferentes cada vez que accedes.
- Sustituye las de tu fichero wp-config.php por las que te ha dado la web.
- Guarda el fichero.
Con esto ya lo tendrías cambiado, pero recuerda que, al hacer el cambio , “echará” a todos los usuario y tendrán que iniciar sesión de nuevo.
Otra razón por la que puedas querer añadir estas líneas es que tengas un WordPress que se hubiera creado antes de la versión 2.6 y hayas estado actualizando. SI es así, puede que no se te hayan añadido estos campos. Si entras en tu wp-config.php y ves que es así, puedes (debes) añadirlo.
Os recomendamos los siguientes productos relacionados con la informática:
SanDisk 256GB Ultra Luxe Memoria flash, USB 3.2, con velocidades de transferencia hasta 400MB/s
22,86 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
INIU Cable USB A USB C, [2m] QC 3,0 y 3,1A Cable USB C Carga Rapida, Aleación Trenzado de Nylon Cable USB Tipo C Cargador Compatible con iPhone 15 Pro Samsung S21 Huawei Xiaomi Pixel Android auto ECC.
6,63 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Amazon Basics - MicroSDXC, 128 gb, con Adaptador SD, A2, U3, velocidad de lectura hasta 100 MB/s, Negro
11,99 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
HP Cartucho de tinta original negro de alto rendimiento 305XL
24,99 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
301XL Cartuchos de Tinta Remanufacturado para 301 XL Negro y Color, Compatible Cartuchos de Tinta Negro 301XL para HP Envy 4500 4504 5530 5536 DeskJet 3055A 3050A 2540 1050A 1512 OfficeJet 2620
29,99 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
QLOCOM 2024 Nuevo Amplificador Señal WiFi 1200Mbps, Repetidor WiFi Largo Alcance Banda Dual 5GHz y 2.4GHz WiFi Booster con WPS, Play y Plug, Compatible con Todos los Routers
53,99 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Lenovo Tab P12 - Tablet de 12.7" 3K (MediaTek Dimensity 7050, 8 GB de RAM, 128 GB ampliables hasta 1 TB, 4 Altavoces, WiFi 6 + Bluetooth 5.1, Android 13) Tab Pen Plus - Gris
399,00 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
Copdorn Memoria USB 982GB Pendrive USB 3.0 Impermeable Pen Drive Alta Velocidad Memory Stick Metal Disco Duro Externo 982GB para Computadora Tableta Ordenador Portátil con Llavero
20,99 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)
HP 302 X4D37AE, Negro y Tricolor, Pack de 2, Cartuchos de Tinta Originales, Compatible con Impresoras de Inyección de Tinta HP DeskJet 1110, 2130, 3630, HP ENVY 4520, HP OfficeJet 3830, 4650, 5220
37,99 € (a partir de 17 abril, 2024 13:14 GMT +02:00 - Más informaciónProduct prices and availability are accurate as of the date/time indicated and are subject to change. Any price and availability information displayed on [relevant Amazon Site(s), as applicable] at the time of purchase will apply to the purchase of this product.)