Guia definitivo para sais e chaves de segurança do WordPress

Guia definitivo para sais e chaves de segurança do WordPress

O WordPress é um dos sistemas de gerenciamento de conteúdo mais conhecidos e populares do mundo. Consequentemente, o WordPress é um alvo frequente de explorações de segurança, como ataques de força bruta, injeção de SQL, malware, scripts entre sites e ataques DDoS. De fato, recentemente, uma nova linhagem de malware chamada Clipsa está lançando ataques de força bruta em sites WordPress, roubando criptomoedas via seqüestro de pranchetas.


O WordPress é tão seguro quanto a quantidade de esforço que você faz para melhorar a segurança do seu site. Como proprietário de um site, é sua responsabilidade permanecer vigilante e implementar uma estratégia de segurança proativa para evitar ataques maliciosos. Uso de senhas e nomes de usuários fracos, falha na atualização do núcleo e plug-ins do WordPress e hospedagem de baixa qualidade estão entre os erros comuns de segurança cometidos pelos proprietários de sites, oferecendo fácil acesso a hackers mal-intencionados.

O WordPress é um CMS altamente seguro à sua maneira. No entanto, para manter seu site protegido pelo WordPress contra cibercriminosos, é necessário melhorar sua postura de segurança e credibilidade online. Etapas simples, como atualizar o núcleo do WordPress, escolher um provedor de hospedagem seguro, prestar atenção a nome do domínio segurança e o uso de uma senha segura pode ajudar a bloquear bots e atacantes maliciosos.

Nesta postagem, focaremos nos sais e nas chaves de segurança do WordPress e em sua função de garantir que você não precise lidar com as consequências dos ataques de malware.

O que são chaves e sais de segurança do WordPress?

Quando um usuário faz login no site WordPress, vários cookies são criados no computador. Eles são usados ​​para verificar a identidade dos usuários conectados. Se um hacker entrar no seu banco de dados ou encontrar seus cookies, ele poderá ler sua senha, tornando seu site vulnerável a ataques.

O WordPress usa chaves e sais de segurança para fornecer uma saída enigmática que é armazenada no banco de dados ou cookie, adicionando uma camada de segurança ao seu site.

Dois desses cookies são:

  • WordPress_ [hash] usado apenas na página de administração ou no painel do WordPress.
  • WordPress_logged_in_ [hash] usado em todo o WordPress para determinar se você está ou não conectado ao WordPress.

Os detalhes de autenticação armazenados nesses cookies pelo WordPress são divididos em hash (valores enigmáticos atribuídos) usando os padrões aleatórios especificados nas chaves de segurança do WordPress.

Chave de segurança do WordPress

Chave de segurança do WordPress é uma senha que contém um conjunto aleatório, longo e complicado de variáveis ​​que aprimora a criptografia, tornando quase impossível decifrar sua senha. A versão mais recente do WordPress usa quatro chaves de segurança, cada uma com um sal correspondente que pode aumentar a segurança do seu site com WordPress.

Esses são:

  1. CHAVE DE AUTENTICAÇÃO pode ser usado para fazer alterações no site. Ele ajuda a assinar o cookie de autorização para os que não são SSL.
  2. SECURE_AUTH_KEY é usado para assinar o cookie de autorização do administrador SSL e é usado para fazer alterações no site.
  3. LOGGED_IN_KEY é usado para criar um cookie para um usuário conectado. Não pode ser usado para fazer alterações no site.
  4. NONCE_KEY é usado para assinar o chave diferente. Essa chave protege os nonces de serem gerados, protegendo o site contra ataques.

Você encontrará essas chaves e sais de autenticação no arquivo wp-config.php, localizado na pasta raiz do WordPress.

Sais do WordPress são sequências aleatórias de dados que misturam as chaves de segurança e adicionam uma camada extra de proteção ao site e suas credenciais.

Sais do WordPress

Como você pode ver nesta imagem, cada chave de segurança possui um sal correspondente, ou seja, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT e NONCE_SALT.

Por que usar chaves e sais de segurança do WordPress?

O WordPress usa cookies para rastrear a identidade dos usuários conectados ao seu site. Esses cookies são armazenados na conta do painel do seu site, que é do lado do cliente. Para uma melhor criptografia, os detalhes da autenticação (nome de usuário e senha) são divididos em hash usando um conjunto de valores aleatórios especificados nas chaves de segurança do WordPress.

Portanto, é extremamente difícil decifrar uma senha criptografada gerada aleatoriamente como “65a3ds2873ba27us36sd89s0fc”, em comparação com uma senha não criptografada. Portanto, os proprietários de sites devem usar as chaves de segurança do WordPress para proteger os cookies do site e impedir que hackers mal-intencionados acessem o site.

Como alterar manualmente as chaves e sais do WordPRess

Você pode configurar as chaves e sais secretos manualmente ou usando um plugin de segurança do WordPress. Se você possui um site WordPress hospedado, precisará adicionar as chaves de segurança.

Observe: recomendamos apenas editar manualmente os arquivos do WordPress se você for um desenvolvedor ou se estiver confortável trabalhando com código em um nível intermediário ou superior. Se você é iniciante, vá para os plug-ins recomendados abaixo.

Primeiro, use o gerador aleatório no WordPress para obter uma Chave Secreta exclusiva.

Gerar chaves

Em seguida, efetue login no gerenciador de arquivos do painel de controle ou via FTP. A partir daqui, localize o arquivo wp-config.php para modificá-lo.

Localize o arquivo WP-Config

Abra o arquivo e role para baixo até a seção “Autenticação de chaves e sais exclusivos”. É aqui que você pode adicionar suas chaves secretas que você gerou anteriormente.

Chaves e sais exclusivos de autenticação

Depois de salvar o arquivo, você será solicitado a fazer login novamente.

Use um plug-in para atualizar chaves e sais

Como a maioria das coisas no WordPress, você não precisa fazer isso manualmente. Vários plugins do WordPress podem ser usados ​​para automatizar o processo em seu nome. Eles são uma maneira rápida e fácil de alterar suas chaves e sais do WordPress. Aqui estão dois que recomendamos.

Segurança do iThemes

iThemes Security para o plugin BuddyPress Freemium WordPress

Informações e Download

A versão atual do iThemes Security (Free v4.6 + ou iThemes Security Pro v1.14 +) vem com um recurso de segurança que economiza tempo que atualiza facilmente as chaves e sais de segurança do WordPress. Ele oferece um lembrete de atualização todo mês e evita a necessidade de gerar manualmente um novo conjunto de chaves ou editar seu arquivo wp-config.php.

Para atualizar as chaves e os sais, vá para a seção “Sais do WordPress” na “Guia Avançado”, marque a caixa de seleção “Alterar sais do WordPress” e, finalmente, clique no botão “Alterar sais do WordPress”.

Sais do iThemes WordPress

O iThemes Security Pro oferece recursos adicionais, como autenticação de dois fatores, verificação programada de malware e reCAPTCHA para detectar software malicioso e adicionar uma camada extra de segurança às suas páginas de login do WordPress.

Saleiro

Salt Shaker plugin

Da mesma forma, o Salt Shaker oferece recursos e configurações impressionantes, como chaves de segurança WP manuais e imediatas e alteração de sais para melhorar a segurança do WordPress.

Saleiro WordPress Chaves e sais

Além disso, depois de instalar o plug-in Salt Shaker, você pode definir o trabalho agendado para a mudança automática de sal. Tudo que você precisa fazer é marcar a caixa e escolher a configuração diária, semanal ou mensal.

Nos dois casos, o plug-in é programado para enviar lembretes automáticos para a atualização das chaves do WordPress. Como resultado, também força todos os usuários logados a passar pelo processo de logon novamente. Todos esses recursos ajudam a proteger um site contra ataques de força bruta e outras tentativas de hackers.


Quando se trata de proteger seu site WordPress, a prevenção é o caminho. A combinação contundente de chaves e sais de segurança do WordPress dificulta a invasão de senhas de sites por hackers. É assim que o WordPress oferece maior segurança para as sessões do usuário e protege os dados.

Para resumir, aqui estão algumas coisas a serem lembradas ao atualizar as chaves e sais de segurança do WordPress.

  • Depois de iniciar seu site WordPress, altere as chaves e sais de segurança.
  • Sempre use o gerador de chaves de sal do WordPress para criar chaves de segurança. Não faça você mesmo. Como alternativa, você pode ou automatizar o processo usando um plugin do WordPress.
  • A atualização das chaves e sais de segurança do WordPress invalidará todos os cookies existentes, fazendo com que todos os usuários sejam desconectados instantaneamente. Portanto, ao alterá-los, lembre-se de que alguns usuários podem estar online.
  • Se você ver algum sinal de seu site ser atacado, atualize as chaves de segurança do WordPress e incentive seus usuários a alterar a senha deles.

Você tem alguma dúvida sobre sais e chaves de segurança? Ou dicas que você adicionaria? Deixe-nos saber nos comentários!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map