O WordPress é um dos sistemas de gerenciamento de conteúdo mais conhecidos e populares do mundo. Consequentemente, o WordPress é um alvo frequente de explorações de segurança, como ataques de força bruta, injeção de SQL, malware, scripts entre sites e ataques DDoS. De fato, recentemente, uma nova variedade de malware chamada Clipsa está lançando ataques de força bruta em sites WordPress, roubando criptomoedas por meio do sequestro da área de transferência.
O WordPress é tão seguro quanto a quantidade de esforço que você coloca para melhorar a segurança do seu site. Como proprietário de um site, é sua responsabilidade ficar atento e implementar uma estratégia de segurança proativa para evitar ataques maliciosos. O uso de senhas e nomes de usuário fracos, falha na atualização do núcleo e plugins do WordPress e hospedagem de baixa qualidade estão entre os erros comuns de segurança que os proprietários de sites cometem, facilitando o acesso a hackers mal-intencionados.
O WordPress é um CMS altamente seguro à sua maneira. No entanto, manter seu site com WordPress protegido contra cibercriminosos exige que você melhore sua postura de segurança e melhore sua credibilidade online. Etapas simples como atualizar o núcleo do WordPress, escolher um provedor de hospedagem WordPress seguro , prestar atenção à segurança do nome de domínio e usar uma senha segura podem ajudar a bloquear bots e invasores maliciosos.
Neste post, vamos nos concentrar nos sais e chaves de segurança do WordPress e seu papel para garantir que você não precise lidar com as consequências de ataques de malware.
O que são chaves de segurança e sais do WordPress?
Quando um usuário faz login no site WordPress, vários cookies são criados no computador. Eles são usados
O WordPress usa chaves de segurança e sais para fornecer uma saída enigmática que é armazenada no banco de dados ou cookie, adicionando uma camada de segurança ao seu site.
Dois desses cookies são:
- WordPress_[hash] usado apenas na página de administração ou no painel do WordPress.
- WordPress_logged_in_[hash] usado em todo o WordPress para determinar se você está logado ou não no WordPress.
Os detalhes de autenticação armazenados nesses cookies pelo WordPress são criptografados (valores crípticos atribuídos) usando os padrões aleatórios especificados nas chaves de segurança do WordPress.
A chave de segurança do WordPress é uma senha que contém um conjunto aleatório, longo e complicado de variáveis
Estes são:
- AUTH_KEY pode ser usado para fazer alterações no site. Ele ajuda você a assinar o cookie de autorização para o não SSL.
- SECURE_AUTH_KEY é usado para assinar o cookie de autorização para o administrador SSL e é usado para fazer alterações no site.
- LOGGED_IN_KEY é usado para criar um cookie para um usuário logado. Ele não pode ser usado para fazer alterações no site.
- NONCE_KEY é usado para assinar a chave nonce . Essa chave protege os nonces de serem gerados, protegendo assim seu site de ataques.
Você encontrará essas Chaves e Sais de Autenticação no arquivo wp-config.php , localizado na pasta raiz do WordPress.
Os sais do WordPress são sequências aleatórias de dados que criptografam as chaves de segurança e adicionam uma camada extra de proteção ao site e às suas credenciais.
Como você pode ver nesta imagem, cada chave de segurança tem um sal correspondente, ou seja, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT e NONCE_SALT.
Por que usar chaves e sais de segurança do WordPress?
O WordPress usa cookies para rastrear a identidade dos usuários conectados ao seu site. Esses cookies são armazenados na conta do painel do seu site, que é o lado do cliente. Para uma melhor criptografia, os detalhes de autenticação (tanto o nome de usuário quanto a senha) são criptografados usando um conjunto de valores aleatórios especificados nas chaves de segurança do WordPress.
Portanto, uma senha criptografada gerada aleatoriamente como “65a3ds2873ba27us36sd89s0fc” é extremamente difícil de quebrar em comparação com uma não criptografada. Portanto, os proprietários de sites devem usar as chaves de segurança do WordPress para proteger os cookies do site e impedir que hackers maliciosos acessem o site.
Como alterar chaves e sais do WordPRess manualmente
Você pode configurar as chaves secretas e sais manualmente ou usando um plug-in de segurança do WordPress. Se você tiver um site WordPress auto-hospedado, precisará adicionar as chaves de segurança por conta própria.
Observação: só recomendamos a edição manual de arquivos do WordPress se você for um desenvolvedor ou se sentir à vontade para trabalhar com código em um nível intermediário ou superior. Se você é um iniciante, por favor, avance para os plugins recomendados abaixo.
Primeiro, use o gerador aleatório no WordPress para obter uma chave secreta exclusiva.
Em seguida, faça login no gerenciador de arquivos do painel de controle ou via FTP. A partir daqui localize o arquivo wp-config.php para modificá-lo.
Abra o arquivo e role para baixo até a seção “Chaves e sais exclusivos de autenticação”. É aqui que você pode adicionar suas chaves secretas que você gerou anteriormente.
Depois de salvar o arquivo, você será solicitado a fazer login novamente.
Use um plug-in para atualizar chaves e sais
Como a maioria das coisas no WordPress, você não precisa fazer isso manualmente. Vários plugins do WordPress podem ser usados
Segurança iThemes
A versão atual do iThemes Security (Free v4.6+ ou iThemes Security Pro v1.14+) vem com um recurso de segurança que economiza tempo e atualiza facilmente as chaves e sais de segurança do WordPress. Ele oferece um lembrete de atualização todo mês e evita a necessidade de gerar manualmente um novo conjunto de chaves ou editar seu arquivo wp-config.php.
Para atualizar as chaves e sais, vá para a seção ‘WordPress Salts’ na ‘Guia Avançado’, clique na caixa de seleção em ‘Alterar WordPress Salts’ e, finalmente, clique no botão ‘Alterar WordPress Salts’.
O iThemes Security Pro oferece recursos adicionais, como autenticação de dois fatores, verificação de malware agendada e reCAPTCHA para detectar software malicioso e adicionar uma camada extra de segurança às suas páginas de login do WordPress.
Saleiro
Da mesma forma, Salt Shaker oferece recursos e configurações impressionantes, como chaves de segurança WP manuais e imediatas e alteração de sais para melhorar sua segurança do WordPress.
Além disso, depois de instalar o plug-in Salt Shaker, você pode definir o trabalho agendado para a troca automática de sal. Tudo o que você precisa fazer é marcar a caixa e escolher a configuração diária, semanal ou mensal.
Em ambos os casos, o plugin está programado para enviar lembretes automatizados para atualizar as chaves do WordPress. Como resultado, também força todos os usuários logados a passarem pelo processo de login novamente. Todos esses recursos ajudam a proteger um site contra ataques de força bruta e outras tentativas de hackers.
Quando se trata de proteger seu site WordPress, a prevenção é o caminho a seguir. A combinação contundente de chaves de segurança e sais do WordPress torna difícil para os hackers quebrarem as senhas do site. É assim que o WordPress oferece segurança aprimorada para sessões de usuários e dados seguros.
Para resumir, aqui estão algumas coisas a serem lembradas ao atualizar as chaves e sais de segurança do WordPress.
- Depois de iniciar seu site WordPress, altere as chaves de segurança e os sais.
- Sempre use o gerador de chaves salt do WordPress para criar chaves de segurança. Não faça você mesmo. Alternativamente, você pode automatizar o processo usando um plugin do WordPress.
- A atualização das chaves de segurança e sais do WordPress invalidará todos os cookies existentes, fazendo com que todos os usuários sejam desconectados instantaneamente. Portanto, ao alterá-los, lembre-se de que alguns usuários podem estar online.
- Se você vir algum sinal de que seu site está sendo atacado, atualize as chaves de segurança do WordPress e incentive seus usuários a alterar suas senhas.
Você tem alguma dúvida sobre sais e chaves de segurança? Ou dicas que você adicionaria? Deixe-nos saber nos comentários!