Guida definitiva ai sali di WordPress e alle chiavi di sicurezza

Guida definitiva ai sali di WordPress e alle chiavi di sicurezza

WordPress è uno dei sistemi di gestione dei contenuti più famosi e di alto profilo al mondo. Di conseguenza, WordPress è un bersaglio frequente di exploit di sicurezza, come attacchi di forza bruta, iniezione di SQL, malware, script tra siti e attacchi DDoS. In effetti, recentemente, è stato chiamato un nuovo ceppo di malware Clipsa sta lanciando attacchi di forza bruta nei siti di WordPress, rubando criptovaluta tramite il dirottamento degli appunti.


WordPress è sicuro tanto quanto l’impegno profuso per migliorare la sicurezza del tuo sito. In quanto proprietario del sito Web, è tua responsabilità rimanere vigile e attuare una strategia di sicurezza proattiva per prevenire attacchi dannosi. L’uso di password e nomi utente deboli, il mancato aggiornamento del core e dei plugin di WordPress e l’hosting di scarsa qualità sono tra gli errori di sicurezza comuni che i proprietari dei siti Web commettono, offrendo un facile accesso agli hacker malintenzionati.

WordPress è un CMS altamente sicuro a modo suo. Tuttavia, mantenere il tuo sito basato su WordPress al sicuro dai criminali informatici richiede di migliorare la postura di sicurezza e la credibilità online. Semplici passaggi come l’aggiornamento del core di WordPress, la scelta di un provider di hosting WordPress sicuro, prestando attenzione nome del dominio sicurezza e l’utilizzo di una password sicura può aiutare a bloccare bot e aggressori dannosi.

In questo post, ci concentreremo sui sali di WordPress e sulle chiavi di sicurezza e sul loro ruolo nel garantire che non si debba affrontare la ricaduta degli attacchi di malware.

Cosa sono le chiavi e i sali di sicurezza di WordPress?

Quando un utente accede al sito WordPress, sul computer vengono creati numerosi cookie. Vengono utilizzati per verificare l’identità degli utenti che hanno effettuato l’accesso. Se un hacker entra nel tuo database o trova i tuoi cookie, potrebbe essere in grado di leggere la tua password, rendendo così il tuo sito vulnerabile agli attacchi.

WordPress utilizza chiavi di sicurezza e sali per darti un output criptico memorizzato nel database o nei cookie, aggiungendo un livello di sicurezza al tuo sito Web.

Due di questi cookie sono:

  • WordPress_ [hash] utilizzato solo nella pagina di amministrazione o nella dashboard di WordPress.
  • WordPress_logged_in_ [hash] utilizzato in WordPress per determinare se si è o meno connessi a WordPress.

I dettagli di autenticazione memorizzati in questi cookie da WordPress sono sottoposti a hash (valori criptici assegnati) utilizzando i modelli casuali specificati nelle chiavi di sicurezza di WordPress.

Chiave di sicurezza di WordPress

Chiave di sicurezza di WordPress è una password contenente un insieme casuale, lungo e complicato di variabili che migliora la crittografia, rendendo quasi impossibile decifrare la password. L’ultima versione di WordPress utilizza quattro chiavi di sicurezza, ognuna con un sale corrispondente che può aumentare la sicurezza del tuo sito Web basato su WordPress.

Questi sono:

  1. CHIAVE D’AUTENTICAZIONE può essere utilizzato per apportare modifiche al sito. Ti aiuta a firmare il cookie di autorizzazione per il non SSL.
  2. SECURE_AUTH_KEY viene utilizzato per firmare il cookie di autorizzazione per l’amministratore SSL e viene utilizzato per apportare modifiche al sito Web.
  3. LOGGED_IN_KEY viene utilizzato per creare un cookie per un utente che ha effettuato l’accesso. Non può essere utilizzato per apportare modifiche al sito.
  4. NONCE_KEY è usato per firmare il chiave nonce. Questa chiave protegge le nonci dalla generazione, proteggendo così il tuo sito dagli attacchi.

Troverai queste chiavi e sali di autenticazione nella file wp-config.php, situato nella cartella principale di WordPress.

Sali di WordPress sono stringhe casuali di dati che includono le chiavi di sicurezza e aggiungono un ulteriore livello di protezione al sito e alle tue credenziali.

Sali di WordPress

Come puoi vedere in questa immagine, ogni chiave di sicurezza ha un salt corrispondente, vale a dire AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT e NONCE_SALT.

Perché usare i tasti di sicurezza e i sali di WordPress?

WordPress utilizza i cookie per tracciare l’identità degli utenti che hanno effettuato l’accesso al tuo sito Web. Questi cookie sono memorizzati sull’account del dashboard del tuo sito, ovvero sul lato client. Per una migliore crittografia, i dettagli di autenticazione (sia il nome utente che la password) vengono sottoposti a hash utilizzando un set di valori casuali specificati nelle chiavi di sicurezza di WordPress.

Pertanto, una password crittografata generata casualmente come “65a3ds2873ba27us36sd89s0fc” è estremamente difficile da decifrare rispetto a una non crittografata. Pertanto, i proprietari di siti Web dovrebbero utilizzare le chiavi di sicurezza di WordPress per proteggere i cookie del proprio sito e impedire agli hacker malintenzionati di accedere al sito.

Come modificare manualmente chiavi e sali di WordPRess

Puoi configurare le chiavi segrete e i sali manualmente o usando un plugin di sicurezza di WordPress. Se disponi di un sito WordPress ospitato autonomamente, dovrai aggiungere tu stesso le chiavi di sicurezza.

Nota: consigliamo di modificare manualmente i file di WordPress solo se sei uno sviluppatore o hai dimestichezza con il codice a un livello intermedio o superiore. Se sei un principiante, passa ai plug-in consigliati di seguito.

Innanzitutto, utilizza il generatore casuale su WordPress per ottenere una chiave segreta univoca.

Genera chiavi

Successivamente, accedi al file manager del pannello di controllo o tramite FTP. Da qui individuare il file wp-config.php per modificarlo.

Individua il file di configurazione WP

Apri il file e scorri verso il basso fino alla sezione “Chiavi e sali unici di autenticazione”. Qui puoi aggiungere le tue chiavi segrete che hai generato in precedenza.

Chiavi e sali unici di autenticazione

Dopo aver salvato il file, ti verrà richiesto di accedere nuovamente.

Usa un plugin per aggiornare chiavi e sali

Come la maggior parte delle cose in WordPress, non è necessario farlo manualmente. Diversi plugin di WordPress possono essere utilizzati per automatizzare il processo per tuo conto. Sono un modo rapido e semplice per modificare i tasti e i sali di WordPress. Eccone due che consigliamo.

Sicurezza iThemes

iThemes Security per BuddyPress Freemium WordPress Plugin

Informazioni e download

La versione attuale di iThemes Security (Free v4.6 + o iThemes Security Pro v1.14 +) è dotata di una funzione di sicurezza che consente di risparmiare tempo che aggiorna facilmente le chiavi e i sali di sicurezza di WordPress. Offre un promemoria di aggiornamento ogni mese e indica la necessità di generare manualmente un nuovo set di chiavi o modificare il file wp-config.php.

Per aggiornare i tasti e i sali, vai alla sezione “Sali di WordPress” nella “Scheda Avanzate”, fai clic sulla casella di controllo “Cambia sali di WordPress” e infine fai clic sul pulsante “Modifica sali di WordPress”.

Sali WordPress di iThemes

IThemes Security Pro offre funzionalità aggiuntive come l’autenticazione a due fattori, la scansione malware programmata e reCAPTCHA per rilevare software dannoso e aggiungere un ulteriore livello di sicurezza alle pagine di accesso di WordPress.

Saliera

Plugin Salt Shaker

Allo stesso modo, Salt Shaker offre funzionalità e impostazioni impressionanti come chiavi di sicurezza WP manuali e immediate e modifica dei sali per migliorare la sicurezza di WordPress.

Tasti e sali di WordPress di Shaker di sale

Inoltre, dopo aver installato il plug-in Salt Shaker, è possibile impostare il lavoro pianificato per il cambio automatico del sale. Tutto quello che devi fare è selezionare la casella e scegliere l’impostazione giornaliera, settimanale o mensile.

In entrambi i casi, il plug-in è programmato per inviare promemoria automatici per l’aggiornamento dei tasti di WordPress. Di conseguenza, forza anche tutti gli utenti che hanno effettuato l’accesso a ripetere il processo di accesso. Tutte queste funzionalità aiutano a proteggere un sito Web da attacchi di forza bruta e altri tentativi di hacking.


Quando si tratta di proteggere il tuo sito WordPress, la prevenzione è la strada da percorrere. La combinazione accattivante di chiavi di sicurezza e sali di WordPress rende difficile per gli hacker decifrare le password dei siti Web. Questo è il modo in cui WordPress offre una maggiore sicurezza per le sessioni utente e protegge i dati.

Per riassumere, ecco alcune cose da tenere a mente quando si aggiornano le chiavi di sicurezza e i sali di WordPress.

  • Dopo aver avviato il tuo sito WordPress, modifica le chiavi di sicurezza e i sali.
  • Utilizzare sempre il generatore di chiavi salate di WordPress per creare chiavi di sicurezza. Non farlo da soli. In alternativa, è possibile o automatizzare il processo utilizzando un plug-in WordPress.
  • L’aggiornamento delle chiavi e dei sali di sicurezza di WordPress invaliderà tutti i cookie esistenti, causando la disconnessione immediata di tutti gli utenti. Quindi, quando li cambi, tieni presente che alcuni utenti potrebbero essere online.
  • Se vedi segni di attacco del tuo sito, aggiorna le chiavi di sicurezza di WordPress e incoraggia i tuoi utenti a cambiare la loro password.

Hai domande su sali e chiavi di sicurezza? O consigli che vorresti aggiungere? Fateci sapere nei commenti!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map