Las Security Keys de WordPress

Última revisión: 24 de noviembre de 2020

Cuando entras en tu panel de usuario de WordPress, o dejas un comentario, habitualmente se guardan ciertos datos en las cookies. Si los datos no estuvieran encriptados podría aparecer algo como tu cuenta de correo o tu nombre de usuario, siendo algo que permitiría fácilmente detectar quién eres.

Desde la versión 2.6.0 de WordPress, existen unos pequeños algoritmos para encriptar esos datos y que sea más complejo saber quién eres o cómo acceder a tu usuario. Para ello has de configurar los siguientes elementos en tu fichero de configuración [wp-config.php]. Puedes crear tus propias claves, aunque lo mejor es que utilices una herramienta que genera códigos aleatorios y complejos desde la dirección del Secret Key de WordPress. Esto hará que te aparezcan unos códigos similares a estos:

define('AUTH_KEY', 'm@$:QOO/r;nw5-Wu/@XfK;RM(|u%Lkvh!9#$$D$kj&X)OM_R|A~B]EhJB7LP.i');
define('SECURE_AUTH_KEY', 'BQ$GH?FRq280;&GR+!-m);K8xz,=sDyQ~XKo8kw$K^Iy[z>z,X!^ECcFZR&+kt4');
define('LOGGED_IN_KEY', '34+85k8<]xeyp1X~e>#;Z9o<_t!3&0RS++NdfN;[u|B-Z70g0m=d>C6wipg/=gVk');
define('NONCE_KEY', '>V^-& 9E3qZ~,+iWjomZyOXvgL>)Grk?^]}wr5e5V.PzL]* 8zE44}@VNL,NRpv)');
define('AUTH_SALT', 'l-1Oj:@]=20c:V37wnDOk[$x=8,rK:pE6tD~yMB!K~0=W;XIF&Q^F rpy:wTj|{}');
define('SECURE_AUTH_SALT', '=-fft?v+!oF)A^gA:9|>ECi5+XN>?-(vg,I5%_Jo9xc7]?!ab>+Cd');
define('LOGGED_IN_SALT', 'Mp14>0/]G@31||{yPjt}$!lbd:Vz9Dec:FRY8uYD1Eg6.hDW2+P+l{[|V1@Yii<)2d1Z');

Cambio y actualización

Aunque en principio no debería ser necesario el cambio de las Security Keys, si quieres forzar que los usuarios tengan que acceder y cambiar sus cookies con cierta frecuencia, puedes provocar este proceso. Una forma sencilla es entrar en tu wp-config.php y actualizar esas líneas. Así de simple; la otra opción es automatizar este cambio, aunque para ello requerirás de la instalación de un plugin y dar acceso al sistema para poder modificar el fichero de configuración.

El plugin en cuestión es Salt Shaker y básicamente hace eso, cambiar con la frecuencia que le indiques los códigos de seguridad.

Este plugin además dispone de una versión para ejecutar en CLI directamente sin necesidad de instalar ningún plugin, aunque hará el cambio en todos los ficheros wp-config.php que encuentre en el servidor, por lo que si vas a utilizar esto has de saber muy bien qué es lo que estás haciendo.

sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucli

Una vez lo tengas instalado, sólo deberás ir a la carpeta raíz del sistema y hacer la llamada:

cd /
wpsucli

Seguir con Seguridad para WordPress


Sobre este documento

Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.

Servicios de Administración de Sistemas WordPress

¿Tienes un sitio web con WordPress de alto tráfico? ¿Eres una Agencia con servidores con cPanel, Plesk u otro panel en los que mantienes WordPress para tus clientes?

Si es así y te interesa un servicio profesional de mantenimiento de infraestructura WordPress y de mejora del rendimiento de tus sitios web o los de tus clientes, contacta conmigo.