Security Keys

Cuando entras en tu panel de usuario de WordPress, o dejas un comentario, habitualmente se guardan ciertos datos en las cookies. Si los datos no estuvieran encriptados podría aparecer algo como tu cuenta de correo o tu nombre de usuario, siendo algo que permitiría fácilmente detectar quién eres.

Desde la versión 2.6.0 de WordPress, existen unos pequeños algoritmos para encriptar esos datos y que sea más complejo saber quién eres o cómo acceder a tu usuario. Para ello has de configurar los siguientes elementos en tu fichero de configuración [wp-config.php]. Puedes crear tus propias claves, aunque lo mejor es que utilices una herramienta que genera códigos aleatorios y complejos desde la dirección del Secret Key de WordPress. Esto hará que te aparezcan unos códigos similares a estos:

define('AUTH_KEY',         'H(e|_(4$+FIs2;7%F181${EZG`)r7i)/QM0_hqdG^w>oA]cLS##P[LT?Q+[OQ>5b');
define('SECURE_AUTH_KEY',  'VCT8<=l3Kk`F+[Re9<=DWQELT-E_TmSoZr|1hBk<+M7l::HqISK(|N3BWp}Xcj!:');
define('LOGGED_IN_KEY',    '-#/TGnhzT]t*T%wc )y-@l4r]%Aw&Sl l*,|im%7y^`UQu+qOp-[-_c!gbeK->B#');
define('NONCE_KEY',        '-KOAqd;N PK=PN(y@eFfC6xC8uhp|4xTbL7}q!xz[j+`-~Hv+7v*8=Z/bkNren~&');
define('AUTH_SALT',        '%XSIsn|.<b#O:|2mpsu?hL]YH=;,0u`n U)w$|`]|X~2Bhg`jaiO+W;*?FJ*sYF)');
define('SECURE_AUTH_SALT', 'QSsi_M+uO=1m+;Le+qC%<,&wKGStAWs=-m@uwmxz+3mr[J-{2YuF/cx]1j rs,1S');
define('LOGGED_IN_SALT',   '~.YkVZ |+?ii6tSg.T|1oz/Pgt. )LgiE3Bq2=>:iA]r&-8:Ik=(@(1)V|YkA(M%');
define('NONCE_SALT',       'XgU.{]_?W)B#+$gREcqFprR=4z]` OQ9IN>6i#~f*fIMA=Y*#sEKWGL}/q|R0|~B');

Recuerda ejecutar la herramienta para obtener tus propios códigos aleatoriamente.

Cambio y actualización

Aunque en principio no debería ser necesario el cambio de las Security Keys, si quieres forzar que los usuarios tengan que acceder y cambiar sus cookies con cierta frecuencia, puedes provocar este proceso. Una forma sencilla es entrar en tu wp-config.php y actualizar esas líneas. Así de simple; la otra opción es automatizar este cambio, aunque para ello requerirás de la instalación de un plugin y dar acceso al sistema para poder modificar el fichero de configuración.

El plugin en cuestión es Salt Shaker y básicamente hace eso, cambiar con la frecuencia que le indiques los códigos de seguridad.

Este plugin además dispone de una versión para ejecutar en CLI directamente sin necesidad de instalar ningún plugin, aunque hará el cambio en todos los ficheros wp-config.php que encuentre en el servidor, por lo que si vas a utilizar esto has de saber muy bien qué es lo que estás haciendo.

sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucli

Una vez lo tengas instalado, sólo deberás ir a la carpeta raíz del sistema y hacer la llamada:

cd /
wpsucli

Deja un comentario