Última revisión: 2 de octubre de 2021
Cuando entras en tu panel de usuario de WordPress, o dejas un comentario, habitualmente se guardan ciertos datos en las cookies. Si los datos no estuvieran encriptados podría aparecer algo como tu cuenta de correo o tu nombre de usuario, siendo algo que permitiría fácilmente detectar quién eres.
Desde la versión 2.6.0 de WordPress, existen unos pequeños algoritmos para encriptar esos datos y que sea más complejo saber quién eres o cómo acceder a tu usuario. Para ello has de configurar los siguientes elementos en tu fichero de configuración [wp-config.php]. Puedes crear tus propias claves, aunque lo mejor es que utilices una herramienta que genera códigos aleatorios y complejos desde la dirección del Secret Key de WordPress. Esto hará que te aparezcan unos códigos similares a estos:
define('AUTH_KEY', 'v4QcpUh8S4uBjW7CCHLaMwQYUxsaJE4d8bDS');
define('SECURE_AUTH_KEY', 'a2vgj6zKCcbveWuGacVLhS4X7XWqP9Gy5sWq');
define('LOGGED_IN_KEY', 'ECkrCQaDyke6uvhHJ3SunY2a38t363eWYbBH');
define('NONCE_KEY', 'bDK6Lz4KVeTVAnhctZZP5aNCgjEz8auA6nKc');
define('AUTH_SALT', 'LG6xqeQve7MWZHEZaDSdNRkJ8KmVSGGhHgga');
define('SECURE_AUTH_SALT', 'jrhya2UmbNtAY4BTNukXEJ2e9VgMX499FMgA');
define('LOGGED_IN_SALT', 'Mp14>0/]G@31||{yPjt}$!lbd:Vz9Dec:FRY8uYD1Eg6.hDW2+P+l{[|V1@Yii<)2d1Z');Cambio y actualización
Aunque en principio no debería ser necesario el cambio de las Security Keys, si quieres forzar que los usuarios tengan que acceder y cambiar sus cookies con cierta frecuencia, puedes provocar este proceso. Una forma sencilla es entrar en tu wp-config.php y actualizar esas líneas. Así de simple; la otra opción es automatizar este cambio, aunque para ello requerirás de la instalación de un plugin y dar acceso al sistema para poder modificar el fichero de configuración.
El plugin en cuestión es Salt Shaker y básicamente hace eso, cambiar con la frecuencia que le indiques los códigos de seguridad.
Este plugin además dispone de una versión para ejecutar en CLI directamente sin necesidad de instalar ningún plugin, aunque hará el cambio en todos los ficheros wp-config.php que encuentre en el servidor, por lo que si vas a utilizar esto has de saber muy bien qué es lo que estás haciendo.
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucliUna vez lo tengas instalado, sólo deberás ir a la carpeta raíz del sistema y hacer la llamada:
cd /
wpsucliSeguir con Seguridad para WordPress
Actual
- wp-config.php
- Security Keys
- Cookies
- Cabeceras inconvenientes
- Unificar CSS y JavaScript
- Ocultar la versión de WordPress
- Caché
- Carpetas por defecto
- Post instalación
- Edición de ficheros
- URL del sitio
- Servidores externos
- XML-RPC
- Acceso a wp-admin
- Actualizaciones automáticas
- Usuarios
- Limpieza de multimedia
- robots.txt
- Plantilla por defecto
- Emoji
- Subir ficheros sin filtro
Sobre este documento
Este documento está regulado por la licencia EUPL v1.2, publicado en WP SysAdmin y creado por Javier Casares. Por favor, si utilizas este contenido en tu sitio web, tu presentación o cualquier material que distribuyas, recuerda hacer una mención a este sitio o a su autor, y teniendo que poner el material que crees bajo licencia EUPL.