Entre la gran variedad de plataformas y gestores de contenido que podemos utilizar para crear nuestro sitio web, todos a su manera suelen aplicar técnicas innovadoras para aumentar la seguridad e integridad de sus usuarios, entre estas técnicas podemos encontrar los salts de WordPress.
A continuación vamos a definir de forma concreta que son los salts en WordPress, como podemos ubicarlos y de ser necesario como podemos modificarlos.
Tabla de contenidos
¿Qué son los salts de WordPress?
Los salts de WordPress, son una serie de cadenas aleatorias que se definen para mejorar la seguridad de las contraseñas almacenadas en la base de datos de WordPress. Estos “salts” básicamente son en esencia claves secretas que se agregan a las contraseñas antes de ser cifradas y almacenadas en la base de datos.
Cada vez que se crea un nuevo sitio web en WordPress, se generan automáticamente cuatro “salts” únicos. Estos “salts” son cadenas de caracteres aleatorios que son usados para agregar una capa adicional de seguridad a las contraseñas de los usuarios.
Cuando un usuario crea una nueva cuenta o cambia su contraseña en WordPress, su contraseña se combina con los “salts” únicos de la instalación, luego se convierten en datos aleatorios mediante un algoritmo de cifrado seguro antes de ser almacenada en la base de datos.
Esto hace que sea mucho más difícil para los usuarios malintencionados descifrar las contraseñas de los usuarios, ya que no solo basta con simplemente decodificar el hash de la contraseña almacenada en la base de datos sin conocer los “salts” utilizados para cifrarla.
En definitiva, los salts de WordPress son una herramienta de gran importancia, la cual potencia la seguridad de las contraseñas de los usuarios, además de proteger la información almacenada en la instalación de WordPress.
¿Dónde están los salts de WordPress?
Como ya sabemos, los salts de WordPress son una serie de claves aleatorias que se utilizan para mejorar la seguridad de las contraseñas almacenadas en la base de datos de WordPress. Estos “salts” son generados de forma automática durante la instalación de WordPress y se almacenan directamente en el archivo wp-config.php.
Seguramente lo conoces, pero el archivo wp-config.php es un archivo de configuración indispensable que se encuentra en la raíz de la instalación de WordPress. Contiene información crítica de configuración, como los campos de conexión de la base de datos, la posibilidad de activar el modo depuración y obviamente los salts de WordPress.
Para encontrar los salts de WordPress, simplemente debemos ubicar el archivo wp-config.php en nuestro servidor, abrirlo y hallar un bloque de código similar al siguiente
define('AUTH_KEY', 'x~y5m-EaQ,wY9qs )H}#-kw;uzy3--moN4~m)mFsp#RmHo2W,a$9%.P{I[?-fIk0');
define('SECURE_AUTH_KEY', 'Ct?rZ%;#+{^jfIpUz}bbEi#;5P#VTrdL>%W3oCfsOXT^d{CE|=wFc#+{+e|l#[NAbq6GZ^O_dR0aoo%t|,o~S&U+JV+D0k?[Y}.P.j@3iH');
define('LOGGED_IN_SALT', 'Z 1 1@E(s|ypdo2S4K&Q0%||Kf%A?~vXt; >&{bI{rR?|OyCuhT{QAzPyc6:0.e=');
define('NONCE_SALT', '(!#VjrYCvz5f/)GU?C-V;){N_-?L-f-u,Tc7y8Lzv^;cSMwx6Mw-ptA_IQE@1P7*');
Cada línea de código correspondiente a los “salts” contendrá una cadena de caracteres aleatorios. Si requerimos regenerar los salts de WordPress, podemos utilizar un servicio de generación de “salts” en línea para generar nuevas claves aleatorias y reemplazar las claves existentes en el archivo wp-config.php.
Esta acción de como cambiar los salts de WordPress por medio de este método la revisaremos más adelante.
¿Cuándo cambiar los salts de WordPress?
No hay un intervalo de tiempo preciso, sin embargo, sí que podemos sugerir hacer el cambio de los salts de WordPress en los siguientes casos:
Después de instalar WordPress: podemos considerar el cambiar los salts de WordPress después de una instalación reciente, Esto para garantizar que la instalación esté completamente segura desde un inicio.
Si se sospecha que la seguridad de la instalación ha sido comprometida: si tenemos algún indicio de que la seguridad de la instalación de WordPress ha sido comprometida, es necesario cambiar inmediatamente los salts de WordPress.
A la par también es recomendable el cambiar todas las contraseñas y claves de seguridad de los usuarios del sitio web.
Salts expuestos públicamente: si los salts de WordPress han sido expuestos públicamente, ya sea por un error en la configuración o por una vulnerabilidad en un plugin o tema.
Es necesario cambiarlos de forma inmediata para evitar que los atacantes se aprovechen de esta brecha de seguridad y accedan a la información del sitio.
En aspectos generales, es recomendable cambiar los “salts” periódicamente como medida de precaución para mantener la seguridad en WordPress.
¿Cómo cambiar los salts en WordPress?
El cambiar los salts en WordPress es más sencillo de lo que parece y tal como hemos mencionado anteriormente, solo basta con modificarlos desde el archivo wp-confog.php, sin embargo, vamos a ver a detalle como realizar este ajuste.
Cambiar los salts en WordPress manualmente
Primero que nada vamos a utilizar un generador de salts de WordPress en línea para generar nuevas claves aleatorias. Hay muchos generadores de “salts” disponibles a lo largo de internet, pero en este caso vamos a optar por usar el generador oficial de WordPress
(Visita el sitio haciendo clic en la imagen ↑)
Tomamos las claves generados y nos vamos directo a nuestro servidor web para ubicar el directorio raíz que contiene la instalación de WordPress, allí encontraremos el archivo wp-config.php el cual vamos a editar ya sea con un editor de texto o desde el propio editor del administrador de archivos.
Una vez cambiados los “salts” y guardados los cambios en el archivo debería de bastar, simple y efectivo.
Cambiar los salts en WordPress con plugin
Si no deseamos complicarnos en generar claves y mucho menos en editar archivos que son indispensables para el correcto funcionamiento de nuestro sitio, vamos a utilizar el siguiente plugin de WordPress.
(Visita el plugin haciendo clic en la imagen ↑)
Salt Shaker es un plugin de seguridad que nos permite modificar los salts de WordPress de forma muy sencilla. Es un plugin gratuito y fácil de usar que se puede encontrar en el repositorio oficial de WordPress.
Este plugin es una opción a considerar si no te sientes cómodo editando manualmente el archivo wp-config.php para cambiar los “salts”. El plugin generará nuevos “salts” aleatorios y los actualizará automáticamente en el archivo wp-config.php.
Además de cambiar los “salts” de WordPress, Salt Shaker también ofrece otras funciones de seguridad, como la eliminación de metadatos de imágenes y la eliminación de información de versión de WordPress del código fuente.
Veamos como funciona el plugin. Una vez instalado vamos a tener una nueva opción llamada “Salt Shaker” desde el apartado de “Herramientas” en el menu lateral en el panel de administración de WordPress.
Desde dicha opción podremos ver las opciones del plugin donde en primera instancia nos muestra los salts de WordPress actuales.
Y lo más importante tenemos la opción de activar el cambio programado de los “salts” además de un selector para escoger la frecuencia de cada cuanto tiempo tomara el cambio de las claves de forma automática.
También tenemos la posibilidad de ejecutar el cambio de los “salts” al momento solo con hacer clic en el botón de “Cambio Inmediato”.
Conclusión
La importancia de los “salts” se define en que si alguien obtiene acceso a la base de datos del sitio en WordPress, puede ver las contraseñas de los usuarios, entre otros datos sensibles. Sin embargo, si se utilizan “salts” únicos, es mucho más difícil para los atacantes utilizar la información obtenida para vulnerar y comprometer el sitio web.
Tal como hemos mencionado, el cambiar regularmente los salts de WordPress es una práctica de seguridad recomendada. Si se sospecha que las claves han sido comprometidas, por ejemplo, después de un ataque de seguridad, cambiarlas de inmediato puede proteger el sitio web contra futuros ataques.
Sin duda, los “salts” de WordPress son un componente crucial que potencia la seguridad, es por ello que deben ser reforzados y actualizados regularmente para garantizar que el sitio web esté protegido contra posibles amenazas de seguridad.
También te puede interesar:
- Cómo proteger el acceso WP-Admin de WordPress
- Mejores plugins de seguridad en WordPress
- Cómo proteger el acceso WP-Admin de WordPress
- WPCerber un plugin de seguridad para WordPress
- Cómo cambiar contraseña en WordPress
- Cómo solucionar el Error “Lo Siento, Este Tipo de Archivo No Está Permitido por Razones de Seguridad” en WordPress
¿Te ha resultado útil este artículo?
Equipo de soporte WordPress y Woocommerce en Webempresa.
