Claves únicas de autentificación… o cómo evitar que accedan a tu blog si olvidaste cerrar sesión

¿Nunca has olvidado cerrar sesión al estar trasteando tu blog?

Y menuda sorpresa cuando vuelves a acceder y no necesitas entrar tu usuario y contraseña. O sea que cualquiera podría acceder a tu blog si olvidas cerrar sesión.

En casa quizá no sea un problema, pero si trabajas desde un ordenador compartido imagina el destrozo que pueden hacerte…

La culpa de todo esto la tienen las dichosas cookies que almacenan en tu ordenador la información de sesión.

Y te has currado aumentar la seguridad de tu WordPress, pero te das cuenta que hay algo más que instalar un plugin de seguridad y tener una contraseña fuerte.

No terminas de dormir a gusto pensando que alguien puede estropear lo que tanto trabajo te costo crear.

Y es que no hay que olvidar que un blog puede ser tu activo más valioso.

Y no te falta la razón.

Hay más métodos para mejorar nuestra seguridad.

Si alguna vez has trasteado en el fichero wp-config.php (el que contiene la configuración más básica de WordPress y las directivas para que funcione) habrás visto un apartado que pone:

/**#@+
* Claves únicas de autentificación.
*
* Define cada clave secreta con una frase aleatoria distinta.
* Puedes generarlas usando el {@link https://api.wordpress.org/secret-key/1.1/salt/ servicio de claves secretas de WordPress}
* Puedes cambiar las claves en cualquier momento para invalidar todas las cookies existentes. Esto forzará a todos los usuarios a volver a hacer login.
*
* @since 2.6.0
*/

Te cuento qué son, y porque es importante usarlas.

¿Que son las claves únicas de autentificación? Clase de historia.

Desde la versión de WordPress 2.6, se introdujeron unas claves de seguridad para mejorar la encriptación de la información almacenada en las cookies de usuario.

Estas claves son:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY
  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Realmente son cuatro claves con sus correspondientes «Salt», las cuales son funciones para ocultar una contraseña o frase de paso.

Pero no te quiero liar.

¿Por que son tan importantes?

WordPress no usa la función PHP sessions para mantener la información de si hemos iniciado sesión o no.

Lo hace usando cookies.

Esto significa que esta información esta almacenada en el lado cliente, en tu ordenador.

Y antes se podía usar esta información para robarte la sesión sin tan siquiera saber tu contraseña.

Usando unas claves únicas de autentificación eso ya es imposible.

Además estas se almacenan en la cookie y en la base de datos, por lo que hay que obtener acceso a ambos.

Aunque si alguien llego hasta tu base de datos… ¡mal vamos!

Beneficios de WordPress «Salt»

Una clave secreta hace tu sitio más difícil de hackear y mas difícil de romper su seguridad añadiendo elementos aleatorios a la contraseña.

Una clave aleatoria del tipo «9V4QU4wCY-jG!QqAUugR<hl» tomaría años en ser encontrada la combinación adecuada.

Y para un «bot» atacante la contraseña que pusiste fácil de recordar para ti se convierte en eso si usas claves de autentificación.

En definitiva acabas de eliminar de otra forma los ataques de fuerza bruta.

Te lo aseguro.

Pero no te quiero aburrir con detalles técnicos.

Tu lo que quieres saber es como aumentar la seguridad de WordPress.

¿Qué pasos dar para generar y configurar mis claves únicas de autentificación?

Necesitas acceder a tu fichero wp-config.php, bien por FTP o por un gestor de ficheros de tu hosting, para modificarlo.

Si aún no has instalado WordPress, cuando modifiques el fichero wp-config-sample.php, aprovecha para incluirlas.

Una vez tenemos abierto el fichero, buscamos unas lineas como estas si tienes un WordPress español:

define('AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.

 

Ahora accede a la dirección de la API de WordPress para generar las claves únicas de autentificación: https://api.wordpress.org/secret-key/1.1/salt/

Y te saldrá un texto como este:

define('AUTH_KEY', '`|Tm,[b6ok8+v45 +13t9Hd.gau?p&5:4~.#b<A%!M UUC{ci0d#PhN kYa(dK<_');
define('SECURE_AUTH_KEY', ')7|@)b/EIxn6v>dHi4E%*<t&J#J3ox?5=+~xPto2ry-W-R@UBs]pXBR2xK*XfyJs');
define('LOGGED_IN_KEY', '!`![;&db]>_BdRQk[Ds[[+6Dj:zuDc~1h!/`@wwrhKXx`!_pgEXeciA+puG-Ihpy');
define('NONCE_KEY', '<#m&F?e`<P}IYO N%YE)TJ+lXP[A!x+@I3FR09i6x/sMU?|OsiqU!4{VXK0qCTHR');
define('AUTH_SALT', 'st4>LIg~3/T`5r<}UrJ]rvg)VHyy|@<A})`x4d,S`9V4QU4wCY-jG!QqAUugR<hl');
define('SECURE_AUTH_SALT', 'Jr+Hzr:qGgiJ&uxmH^BqMNR>_7-_1cv~)DHQ>yo|I6s<)0h,1-#Ae&.4Qs}9&[V}');
define('LOGGED_IN_SALT', '=lJ`|~q9p|bLk]yq.E66Vhbig%a k(2;&3j};D RoCtWtE(;ves,6qjJ9DXZT7jb');
define('NONCE_SALT', 'zS+Np b<l/c$5aD7up$#3E_2h#mNwZMTe1@0^bJm_mg1HfeFpQ@ANz+-QE-%J2iL');
Por supuesto ni se te ocurra usar las claves que te puse de ejemplo.

Copia las que se te han generado nuevas en la Web, y las pegas sobrescribiendo las que tuvieras en tu wp-config.php

Puedes volver a generar estas claves y modificarlas cuantas veces quieras. Es recomendable hacerlo cada cierto tiempo.

Guarda el fichero wp-config.php y vuelve a ponerlo en su sitio si lo descargaste con FTP, sobreescribiendo el anterior.

¿Te avise que hicieras copias de seguridad antes de tocar nada? ups…. :-S

Con esto tus contraseñas serán más robustas, y las cookies de sesión estarán encriptadas.

Por supuesto nunca hagas públicas las claves de autentificación que estés usando en ese momento.

¿Te sientes un pelin más seguro?

¡Me alegro!

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba