claves únicas de autentificación

Claves únicas de autentificación… o cómo evitar que accedan a tu blog si olvidaste cerrar sesión

¿Nunca has olvidado cerrar sesión al estar trasteando tu blog?

Y menuda sorpresa cuando vuelves a acceder y no necesitas entrar tu usuario y contraseña. O sea que cualquiera podría acceder a tu blog si olvidas cerrar sesión.

En casa quizá no sea un problema, pero si trabajas desde un ordenador compartido imagina el destrozo que pueden hacerte…

La culpa de todo esto la tienen las dichosas cookies que almacenan en tu ordenador la información de sesión.

Y te has currado aumentar la seguridad de tu WordPress, pero te das cuenta que hay algo más que instalar un plugin de seguridad y tener una contraseña fuerte.

No terminas de dormir a gusto pensando que alguien puede estropear lo que tanto trabajo te costo crear.

Y es que no hay que olvidar que un blog puede ser tu activo más valioso.

Y no te falta la razón.

Hay más métodos para mejorar nuestra seguridad.

Si alguna vez has trasteado en el fichero wp-config.php (el que contiene la configuración más básica de WordPress y las directivas para que funcione) habrás visto un apartado que pone:

/**#@+
* Claves únicas de autentificación.
*
* Define cada clave secreta con una frase aleatoria distinta.
* Puedes generarlas usando el {@link https://api.wordpress.org/secret-key/1.1/salt/ servicio de claves secretas de WordPress}
* Puedes cambiar las claves en cualquier momento para invalidar todas las cookies existentes. Esto forzará a todos los usuarios a volver a hacer login.
*
* @since 2.6.0
*/

Te cuento qué son, y porque es importante usarlas.

¿Que son las claves únicas de autentificación? Clase de historia.

Desde la versión de WordPress 2.6, se introdujeron unas claves de seguridad para mejorar la encriptación de la información almacenada en las cookies de usuario.

Estas claves son:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY
  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Realmente son cuatro claves con sus correspondientes «Salt», las cuales son funciones para ocultar una contraseña o frase de paso.

Pero no te quiero liar.

¿Por que son tan importantes?

WordPress no usa la función PHP sessions para mantener la información de si hemos iniciado sesión o no.

Lo hace usando cookies.

Esto significa que esta información esta almacenada en el lado cliente, en tu ordenador.

Y antes se podía usar esta información para robarte la sesión sin tan siquiera saber tu contraseña.

Usando unas claves únicas de autentificación eso ya es imposible.

Además estas se almacenan en la cookie y en la base de datos, por lo que hay que obtener acceso a ambos.

Aunque si alguien llego hasta tu base de datos… ¡mal vamos!

Beneficios de WordPress «Salt»

Una clave secreta hace tu sitio más difícil de hackear y mas difícil de romper su seguridad añadiendo elementos aleatorios a la contraseña.

Una clave aleatoria del tipo «9V4QU4wCY-jG!QqAUugR<hl» tomaría años en ser encontrada la combinación adecuada.

Y para un «bot» atacante la contraseña que pusiste fácil de recordar para ti se convierte en eso si usas claves de autentificación.

En definitiva acabas de eliminar de otra forma los ataques de fuerza bruta.

Te lo aseguro.

Pero no te quiero aburrir con detalles técnicos.

Tu lo que quieres saber es como aumentar la seguridad de WordPress.

¿Qué pasos dar para generar y configurar mis claves únicas de autentificación?

Necesitas acceder a tu fichero wp-config.php, bien por FTP o por un gestor de ficheros de tu hosting, para modificarlo.

Si aún no has instalado WordPress, cuando modifiques el fichero wp-config-sample.php, aprovecha para incluirlas.

Una vez tenemos abierto el fichero, buscamos unas lineas como estas si tienes un WordPress español:

define('AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.

 

Ahora accede a la dirección de la API de WordPress para generar las claves únicas de autentificación: https://api.wordpress.org/secret-key/1.1/salt/

Y te saldrá un texto como este:

define('AUTH_KEY', '`|Tm,[b6ok8+v45 +13t9Hd.gau?p&5:4~.#b<A%!M UUC{ci0d#PhN kYa(dK<_');
define('SECURE_AUTH_KEY', ')7|@)b/EIxn6v>dHi4E%*<t&J#J3ox?5=+~xPto2ry-W-R@UBs]pXBR2xK*XfyJs');
define('LOGGED_IN_KEY', '!`![;&db]>_BdRQk[Ds[[+6Dj:zuDc~1h!/`@wwrhKXx`!_pgEXeciA+puG-Ihpy');
define('NONCE_KEY', '<#m&F?e`<P}IYO N%YE)TJ+lXP[A!x+@I3FR09i6x/sMU?|OsiqU!4{VXK0qCTHR');
define('AUTH_SALT', 'st4>LIg~3/T`5r<}UrJ]rvg)VHyy|@<A})`x4d,S`9V4QU4wCY-jG!QqAUugR<hl');
define('SECURE_AUTH_SALT', 'Jr+Hzr:qGgiJ&uxmH^BqMNR>_7-_1cv~)DHQ>yo|I6s<)0h,1-#Ae&.4Qs}9&[V}');
define('LOGGED_IN_SALT', '=lJ`|~q9p|bLk]yq.E66Vhbig%a k(2;&3j};D RoCtWtE(;ves,6qjJ9DXZT7jb');
define('NONCE_SALT', 'zS+Np b<l/c$5aD7up$#3E_2h#mNwZMTe1@0^bJm_mg1HfeFpQ@ANz+-QE-%J2iL');
Por supuesto ni se te ocurra usar las claves que te puse de ejemplo.

Copia las que se te han generado nuevas en la Web, y las pegas sobrescribiendo las que tuvieras en tu wp-config.php

Puedes volver a generar estas claves y modificarlas cuantas veces quieras. Es recomendable hacerlo cada cierto tiempo.

Guarda el fichero wp-config.php y vuelve a ponerlo en su sitio si lo descargaste con FTP, sobreescribiendo el anterior.

¿Te avise que hicieras copias de seguridad antes de tocar nada? ups…. :-S

Con esto tus contraseñas serán más robustas, y las cookies de sesión estarán encriptadas.

Por supuesto nunca hagas públicas las claves de autentificación que estés usando en ese momento.

¿Te sientes un pelin más seguro?

¡Me alegro!

EN ESTE ARTÍCULO:

comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
Share on email

no dejes de leer...

5 comentarios en “Claves únicas de autentificación… o cómo evitar que accedan a tu blog si olvidaste cerrar sesión”

  1. Hola:

    Me ha parecido muy interesante lo que comentas, y aunque todo el tema de los códigos y eso, pues es algo engorroso, pero se agradece.

    Por cierto, ¿te has dado cuenta que tu blog es idéntico (copia exacta) del de Frank Scipión?

    Un cordial saludo

    1. Hola Susana.
      Es verdad que no deja de ser engorroso liarse con códigos, pero con una buena copia y tu guía delante, podrás aumentar tu seguridad.
      Y también es verdad que se parece al blog de Franck! Si usamos el mismo tema de Genesis!. Además soy fiel seguidor del trabajo de Franck, y en este mundo hay cosas que si están probadas y funcionan, ¿para que inventar la rueda de nuevo?.
      Vas dando tu toque, con tus colores, algunos elementos aquí y allá, pero al final todos los que usamos las mismas herramientas nos acabamos pareciendo.

      Un saludo!

  2. Hola Javier, muy bueno tu tutorial te felicito.

    Yo lo seguí como mencionas, y generé las claves en el enlace de la API de WP, pero al cambiarlas y subir por FTP el archivo wp-config.php solo veo la página de inicio, si le doy a cualquier enlace o visito otra página de mi blog me marca error «Not Found» me puedo logear como admin y como usuario pero pasa lo mismo, donde está el error?

    Estoy testeando mi blog y solo estoy registrado como usuario yo (admin) y 2 usuarios con los que hago pruebas.

    Desde luego hice una copia del wp-config.php sin las claves y lo volví a restiruir por FTP para ver si se corregía el problema pero nada, sigue igual, te agradezco cualquier ayuda.

    1. Hola Ernesto! Pues si solo has sustituido la parte que te indico no debe pasarte eso. Y mucho menos al restaurar el original (genial por tener copia!).
      De todos yo acabo de entrar y funciona bien. Cambiaste algo más?
      Un saludo.

      1. Pues parece que se resolvió con el tiempo, también borré las cookies de mi navegador (solo las de ese sitio) y después de un par de horas se mostró bien todo, me había asustado.
        También cerré mi sesión y la volví a abrir, creo conviene hacer el cambio y subirlo por FTP sin tener la sesión iniciada.
        Espero mi comentario sirva de algo, y muchas gracias por explicar en este titorial lo de las claves únicas de autenticación, no tenía idea para que servían.
        Saludos Javier.

Los comentarios están cerrados.

Acceso gratuito
a la Academia de
Hormigas en la Nube

+20 cursos disponibles sobre herramientas, marketing y ventas

Por tiempo limitado estoy regalando el acceso a la librería de recursos de la Academia de Hormigas en la Nube.

Cursos de ActiveCampaign, Elementor, Beaver Builder, WordPress, Copywriting, ventas, email marketing y más te estan esperando dentro. Disponible gratis por tiempo limitado.

Mockup escritorio herramientas
Ir arriba