Sales de seguridad de WordPress (y generar las suyas) en 2021

En diciembre de 2017, Wordfency informó que se robaron 1,4 mil millones de conjuntos de credenciales de conexión de WordPress y se produjeron una campaña masiva de ataque de fuerza bruta poco después. Con el nombre de usuario y las contraseñas correctas disponibles tan fácilmente, no es sorprendente que los piratas informáticos hayan aprovechado la oportunidad de lanzar un ataque tras ataque, en la parte superior, 14.1 millones de ataques por hora, contra los usuarios de WordPress.

Por supuesto, los administradores de WordPress ingresan al modo defensivo y solicitan a todos los usuarios que reinicie y cambien sus contraseñas. ¿Pero es suficiente? ¿La aplicación estricta de la contraseña es importante incluso si los piratas informáticos pueden descubrir esa información de una base de datos rota? ¿Pero la autenticación con dos factores? ¿Eso realmente ayuda?
Cualquier buen blog de seguridad de WordPress le dice que haga todas esas cosas cuando administra las contraseñas de los usuarios en el CMS, ya que hacen que los ataques con fuerza bruta sean más difíciles de ejecutar. Sin embargo, una cosa que quizás no mencione es que debe dirigir inmediatamente su atención a las claves de seguridad de WordPress, y esto se refiere tanto a la implementación inicial de los protocolos de seguridad en su sitio como para seguir las noticias sobre una gran violación de seguridad.
Nuestro equipo de WP Buffs ayuda a los propietarios de sitios web, agentes asociados y socios independientes a implementar claves y sales de seguridad. Ya sea que necesite que administremos un sitio web o admitirá 1000 sitios de clientes, respaldaremos.
La siguiente guía cubrirá todo lo que necesita saber sobre las claves de seguridad de WordPress, generando nuevas sales para su sitio y cómo configurarlas en unos pocos pasos simples. Todo lo que necesita saber sobre las claves de seguridad de WordPress cosas que puede hacer para guiar a su WordPress usuarios para las prácticas seguras de contraseña. Necesita contraseñas fuertes e implementadas con dos factores. Incluso les recuerda que cambien sus contraseñas después de 90 días. Pero dejar la configuración y proteger la conexión en manos de sus usuarios. Esta es la razón por la cual WordPress ha desarrollado un conjunto de claves de seguridad de WordPress (también conocidas como claves secretas).
Para comprender cómo funcionan y por qué merece su atención, primero debemos echar un vistazo a cómo funcionan las sesiones de usuarios de WordPress.

Sesiones de usuario y cookies de WordPress Al conectar un nuevo usuario de WordPress (esto se aplica tanto a la espalda como a los comentaristas), una cookie almacena información sobre su sesión. Volver a la versión 2.4, WordPress ha establecido cookies para almacenar dos información: nombre de usuario y una versión doble de la contraseña creada por los usuarios. Al hacerlo, la información de sus usuarios está encriptada, mientras que también se almacenan para su uso adicional para que el proceso de conexión sea más eficiente. Comenzando con la versión 3.0, WordPress ha creado dos cookies diferentes: una para la pantalla de conexión (WordPress_ [Hash]) y otra para el tablero del administrador (WordPress_Logged_in [Hash]).
Como explica Codex: WordPress usa las dos cookies para evitar la parte de la contraseña de wp-login.php. Si WordPress reconoce que tiene cookies válidas que no han expirado, vaya directamente a la interfaz de administración de WordPress. Si no tiene cookies, o está expirado, o de otra manera no son válidos (como nosotros. Esta información se almacena en la base de datos de WordPress. WordPress Security Keys y Safety Salts El hash de contraseña de Hashing es cómo WordPress cifra / codifica los datos de la sesión del usuario. Esto se realiza usando un algoritmo llamado MD5. Básicamente, tome el nombre de usuario y las contraseñas creadas por los usuarios, luego escúchalos detrás de una larga e ininteligible cadena de números y letras, lo que dificulta la decodificación. Esto es lo que se conoce como clave de seguridad de WordPress. Después de las notas del códice: en términos simples, una clave secreta es una contraseña que dificulta generar opciones suficientes para aprobar sus barreras de seguridad. Una contraseña como “contraseña” o “prueba” es simple y fácil de romper. Una contraseña larga y aleatoria que no usa palabras en el diccionario, como “88A7DA62429BA6AD3CB3C76A09641FC”, sería necesario que un atacante de la fuerza bruta desaparezca millones de horas. Se utiliza una sal para mejorar aún más la seguridad del resultado generado. Las claves de seguridad de WordPress y las sales de seguridad se almacenan en el archivo wp-config.php. Por lo tanto, el uso de claves de seguridad es esencial para mantener a WordPress de manera segura contra los ataques de las fuerzas brutas.
Esencialmente, obligan a los piratas informáticos a recuperar los datos de la sesión de cookies de la base de datos y luego descubren cómo decodificarlos con las claves de seguridad de WordPress del archivo wp-config.php (si pueden encontrarlas). Combinando una clave de seguridad #WordPress con una sal (otra cadena de caracteres), sus contraseñas se vuelven casi no recuperables. Haga clic para enviar un tweet que comienza con 2021, WordPress almacena automáticamente cuatro claves de autenticación y cuatro sales hash en el archivo wp.config. El código predeterminado para estos se ve así: Define (‘Auth_key’, ‘Long String of Text’); Define (‘secure_auth_key’, ‘larga cadena de texto’); Define (‘logged_in_key’, ‘larga cadena de texto’); Define (‘nonce_key’, ‘larga cadena de texto’); define (‘auth_sal’, ‘larga cadena de texto’); Define (‘secure_auth_sal’, ‘larga cadena de texto’); define (‘logged_in_sal’, ‘larga cadena de texto’); Define (‘nonce_al’, ‘larga cadena de texto’); esta es la forma de WordPress de proporcionar una mayor seguridad para las sesiones y datos de usuarios. Dicho esto, es muy aconsejable no dejar el código predeterminado en el archivo WP-Config. En la siguiente sección, hablaremos sobre cómo puede continuar generando su propia seguridad y sales de WordPress. Cómo configurar las claves de seguridad con un generador de claves de sal, tiene dos opciones para crear o actualizar las claves de seguridad de WordPress. La primera es la opción manual, que requiere que se sienta cómodo editando el archivo wp-config.php. O, si lo prefiere, puede usar un complemento de WordPress para hacer esto por usted.
El método manual de configuración de la configuración de WordPress de seguridad de WordPress Security Keys no es difícil. Simplemente tiene que sentirse cómodo al editar el código si desea ir de esta manera. Paso 1 Lo primero que debe hacer cuando configura manualmente las claves de seguridad es abrir la herramienta de generador de claves de sal. Después de ver, es el mismo código que escribí anteriormente, excepto que estaba poblado de teclas de seguridad y sales únicas de WordPress . (Obviamente, no querrá usar el código en mi ejemplo anterior). Para obtener una nueva lista de claves, actualice la pantalla del navegador.
Copiar nuevas claves. No los guarde en ningún lugar del paso 2 de su automóvil, cierre la sesión desde la sesión de WordPress. Si puede, aconseje a otros usuarios de WordPress que hagan lo mismo. La actualización de las claves de seguridad no afectará el trabajo que realizan, pero inmediatamente destruirá las cookies en su sesión y las obligará a conectarse nuevamente. Paso 3 Cree una copia de seguridad del sitio web. Esto debería ser una copia ligera y un trabajo de unión, pero desea que su sitio esté protegido si algo no va bien en este proceso. Paso 4 Inicie sesión en el Administrador de archivos en el panel de control o FTP. Luego ubique el archivo wp-config.php en el directorio raíz.
Cree una copia del archivo. Abra el archivo para editarlo. Paso 5 Busque una sección llamada “claves de autenticación únicas”. Verá que WordPress ya ha completado esta sección con llaves y sales secretas personalizadas. Continúe y pegue los nuevos en el generador de llaves de sal de WordPress.

Guarde los cambios y salga del archivo. La próxima vez que usted y sus usuarios intenten iniciar sesión en WordPress, se le pedirá que ingrese el inicio de sesión nuevamente. Nada tendrá que cambiar, excepto que las nuevas claves y sales de seguridad de WordPress le pedirán que comience una nueva sesión. Usando un complemento para configurar las claves de seguridad de WordPress si prefiere no perturbar con el archivo WP-Config, está bien. Hay algunos complementos diferentes que automatizarán el proceso de cambiar las claves de seguridad de WordPress en su nombre. Más precisamente, hay tres complementos de WordPress que harán el trabajo correcto: el editor de archivos de configuración WP a todas esas tareas que siempre ha querido actualizar En WordPress, pero tenía demasiado miedo de editar el archivo wp-config.php para hacerlos. Bueno, este complemento se conecta al archivo y ayuda incluso a la mayoría de los novatos de los usuarios de WordPress. Esto, por supuesto, incluye actualizar las claves de seguridad. ITHEMES SEGURIDAD

Finalmente, está el complemento premium Ithemes Security (Pro). Ithemes está incluido en una serie de planes WP Buffs, por lo que debe hacer este método # 1 para implementar y actualizar las claves y sales de seguridad. Los consejos para configurar las teclas de seguridad y las sales de WordPress son algo tan simple, ¿no? Fortalecer la autenticación de WordPress para evitar ataques de fuerza bruta. Pero hay formas en que puede usar de manera más eficiente lo que sabe sobre las claves de seguridad y las sales de WordPress. Aquí hay algunas cosas para recordar:
Inmediatamente después de lanzar un nuevo sitio de WordPress, cambie las claves de seguridad y las sales de WordPress. Si existe alguna inclinación de que su sitio haya sido atacado, actualice sus claves de seguridad para obligar a todos los usuarios a cambiar sus contraseñas.

También recomendamos que los actualice después de que un usuario de WordPress haya sido despedido de su equipo o que el acceso se revocara en el sitio. Esto asegurará que las últimas cookies y su sesión se destruyan.

Nunca genere sus propias claves. Use el generador de teclas de sal de WordPress o automatice el proceso con un complemento. Es mucho más fácil y más seguro de esta manera.

Ya sea que elija actualizarlos manualmente o usar un complemento, cree un programa a través del cual sus claves cambiarán con frecuencia. Aunque las claves de seguridad son la razón por la cual la conexión se vuelve tan difícil de piratear, es aún más efectiva mantenerlas al día.