Las claves salt de WordPress son, por si no lo sabías ya, una medida de seguridad de WordPress para proteger las cookies de las sesiones de los usuarios de tu web mediante unas claves aleatorias, llamadas salt.
Es más, si atendemos a los estudios de seguridad, son precisamente estas cookies de sesión la mayor vulnerabilidad explotada por los hackers en webs WordPress, y esto ha dado más de un disgusto en el pasado a millones de cuentas, como pasó en WordPress.com.
Pues bien, estas claves salt, que se añaden al archivo wp-config.php, el archivo principal de configuración de WordPress, es conveniente cambiarlas de vez en cuando porque, como todo, es susceptible a vulnerabilidades, y no conviene que algo tan importante permanezca siempre igual.
Que yo sepa no existe ningún modo nativo de modificar de manera programada estas claves salt, pero sí hay un plugin, Salt Shaker (me encanta el nombre, es como salero, o agitador de sal), cuya función es precisamente esta: permitir el cambio automático y programado de las claves salt de WordPress.
Nada más instalarlo añade una página de configuración en el menú de herramientas del escritorio de WordPress, en el que, además de poder visualizar las claves salt existentes actualmente te permite:
- Programar el cambio automático de las claves salt: a elegir entre diario, semanal, mensual, trimestral, semestral, anual. La versión de pago permite además definir día y hora concretos.
- Cambiar manualmente las claves salt: útil cuando sospeches que ha habido una intrusión o estés bajo ataque de sustitución de perfiles, pues al cambiar las claves salt se cierran automáticamente todas las sesiones de todos los usuarios, incluido el tuyo, dándote tiempo para añadir alguna restricción de seguridad en el acceso, como por ejemplo la doble verificación (que te recomiendo y recomendaré siempre)
Y nada más, y nada menos. Funciona a la perfección, y salvo que tengas protegido contra escritura en los permisos el archivo wp-config.php, no da problemas y actualizará las claves salt cuando tú decidas.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Hola Fernando, y gracias como siempre por tus contenidos. Tras leer este artículo me queda una duda: ¿Tiene este plugin alguna pega de incompatibilidad o algún problema con algunos plugins? ¿Se trata de un plugins ligero que no va sobrecargar nuestra web? ¿Es realmente bueno tenerlo instalado? Yo hasta la fecha no había escuchado hablar de las claves salt. Gracias por todo lo que aportas a la comunidad.
Hola Abraham
Lo de las salts lo explico en uno de mis artículos, enlazados en esta entrada, y tienen una gran importancia, muchísima.
En cuanto al plugin de normal no consume nada, solo añade una tarea (semanal, mensual, lo que decidas) al cron de WordPress para hacer un cambio en el fichero wp-config.php cuando decidas, y luego se queda de nuevo en espera, la tarea cron.
Mil gracias, Fernando. Aclarado.
Lo de hoy si fue un temazo, gracias ayudawp. Es algo que vengo sosteniendo desde hace mucho tiempo colocamos tanto énfasis en la primera puerta de seguridad, pero tenemos abandonadas las puertas traseras. y esto no solo se adjudica a wordpress, son muchas las apps y sistemas de seguridad que dejan a merced las cokies o las preguntas de seguridad que de seguridad no tienen nada. Sin más un excelente aporte el día de hoy
Muchas gracias 🙂
Hola Fernando, mil gracias por el útil artículo. En función de que uso Siteground, tengo activo el plugin Security Optimizer y también el factor 2FA, ¿es necesario controlar las claves salt con el plugin que sugieres? ¡Mil gracias! Saludos y bendiciones…
Hola Mario,
Pues no lo descartes… especialmente si tienes muchos usuarios activos en tu web, o sueles tenerlos. Si eres tú solo no haría falta.
¡Muchas gracias, Fernando! Soy el único usuario, así que seguiré tu consejo… Feliz fin de semana.