Las claves de seguridad de WordPress son protocolos de encriptación que protegen tus credenciales de acceso. Hacen más difícil que los hackers accedan a tu sitio. Aunque puedes hacer que tu sitio sea más seguro cambiando estas claves de seguridad regularmente, puede parecer complicado hacerlo.

Afortunadamente, hay tres formas sencillas de cambiar las claves de seguridad de WordPress. Y lo que es mejor, hay un método para cada nivel de usuario, desde el principiante de WordPress hasta el más experto. Siguiendo este tutorial, puedes hacer que tu sitio sea más resistente a las amenazas de seguridad.

En esta entrada, examinaremos más de cerca las claves de seguridad de WordPress. También hablaremos de por qué quieres actualizar tus claves de seguridad y te mostraremos tres formas sencillas de hacerlo. ¡Empecemos!

Una Introducción a las Claves de Seguridad de WordPress

Las claves de seguridad de WordPress son herramientas de encriptación que protegen tu información de acceso. Funcionan bloqueando y desbloqueando tus contraseñas y otros datos. De esta manera, tu información es difícil de descifrar para los hackers, ayudándote a prevenir el fraude y otras estafas en tu sitio.

Cuando te conectas a tu sitio de WordPress, las cookies almacenan tu información de acceso en tu ordenador. Por eso no necesitas iniciar sesión cada vez que recargues la página o vuelvas a visitar tu sitio.

Toda esta información se almacena de forma encriptada (generada por WordPress) utilizando cadenas de caracteres aleatorias. Como resultado, tus credenciales son imposibles de distinguir de los caracteres, por lo que son difíciles de robar.

Las claves son generadas automáticamente por WordPress y almacenadas en tu archivo wp-config.php. Hay cuatro claves de seguridad en total:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONE_KEY

Cada clave de seguridad tiene su correspondiente salt de WordPress. Las salts son herramientas criptográficas que ayudan a asegurar la información de tus cookies. Al igual que las claves, las salts también se almacenan en el archivo wp-config.php:

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONE_SALT

Juntos, las claves de seguridad y las salts de WordPress almacenan tu información de forma segura y autentifican las contraseñas en tu sitio.

La diferencia entre las claves de seguridad de WordPress y las salts

Las claves de seguridad de WordPress son casi equivalentes a las contraseñas. Pueden cifrar un mensaje utilizando caracteres alfanuméricos y especiales. Luego, se utiliza la misma clave para desencriptar la información y volver a convertirla en texto plano.

Se añade una salt al cifrado para dificultar la ingeniería inversa de la contraseña. Por tanto, proporcionan una capa adicional de seguridad.

En general, las salts y las claves de seguridad de WordPress son similares, ya que ambos protocolos hacen que tu sitio web sea menos vulnerable a las amenazas de seguridad. No es infrecuente que los sitios de WordPress sean hackeados, especialmente si se utilizan contraseñas normales con un nivel de dificultad medio. Sin embargo, una cadena de caracteres aleatoria es casi imposible de descifrar.

Cuándo Cambiar las Claves de Seguridad de WordPress

Como las claves de seguridad de WordPress son generadas por WordPress, normalmente no tienes que preocuparte por ellas. Sin embargo, hay algunos escenarios en los que tiene sentido cambiar tus claves de seguridad:

  • Un actor malicioso puede haber visto o accedido al archivo wp-config.php de tu sitio (incluyendo una copia de seguridad local).
  • Tu sitio ha sido infectado por un malware.
  • Prefieres cambiar regularmente tus contraseñas para dificultar que los hackers entren en tu sitio. Puedes optar por hacerlo cada seis meses aproximadamente.

Si encuentras malware en tu sitio web, el primer paso es escanear tu sitio para eliminar el malware. Sin embargo, lo ideal es que tengas una herramienta que detecte y resuelva los problemas antes de que sean demasiado problemáticos.

Kinsta APM es una herramienta de monitorización del rendimiento diseñada explícitamente para WordPress. Te permite identificar cualquier problema en tu sitio y solucionarlo rápidamente:

Kinsta APM
Kinsta APM

Por ejemplo, obtendrás información con fecha de caducidad sobre problemas como llamadas largas a la API, consultas lentas a la base de datos y código no optimizado. Y lo que es mejor, Kinsta APM viene gratis con todos nuestros planes de alojamiento.

Cómo Cambiar las Claves de Seguridad de WordPress (3 métodos)

Ahora que sabes más sobre las claves de seguridad de WordPress, veamos tres formas sencillas de cambiarlas

1. Utiliza un plugin dedicado

La forma más sencilla de cambiar las claves de seguridad de WordPress es utilizar un plugin de calidad. El plugin Salt Shaker fue diseñado exactamente para este propósito:

Salt Shaker
Salt Shaker

Es más, puedes utilizar Salt Shaker para establecer horarios automatizados para los cambios de clave y salt. Además, puedes establecer y olvidarte fácilmente de las contraseñas, sabiendo que la herramienta se encargará del resto.

Para empezar, todo lo que tienes que hacer es instalar y activar el plugin en WordPress. A continuación, navega hasta Herramientas > Salt Shaker:

Configuración del plugin Salt Shaker
Configuración del plugin Salt Shaker

Aquí puedes establecer un horario para cambiar tus claves de seguridad y salts regularmente. También puedes hacer clic en Cambiar ahora para actualizar los valores al instante.

2. Utiliza un plugin de seguridad general

Los plugins de seguridad son útiles porque suelen automatizar muchas tareas de seguridad, como las copias de seguridad y las actualizaciones. Mientras tanto, dependiendo de tu proveedor, generalmente puedes beneficiarte de medidas de seguridad adicionales, como cortafuegos y escaneos de malware.

Sucuri Security es una excelente opción, especializada en la seguridad de WordPress. Es de uso gratuito y ofrece un conjunto de funciones de seguridad, como el escaneo remoto de malware, la auditoría de la actividad de seguridad y las acciones de seguridad posteriores al hackeo:

Sucuri Security
Sucuri Security

Otra gran opción es Wordfence Security, que cuenta con más de cuatro millones de instalaciones y está especializada en el escaneo de firewalls y malware. Si no estás seguro de qué plugin de seguridad para WordPress utilizar, puedes consultar nuestro post: Sucuri vs. Wordfence.

Vamos a mostrarte cómo cambiar las claves de seguridad de WordPress con Sucuri. Primero, instala y activa el plugin. A continuación, dirígete a Sucuri Security > Settings y cambia a la pestaña Post-Hack:

Sucuri Security
Sucuri Security

A continuación, desplázate hacia abajo y haz clic en Generar nuevas claves de seguridad:

Generar nuevas claves de seguridad
Generar nuevas claves de seguridad

También puedes establecer un horario para actualizar tus claves. Sólo tienes que utilizar el menú desplegable para seleccionar el calendario más adecuado para tu sitio web. Luego, pulsa Enviar.

3. Cambiar las claves de seguridad de WordPress manualmente

Cambiar tus claves de seguridad manualmente es posible. Sin embargo, requiere acceder a los archivos de tu sitio. Como tendrás que editar un archivo central importante, es importante que te sientas seguro al hacerlo. Los dos métodos anteriores pueden ser más adecuados si eres principiante.

Para utilizar este método, necesitarás obtener nuevos valores de clave de seguridad y de salt del generador de claves secretas de WordPress:

Generador de claves de seguridad nuevas de WordPress
Generador de claves de seguridad nuevas de WordPress

A continuación, haz una copia de seguridad de tu sitio web por si algo va mal. También puede ser útil configurar un entorno de staging. Puedes hacerlo con nuestro complemento premium de entornos de staging. Esto básicamente crea una réplica de tu sitio donde puedes probar nuevo software y ejecutar actualizaciones de forma segura sin preocuparte de romper tu sitio.

A continuación, tienes que encontrar y editar el archivo wp-config.php. Puedes descargar el archivo mediante FTP para editarlo y volver a subirlo a WordPress. También puedes utilizar el Administrador de Archivos para editar el archivo directamente.

Puedes encontrar el archivo en tu carpeta public_html. En la parte inferior de la captura de pantalla, puedes ver wp-config.php:

Localiza el archivo wp-config.php
Localiza el archivo wp-config.php

Abre el archivo y desplázate hacia abajo hasta que veas Claves y Salts Únicas de Autenticación:

Cambiar las claves de seguridad en el archivo wp-config.php
Cambiar las claves de seguridad en el archivo wp-config.php

A continuación, simplemente sustituye las salts y las claves por los nuevos códigos generados por WordPress. Todos los usuarios conectados tendrán que volver a entrar en tu sitio una vez hecho esto. Sin embargo, sus nombres de usuario y contraseñas seguirán siendo los mismos.

Cuando hayas terminado, pulsa Guardar. No es necesario que escribas estos nuevos valores, ya que no necesitarás conocerlos de nuevo.

Otras 6 Formas de Proteger tus Claves de Acceso a WordPress

Aunque cambiar las claves de seguridad de WordPress es una buena forma de aumentar la seguridad de tu sitio, hay otras formas de proteger tu información de inicio de sesión. Aquí tienes seis de nuestros consejos esenciales

1. Fomenta las contraseñas fuertes y únicas

Está muy bien establecer tu propia contraseña segura. Sin embargo, también es esencial que te asegures de que los demás usuarios de tu sitio web cumplen las mismas normas.

De hecho, sólo el 4% de la gente utiliza un generador de contraseñas para crear contraseñas corporativas, mientras que el 76% de la gente elige las contraseñas por sí misma.

Esto puede dar lugar a contraseñas débiles y reutilizadas que son fáciles de adivinar. Incluso hoy, las contraseñas más comunes encontradas en las filtraciones son «contraseña» y «123456». Por lo tanto, considera la posibilidad de crear contraseñas únicas y fuertes para asegurar tu sitio web.

Si no utilizas un gestor de contraseñas, ten en cuenta que las contraseñas más seguras están formadas por letras minúsculas y mayúsculas. Además, considera el uso de caracteres especiales y números, y procura que las contraseñas sean lo más largas posible. Te recomendamos que evites las palabras del diccionario o las contraseñas que hayas utilizado antes.

2. Utiliza la autenticación de dos factores

La autenticación de dos factores requiere dos métodos de autenticación para acceder a tu sitio. Normalmente, la primera clave es una contraseña (como la que usarías normalmente), y la segunda puede ser un código en tiempo real enviado por mensaje o correo electrónico. Dado que los bots no pueden crear la segunda clave, el uso de la autenticación de dos factores es una gran manera de mejorar la seguridad en la nube.

Puedes configurar este método de autenticación en tu sitio utilizando un plugin como WP 2FA:

WP 2FA
WP 2FA

WP 2FA es una herramienta flexible que admite múltiples métodos de autenticación, como OTP por correo electrónico, enlaces por correo electrónico, notificaciones push, autenticación por voz, Whatsapp, etc. Con un sencillo proceso de instalación, puedes habilitar al instante esta funcionalidad en tu sitio, tanto si tienes una tienda de WooCommerce como un sitio web de socios.

3. Limita los intentos de inicio de sesión

Aunque los hackers no conozcan tus contraseñas, pueden utilizar combinaciones conocidas de contraseña y nombre de usuario para acceder a tu sitio web. Estas amenazas se conocen como ataques de fuerza bruta, y son cada vez más populares.

Por ello, instalar un plugin que limite los intentos de inicio de sesión es una buena idea. Limitar los intentos de inicio de sesión recargado es una excelente opción:

Limitar Intentos de Inicio de Sesión Recargado
Limitar Intentos de Inicio de Sesión Recargado

Este plugin puede evitar los ataques de fuerza bruta y optimizar el rendimiento de tu sitio limitando los intentos de inicio de sesión en WordPress, WooCommerce y las páginas de inicio de sesión personalizadas. Para mayor tranquilidad, también puedes cambiar tu página de inicio de sesión de WordPress para dificultar que los hackers tomen el control de tu sitio.

4. Activa el cierre automático de sesión

Dependiendo de tu configuración, WordPress cerrará automáticamente la sesión de los usuarios de tu sitio después de un periodo determinado (normalmente entre 48 horas y 14 días). Sin embargo, si dejas la sesión abierta en una pestaña, los hackers pueden apoderarse de tu sitio a través de las cookies del navegador.

Por eso puede ser útil instalar un plugin que cierre la sesión de los usuarios de tu sitio después de un tiempo determinado. El cierre de sesión inactivo termina automáticamente las sesiones de los usuarios inactivos:

Plugin de cierre de sesión inactivo
Plugin de cierre de sesión inactivo

Puedes determinar el tiempo de inactividad y habilitar una cuenta atrás de diez segundos para avisar a los usuarios del cierre de sesión. También puedes crear un mensaje emergente personalizado para notificar a los usuarios o redirigirlos a una página de tiempo de espera. Y lo que es mejor, el plugin ofrece una sencilla interfaz de usuario (UI) y es rápido y fácil de configurar.

5. Revisa los roles de los usuarios

Es importante asegurarse de que los usuarios de tu sitio web tienen los privilegios correctos. Por ejemplo, puede haber ocasiones en las que actualices un rol de Editor a un rol de Administrador para un propósito específico. Sin embargo, si te olvidas de rescindir este privilegio, tu sitio es más vulnerable a los ataques, ya que un hacker puede acceder a todo entrando en la cuenta de Administrador.

Por lo tanto, recomendamos revocar los permisos una vez completadas las tareas. También puede ser una buena idea revisar tus roles de usuario regularmente y verificar que los usuarios tienen los niveles de acceso adecuados. Si encuentras que algunos usuarios tienen privilegios indebidos, puedes cambiarlos fácilmente yendo a Usuarios en tu panel de control de WordPress.

6. Desactivar XML-RPC

XML-RPC es una función de WordPress que te permite publicar contenido de forma remota. Aunque es una función segura, también puede ser utilizada por los hackers para acceder por fuerza bruta a tu sitio.

Por lo tanto, si no necesitas la función, lo mejor es desactivar XML-RPC para que tu sitio sea más seguro. Puedes hacerlo con un plugin o editando tu archivo .htaccess.

Resumen

Cambiar tus claves de seguridad de WordPress es una buena forma de proteger tus datos de acceso. Afortunadamente, es fácil hacerlo utilizando un plugin o modificando los archivos de tu sitio. Así, podrás hacer casi imposible que los hackers accedan a tu sitio web.

La forma más fácil de cambiar tus claves de seguridad es con un plugin dedicado como Salt Shaker. Sin embargo, también puedes utilizar un plugin de seguridad general como Sucuri. Esta herramienta incluye otras funciones útiles, como el escaneo de malware y los cortafuegos. Por último, también puedes cambiar tus claves manualmente editando tu archivo wp-config.php.

También puedes mejorar la seguridad de tu sitio web eligiendo un alojamiento seguro para WordPress. En Kinsta, utilizamos dos potentes cortafuegos para proteger tu sitio. Además, proporcionamos acceso SSH gratuito, instalación de un certificado SSL con un solo clic y un equipo dedicado al malware. ¡Echa un vistazo a nuestros planes hoy mismo para empezar!