A un alto nivel, las salts de WordPress son una forma de mantener su sitio WordPress seguro ayudando a almacenar y autenticar de forma segura las contraseñas de los usuarios de su sitio.

En este artículo, usted aprenderá:

¿Qué son las salts de WordPress? En Más Detalle

Las salts de WordPress, junto con sus claves de seguridad acompañantes, son una herramienta criptográfica que ayuda a proteger el inicio de sesión de su sitio WordPress.

Específicamente, las salts y las claves de seguridad protegen la información en las cookies que WordPress utiliza para iniciar sesión.

Mire, una vez que se conecta a WordPress, tiene la opción de permanecer conectado para que no tenga que introducir su nombre de usuario y contraseña cada vez. Para lograr esto, WordPress guarda su información de inicio de sesión en cookies, en lugar de usar sesiones de PHP.

Esto es muy conveniente para los usuarios, pero también abre la posibilidad de un problema de seguridad si alguien pudiera secuestrar las cookies de su navegador.

Para evitar esto, WordPress utiliza salts y claves de seguridad para proteger su información de inicio de sesión de modo que los sujetos maliciosos no puedan hacer nada con ella. Piense en ellos como contraseñas»extra» para su sitio que son casi imposibles de adivinar para un actor malicioso.

Debido a su importancia, nunca debe compartir sus salts y claves de seguridad de WordPress con nadie.

¿Dónde se encuentran las salts de WordPress?

WordPress viene con sus propias salts y claves de seguridad por defecto. Se encuentran en el archivo wp-config.php de su sitio. Debería ver un total de ocho llaves:

  • Las primeras cuatro entradas son sus claves de seguridad.
  • Las últimas cuatro entradas son sus salts de WordPress.
Ejemplo de sales en su archivo wp-config.php
Ejemplo de salts en su archivo wp-config.php

¿Cómo funcionan las salts de WordPress?

Digamos que su contraseña para su sitio WordPress es «mypassword» (esta es una contraseña horrible pero se ajusta a nuestros propósitos).

Para iniciar sesión, introduzca su nombre de usuario y contraseña. Luego, WordPress almacena esa información en dos cookies del navegador para que usted permanezca conectado (esta información también se almacena en la base de datos de su sitio).

Sin embargo, si WordPress almacena su contraseña así de fácil – «mypassword» – entonces está ahí para que la vea un actor malicioso. Esto se llama almacenar la contraseña en texto plano, y es un gran no-no cuando se trata de seguridad.

Las claves de seguridad y las salts evitan este problema al trabajar juntas para convertir criptográficamente esa contraseña de texto plano en una mezcla aleatoria de caracteres que son imposibles para alguien de realizar ingeniería inversa sin acceso a sus claves y salts.

Así que aunque haya introducido «mypassword» para entrar, WordPress convertirá su contraseña en algo como «hsd78q34%7832$4jkhkjsfd78782^^^429nsdf» para su almacenamiento.

A menos que una persona tenga acceso a sus salts y claves de seguridad, sería imposible para ella traducir esa mezcla aleatoria de caracteres a su contraseña real.

¿Necesita cambiar sus salts de WordPress y claves de seguridad?

Por defecto, las nuevas instalaciones de WordPress vienen con su propio conjunto de claves y salts, por lo que su sitio de WordPress ya está seguro sin requerir ninguna acción de su parte.

Sin embargo, hay algunas razones para considerar cambiar sus salts y llaves periódicamente.

El concepto básico es que al cambiar periódicamente las llaves y las salts, se dificulta aún más que un actor malicioso ponga sus manos en las salts.

Además, el cambio de salts cerrará automáticamente la sesión de todos los usuarios que hayan iniciado sesión en su sitio y los obligará a volver a iniciar sesión, lo que constituye otro beneficio potencial. Por ejemplo, si usted se conectó accidentalmente en una computadora pública y se olvidó de cerrar la sesión, esto le permitiría forzar la salida de esa cuenta para asegurarse de que nadie pueda tener acceso.

¿Cómo cambiar sus salts de WordPress? (dos métodos)

Si quiere cambiar salts en WordPress, tiene dos opciones principales:

He aquí cómo usar ambos enfoques:

¿Cómo cambiar manualmente las salts de WordPress?

Para cambiar manualmente las salts de su sitio, deberá conectarse al servidor de su sitio a través de FTP y editar su archivo wp-config.php. Si no está seguro de cómo hacerlo, consulte este artículo sobre cómo usar SFTP en Kinsta.

Una vez conectado, diríjase al generador de salts oficial de WordPress.org. Esta página generará aleatoriamente salts y claves de seguridad para usted, tal como lo vio arriba. Debe generar las cuatro claves de seguridad más cuatro salts (ocho en total):

WordPress.org puede ayudarle a generar nuevas claves y sales
WordPress.org puede ayudarle a generar nuevas claves y salts

Luego, borre las claves existentes en su archivo wp-config.php y reemplácelas pegándolas en las claves del generador de salts de WordPress.org:

¿Cómo cambiar las salts en wp-config.php?
¿Cómo cambiar las salts en wp-config.php?

Una vez que haya terminado, debería verse exactamente igual que antes – es sólo que las cadenas de caracteres aleatorios serán diferentes.

Asegúrese de guardar los cambios y, si es necesario, vuelva a cargar el archivo wp-config.php.

¿Cómo cambiar las salts de WordPress con un plugin?

Como alternativa al método manual anterior, también puede utilizar un plugin para cambiar las salts de su sitio.

El plugin Salt Shaker es una opción popular gratuita con una ventaja sobre el método manual:

Puede configurarlo para que cambie automáticamente sus salts según el programa que usted defina. O bien, también puede utilizarlo para cambiar manualmente las salts.

Una vez instalado y activado el plugin, vaya a Herramientas → Salt Shaker.

Si desea cambiar manualmente sus salts de inmediato, simplemente haga clic en el botón Cambiar ahora.

O bien, también puede utilizar la función de cambio programado para cambiar automáticamente sus salts en uno de los siguientes programas:

  • Diariamente
  • Semanalmente
  • Mensualmente
  • Trimestral (cada tres meses)
  • Bianualmente (cada seis meses)
Cómo usar el plugin Salt Shaker
¿Cómo usar el plugin Salt Shaker?

Algunos plugins de seguridad de WordPress, notablemente iThemes Security, también incluyen características que facilitan el cambio de las salts de WordPress.

Resumen

Las salts de WordPress y las claves de seguridad ayudan a proteger el proceso de inicio de sesión de su sitio y las cookies que WordPress utiliza para autenticar a los usuarios.

Su sitio viene con su propio conjunto de salts y claves de forma predeterminada, por lo que no necesita configurar nada para beneficiarse de las salts.

Sin embargo, hay beneficios de seguridad al cambiar periódicamente sus salts para que sea aún más difícil para los actores maliciosos acceder a ellas.

Para cambiar sus salts, puede usar el generador de salt de WordPress.org y editar manualmente su archivo wp-config.php o puede usar un plugin gratuito como Salt Shaker.