​​Le chiavi di sicurezza di WordPress sono protocolli di crittografia che proteggono le vostre credenziali di accesso. Rendono più difficile l’accesso al sito da parte degli hacker. Anche se potete rendere il vostro sito più sicuro cambiando regolarmente le chiavi di sicurezza, potrebbe sembrare complicato farlo.

Per fortuna, ci sono tre modi semplici per cambiare le chiavi di sicurezza di WordPress. Inoltre, c’è un metodo per ogni livello di utente, dal principiante di WordPress all’esperto. Seguendo questo tutorial, potrete rendere il vostro sito più resistente alle minacce alla sicurezza.

In questo articolo daremo un’occhiata più da vicino alle chiavi di sicurezza di WordPress. Parleremo anche dei motivi per cui potreste voler aggiornare le chiavi di sicurezza e vi mostreremo tre semplici modi per farlo. Cominciamo!

Introduzione alle Chiavi di Sicurezza di WordPress

Le chiavi di sicurezza di WordPress sono strumenti di crittografia che proteggono i vostri dati di accesso. Funzionano bloccando e sbloccando le vostre password e altri dettagli. In questo modo, le vostre informazioni sono difficili da decodificare per gli hacker, e questo vi aiuta a prevenire frodi e altre truffe sul vostro sito.

Quando accedete al vostro sito WordPress, i cookie memorizzano le informazioni di accesso sul vostro computer. Per questo motivo non è necessario effettuare il login ogni volta che ricaricate la pagina o rivisitate il vostro sito.

Tutte queste informazioni vengono memorizzate in forma criptata (generata da WordPress) utilizzando stringhe di caratteri casuali. Di conseguenza, le vostre credenziali sono impossibili da distinguere dai caratteri e quindi difficili da rubare.

Le chiavi vengono generate automaticamente da WordPress e memorizzate nel file wp-config.php. Esistono quattro chiavi di sicurezza:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONE_KEY

Ogni chiave di sicurezza ha un salt WordPress corrispondente. I stal sono strumenti crittografici che aiutano a proteggere le informazioni contenute nei cookie. Come le chiavi, anche i salt sono memorizzati nel file wp-config.php:

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONE_SALT

Insieme, le chiavi di sicurezza e i salt di WordPress memorizzano le vostre informazioni in modo sicuro e autenticano le password sul vostro sito.

La Differenza tra le Chiavi di Sicurezza e i Salt di WordPress

Le chiavi di sicurezza di WordPress sono quasi equivalenti alle password. Possono criptare un messaggio utilizzando caratteri alfanumerici e speciali. Poi si usa la stessa chiave per de-crittografare le informazioni e riportarle al testo normale.

Alla crittografia viene aggiunto un salt per rendere la password più difficile da decifrare. Pertanto, forniscono un ulteriore livello di sicurezza.

In generale, i salt e le chiavi di sicurezza di WordPress sono simili: entrambi i protocolli rendono il vostro sito web meno vulnerabile alle minacce alla sicurezza. Non è raro che i siti WordPress vengano violati, soprattutto se si usano password normali di media difficoltà. Tuttavia, una stringa casuale di caratteri è quasi impossibile da decifrare.

Quando Cambiare le Chiavi di Sicurezza di WordPress

Poiché le chiavi di sicurezza di WordPress sono generate da WordPress, in genere non è necessario preoccuparsene. Tuttavia, ci sono alcuni scenari in cui ha senso cambiare le chiavi di sicurezza:

  • Una persona malintenzionata potrebbe aver visualizzato o avuto accesso al file wp-config.php del vostro sito (incluso un backup locale).
  • Il vostro sito è stato infettato da un malware.
  • Preferite cambiare regolarmente le password per rendere più difficile l’accesso al vostro sito da parte degli hacker. Potete scegliere di farlo ogni sei mesi circa.

Se trovate del malware sul vostro sito web, il primo passo da fare è scansionare il sito per eliminare il malware. Tuttavia, l’ideale sarebbe avere uno strumento che rilevi e risolva i problemi prima che diventino troppo problematici.

Kinsta APM è uno strumento di monitoraggio delle prestazioni progettato appositamente per WordPress. Vi permette di identificare qualsiasi problema sul vostro sito e di risolverlo rapidamente:

Banner di Kinsta APM per monitorare le prestazioni
Kinsta APM

Per esempio, otterrete informazioni con data e ora di problemi come chiamate API lunghe, query di database lente e codice non ottimizzato. Inoltre, Kinsta APM è incluso gratuitamente in tutti i nostri piani di hosting.

Come Cambiare le Chiavi di Sicurezza di WordPress (3 Metodi)

Ora che ne sapete di più sulle chiavi di sicurezza di WordPress, vediamo tre semplici metodi per cambiarle!

1. Usare un Plugin Dedicato

Il modo più semplice per cambiare le chiavi di sicurezza di WordPress è con un plugin di qualità. Il plugin Salt Shaker è stato progettato proprio per questo scopo:

Banner del plugin Salt Shaker con sfondo giallo e una piccola saliera a destra
Salt Shaker

Inoltre, potete usare Salt Shaker per impostare programmi automatici per il cambio delle chiavi e del salt. Inoltre, potete facilmente impostare e dimenticare le password, sapendo che lo strumento si occuperà del resto.

Per iniziare, tutto ciò che dovete fare è installare e attivare il plugin in WordPress. Poi, andate su Strumenti > Salt Shaker:

Schermata delle impostazioni di Salt Shaker per cambiare i salt WordPres
Impostazioni del plugin Salt Shaker

Qui potete impostare un calendario per cambiare regolarmente le chiavi e i salt di sicurezza. Potete anche fare clic su Cambia ora per aggiornare i valori all’istante.

2. Usare un Plugin di Sicurezza Generale

I plugin di sicurezza sono utili perché in genere automatizzano molte attività di sicurezza, come i backup e gli aggiornamenti. Inoltre, a seconda del vostro provider, potete beneficiare di misure di sicurezza aggiuntive come firewall e scansioni di malware.

Sucuri Security è una scelta eccellente, specializzata nella sicurezza di WordPress. È gratuito e offre una serie di funzioni di sicurezza, tra cui la scansione remota del malware, l’auditing delle attività di sicurezza e le azioni di sicurezza post-hack:

Banner del plugin Sucuri Security
Sucuri Security

Un’altra ottima opzione è Wordfence Security, che conta oltre quattro milioni di installazioni ed è specializzato nella scansione di firewall e malware. Se non sapete quale plugin di sicurezza per WordPress usare, potete leggere il nostro articolo: Sucuri vs. Wordfence.

Vi mostriamo come cambiare le chiavi di sicurezza di WordPress usando Sucuri. Per prima cosa, installate e attivate il plugin. Poi, andate su Sucuri Security > Impostazioni e passate alla scheda Post-Hack:

Schermata del plugin Sucuri Security in WordPress
Sucuri Security

Quindi, scorrete verso il basso e fate clic su Generate New Security Keys:

Schermaa Generate new security keys del plugin Sucuri Security
Generare nuove chiavi di sicurezza

Potete anche impostare un calendario per l’aggiornamento delle chiavi. Basta usare il menu a tendina per selezionare il periodo più appropriato per il vostro sito web. Quindi, premete Submit

3. Cambiare le Chiavi di Sicurezza di WordPress Manualmente

È possibile cambiare le chiavi di sicurezza manualmente. Tuttavia, è necessario accedere ai file del sito. Poiché dovrete modificare un importante file di base, è importante che vi sentiate a vostro agio nel farlo. I due metodi precedenti potrebbero essere più adatti se siete principianti.

Per usare questo metodo, dovrete ottenere i nuovi valori della chiave di sicurezza e del salt dal generatore di chiavi segrete di WordPress:

Una schermata del nuovo generatore di chiavi di sicurezza di WordPress
Generatore di nuove chiavi di sicurezza di WordPress

Eseguite quindi un backup del vostro sito web nel caso in cui qualcosa vada storto. Può essere utile anche creare un ambiente di staging. Potete farlo con il nostro componente aggiuntivo premium per gli ambienti di staging. Questo crea essenzialmente una replica del vostro sito dove potete testare nuovi software ed eseguire aggiornamenti in tutta sicurezza senza preoccuparvi di rompere il vostro sito.

Successivamente, dovete trovare e modificare il file wp-config.php. Potete scaricare il file tramite FTP per modificarlo e caricarlo nuovamente su WordPress. In alternativa, potete usare File Manager per modificare direttamente il file.

Il file si trova nella cartella public_html. Nella parte inferiore della schermata, potete vedere wp-config.php:

Schermata con le cartelle e i file del sito tra cui anche il file wp-config.php
Individua il file wp-config.php

Aprite il file e scorrete verso il basso fino alla voce Authentication Unique Keys and Salts:

Schermata con il codice del file wp-config.php file
Cambiare le chiavi di sicurezza nel file wp-config.php

Quindi, sostituite i salt e le chiavi con i nuovi codici generati da WordPress. Tutti gli utenti che hanno effettuato il login dovranno accedere nuovamente al vostro sito. Tuttavia, i loro nomi utente e le loro password rimarranno invariati.

Quando avete finito, premete Save. Non c’è bisogno di annotare i nuovi valori perché non vi servirà più conoscerli.

6 Altri Modi per Proteggere i Vostri Accessi a WordPress

Sebbene la modifica delle chiavi di sicurezza di WordPress sia un ottimo modo per aumentare la sicurezza del vostro sito, ci sono altri modi per proteggere i vostri dati di accesso. Ecco 6 dei nostri consigli essenziali!

1. Incoraggiare a Usare Password Forti e Uniche

Va benissimo creare una password sicura. Tuttavia, è anche essenziale assicurarsi che gli altri utenti del vostro sito rispettino gli stessi standard.

Infatti, solo il 4% delle persone usa un generatore di password per creare le password aziendali, mentre il 76% delle persone sceglie le password da sé.

Questo può portare a password deboli e riutilizzate, facili da indovinare. Ancora oggi, le password più comuni trovate nelle fughe di informazioni sono “password” e “123456”. Pertanto, prendete in considerazione la creazione di password uniche e forti per proteggere il vostro sito web.

Se non usate un gestore di password, ricordate che le password più sicure sono composte da lettere minuscole e maiuscole. Inoltre, considerate l’utilizzo di caratteri speciali e numeri e cercate di rendere le password il più lunghe possibile. Vi consigliamo di evitare le parole del dizionario o le password che avete già usato in passato.

2. Usare l’Autenticazione a Due Fattori

L’autenticazione a due fattori richiede due metodi di autenticazione per accedere al vostro sito. In genere, la prima chiave è una password (come quella che usereste normalmente), mentre la seconda potrebbe essere un codice in tempo reale inviato tramite messaggio o email. Poiché i bot non possono creare la seconda chiave, l’utilizzo dell’autenticazione a due fattori è un ottimo modo per migliorare la sicurezza del cloud.

Potete impostare questo metodo di autenticazione sul vostro sito utilizzando un plugin come WP 2FA:

Banner del plugin WP 2FA two-factor authentication per WordPress
WP 2FA

WP 2FA è uno strumento flessibile che supporta diversi metodi di autenticazione come OTP via email, link email, notifiche push, autenticazione vocale, Whatsapp e altro ancora. Grazie a un semplice processo di installazione, potete abilitare immediatamente questa funzionalità sul vostro sito, sia che gestiate un negozio WooCommerce o un sito di membership.

3. Limitare i Tentativi di Accesso

Anche se gli hacker non conoscono le vostre password, potrebbero usare combinazioni note di password e nome utente per accedere al vostro sito web. Queste minacce sono note come brute force attacks (attacchi a forza bruta) e stanno diventando sempre più popolari.

Pertanto, installare un plugin che limiti i tentativi di accesso è una buona idea. Limit Login Attempts Reloaded è un’opzione eccellente:

Banner del plugin Limit Login Attempts Reloaded
Limit Login Attempts Reloaded

Questo plugin può prevenire gli attacchi brute force e ottimizzare le prestazioni del vostro sito limitando i tentativi di accesso su WordPress, WooCommerce e le pagine di accesso personalizzate. Per una maggiore tranquillità, potete anche modificare la pagina di login di WordPress per rendere più difficile agli hacker prendere il controllo del vostro sito.

4. Abilitare le Disconnessioni Automatiche

A seconda delle impostazioni, WordPress disconnette automaticamente gli utenti dal vostro sito dopo un certo periodo (di solito tra le 48 ore e i 14 giorni). Tuttavia, se lasciate la sessione aperta in una scheda, gli hacker possono impossessarsi del vostro sito attraverso i cookie del browser.

Per questo motivo, può essere utile installare un plugin che disconnetta gli utenti dal vostro sito dopo un determinato periodo di tempo. Il plugin Inactive Logout termina automaticamente le sessioni inattive degli utenti:

Banner del plugin Inactive Logout
Plugin Inactive Logout

Potete determinare il tempo di inattività e attivare un conto alla rovescia di dieci secondi per avvisare gli utenti del logout. Potete anche creare un messaggio popup personalizzato per avvisare gli utenti o reindirizzarli a una pagina di timeout. Inoltre, il plugin offre una semplice interfaccia utente (UI) ed è facile e veloce da configurare.

5. Controllare i Ruoli Utente

È importante assicurarsi che gli utenti del vostro sito web abbiano i privilegi corretti. Per esempio, può capitare che per uno scopo specifico passiate una persona dal ruolo di Editor a quello di Admin. Tuttavia, se dimenticate di revocare questo privilegio, il vostro sito sarà più vulnerabile agli attacchi perché un hacker potrà accedere a tutto entrando nell’account dell’amministratore.

Per questo vi consigliamo di revocare i permessi una volta completate le attività. Può anche essere una buona idea rivedere regolarmente i ruoli utente e verificare che questi abbiano i livelli di accesso appropriati. Se vi accorgete che alcuni utenti hanno privilegi non dovuti, potete facilmente modificarli andando su Utenti nella bacheca di WordPress.

6. Disabilitare XML-RPC

XML-RPC è una funzione di WordPress che vi permette di pubblicare contenuti in remoto. Sebbene sia una funzione sicura, può essere utilizzata dagli hacker per forzare l’accesso al vostro sito.

Pertanto, se non avete bisogno di questa funzione, è meglio disabilitare XML-RPC per rendere il vostro sito più sicuro. Potete farlo con un plugin o modificando il vostro file .htaccess.

Riepilogo

Cambiare le chiavi di sicurezza di WordPress è un ottimo modo per proteggere i vostri dati di accesso. Potete farlo in modo semplice usando un plugin o modificando i file del vostro sito. In questo modo, potrete rendere quasi impossibile l’accesso al vostro sito web da parte degli hacker.

Il modo più semplice per modificare le chiavi di sicurezza è un plugin dedicato come Salt Shaker. Tuttavia, potete anche usare un plugin di sicurezza generale come Sucuri. Questo strumento include altre utili funzioni, come la scansione del malware e i firewall. Infine, potete anche cambiare le chiavi manualmente modificando il file wp-config.php.

Potete anche migliorare la sicurezza del vostro sito web scegliendo un hosting WordPress sicuro. Su Kinsta usiamo due potenti firewall per proteggere il vostro sito. Inoltre, forniamo l’accesso SSH gratuito, l’installazione di un certificato SSL con un solo clic e un team dedicato al malware. Date un’occhiata ai nostri piani oggi stesso per iniziare!