Ad un livello elevato, i salts di WordPress offrono un modo per proteggere il vostro sito WordPress aiutandovi ad archiviare e autenticare in modo sicuro le password degli utenti sul vostro sito.

In questo articolo imparerete:

Cosa sono i WordPress Salts? Scopriamolo nel Dettaglio

I salt di WordPress, insieme alle chiavi di sicurezza associate, sono uno strumento crittografico che aiuta a proteggere l’accesso al vostro sito WordPress.

In particolare, sali e chiavi di sicurezza proteggono le informazioni nei cookie utilizzati da WordPress per farvi accedere.

Una volta effettuato l’accesso a WordPress, avete la possibilità di rimanere connessi in modo da non dover inserire il nome utente e la password ogni volta. A tale scopo, WordPress salva le informazioni di accesso nei cookie, invece di utilizzare le sessioni PHP.

È super conveniente per gli utenti, ma ha il potenziale per creare un problema di sicurezza se qualcuno fosse in grado di dirottare i cookie del browser.

Per evitarlo, WordPress utilizza sali e chiavi di sicurezza per proteggere le informazioni di accesso in modo che soggetti malintenzionati non possano farci nulla. Pensate a quelle specie di password “extra” per il vostro sito che sono quasi impossibili da indovinare per un attore malintenzionato.

Data la loro importanza, non dovreste mai condividere con nessuno i vostri salt di WordPress e le rispettive chiavi di sicurezza.

Dove si Trovano i Salt di WordPress?

WordPress viene fornito di default con i propri salt e con le chiavi di sicurezza. Si trovano nel file wp-config.php del vostro sito. Dovreste vedere otto chiavi in totale:

  • Le prime quattro voci sono le vostre chiavi di sicurezza.
  • Le successive quattro voci sono i vostri salt di WordPress.
Esempio di salts nel file wp-config.php
Esempio di salts nel file wp-config.php

Come Funzionano i Salt di WordPress?

Diciamo che la vostra password di WordPress è “mypassword” (questa è una password terribile ma si adatta ai nostri scopi).

Per accedere, inserite nome utente e password. WordPress memorizza tali informazioni in due cookie del browser in modo che possiate rimanere connessi (anche queste informazioni vengono archiviate nel database del vostro sito).

Tuttavia, se WordPress memorizza la vostra password in questo modo – “mypassword” – allora è proprio lì all’aperto e può essere visto da attori malintenzionati. Questo è quando si memorizza la password in testo piano ed è una cosa da non fare assolutamente per ragioni di sicurezza.

Le chiavi e i sali di sicurezza evitano questo problema lavorando insieme per crittografare quella password in chiaro in un miscuglio casuale di caratteri che è impossibile decodificare senza accedere a chiavi e sali.

Quindi, anche se avete inserito “mypassword”, WordPress trasformerà la vostra password in qualcosa come “hsd78q34%7832$4jkhkjsfd78782^^429nsdf” per l’archiviazione.

A meno che qualcuno non abbia accesso ai vostri salt e alle vostre chiavi di sicurezza, sarebbe impossibile tradurre quel miscuglio casuale di caratteri nella vostra vera password.

Bisogna Modificare i Salt e le Chiavi di Sicurezza di WordPress?

Di default, le nuove installazioni di WordPress vengono fornite con il proprio set di chiavi e sali, quindi il vostro sito WordPress è già sicuro, e non è necessaria alcuna azione da parte vostra.

Tuttavia, ci sono alcuni motivi che possono far pensare di cambiare periodicamente sali e chiavi.

Il concetto di base è che, cambiando periodicamente chiavi e sali, rendete ancora più difficile per un attore malintenzionato mettere le mani sui vostri salt.

Inoltre, la modifica dei salt disconnetterà automaticamente tutti gli utenti che hanno effettuato l’accesso al vostro sito e li costringerà ad accedere nuovamente, il che rappresenta un altro potenziale vantaggio. Ad esempio, se si accede accidentalmente da un computer pubblico e ci si dimentica di disconnettersi, ciò consentirebbe di forzare la disconnessione da quell’account ed assicurarsi che nessun altro possa accedervi.

Come Modificare i Salt di WordPress (Due Metodi)

Se volete cambiare i salt di WordPress, avete due opzioni principali:

Ecco come come procedere in base ad entrambi gli approcci:

Come Modificare Manualmente i Salt di WordPress

Per modificare manualmente i salt del vostro sito, dovrete connettervi al server via FTP e modificare il vostro file wp-config.php. Se non siete sicuri di come fare, date un’occhiata a questo articolo su come utilizzare SFTP su Kinsta.

Una volta connessi, andate al generatore ufficiale di salt di WordPress.org. Questa pagina genererà casualmente sali e chiavi di sicurezza per voi, proprio come avete visto sopra. Dovrebbe generare le quattro chiavi di sicurezza più quattro salt (otto in totale):

WordPress.org può aiutarvi a generare nuove chiavi e nuovi salts
WordPress.org può aiutarvi a generare nuove chiavi e nuovi salts

Una volta fatto, eliminate le chiavi esistenti nel vostro file wp-config.php e sostituitele incollando le chiavi dal generatore di salt di WordPress.org:

Come cambiare i salts in wp-config.php
Come cambiare i salts in wp-config.php

Una volta finito, dovrebbe apparire esattamente come prima – l’unica differenza è che le stringhe di caratteri casuali saranno diverse.

Salvate le modifiche e ricaricate il vostro file wp-config.php se necessario.

Come Cambiare i Salt di WordPress con un Plugin

In alternativa al metodo manuale descritto sopra, per modificare i sali del vostro sito potete anche utilizzare un plugin.

Il plugin Salt Shaker è una popolare opzione gratuita che ha un vantaggio rispetto al metodo manuale:

Potete configurarlo in modo da cambiare automaticamente i vostri salt secondo il programma che avete definito. In alternativa, potete anche utilizzarlo per modificare manualmente i sali.

Una volta installato e attivato il plugin, andate su Strumenti → Salt Shaker.

Se volete modificare manualmente i sali immediatamente, fate clic sul pulsante Change Now.

In alternativa, potete anche utilizzare la funzionalità Scheduled Change per modificare automaticamente i vostri sali ad una delle seguenti scadenze:

  • Daily
  • Weekly
  • Monthly
  • Quarterly (ogni tre mesi)
  • Biannually (ogni sei mesi)
Come utilizzare il plugin Salt Shaker
Come utilizzare il plugin Salt Shaker

Anche alcuni plugin di sicurezza di WordPress, in particolare iThemes Security, includono funzionalità che semplificano la modifica dei sali di WordPress.

Riepilogo

I salt e le chiavi di sicurezza di WordPress vi aiutano a proteggere la procedura di accesso ai vostri siti e i cookie utilizzati da WordPress per autenticare gli utenti.

Di default, il vostro sito viene fornito con il proprio set di sali e chiavi, quindi non è necessario impostare nulla per sfruttare i sali.

Ma ci sono benefici nella sicurezza nel cambiare periodicamente i vostri sali per rendere ancora più difficile l’accesso ad eventuali attori malintenzionati.

Per cambiare i vostri sali, potete utilizzare il generatore di sali di WordPress.org e modificare manualmente il vostro file wp-config.php, oppure potete utilizzare un plugin gratuito come Salt Shaker.