As chaves de segurança do WordPress são protocolos de criptografia que protegem suas informações de login. Eles dificultam o acesso de hackers ao seu site. Embora você possa tornar o seu site mais seguro alterando regularmente essas chaves de segurança, isso pode parecer complicado de fazer.
Felizmente, existem três maneiras fáceis de alterar sua chave de segurança do WordPress. Melhor ainda, existe um método para cada nível de usuário, do iniciante ao especialista completo em WordPress. Seguindo este guia, você pode tornar seu site mais resistente a ameaças de segurança.
Neste artigo, veremos mais de perto as chaves de segurança do WordPress. Também discutiremos por que você pode querer atualizar sua chave de segurança e mostraremos três maneiras fáceis de fazer isso. Vamos começar!
Uma introdução às chaves de segurança do WordPress
As chaves de segurança do WordPress são ferramentas de criptografia que protegem suas informações de login. Elas funcionam bloqueando e desbloqueando suas senhas e outros detalhes. Desta forma, suas informações são difíceis para os hackers decodificarem, ajudando a prevenir fraudes e outros golpes em seu site.
Quando você faz login em seu site WordPress, os cookies armazenam suas informações de login em seu computador. É por isso que você não precisa fazer login toda vez que recarregar sua página ou visitar seu site novamente.
Todas essas informações são armazenadas em uma forma criptografada (gerada pelo WordPress) usando strings aleatórias de caracteres. Como resultado, suas credenciais são impossíveis de se distinguir dos caracteres, tornando difíceis de serem roubados.
As chaves são geradas automaticamente pelo WordPress e armazenadas em seu arquivo wp-config.php. Há quatro chaves de segurança no total:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONE_KEY
Cada chave de segurança tem um salt WordPress correspondente. Os sais são ferramentas criptográficas que ajudam a proteger as informações em seus cookies. Como as chaves, os sais também são armazenados no arquivo wp-config.php:
- AUTH_SALT
- SEGURO_AUTH_SALT
- LOGGED_IN_SALT
- NONE_SALT
Juntos, chaves e sais de segurança WordPress armazenam suas informações com segurança e autenticam senhas em seu site.
A diferença entre as chaves de segurança do WordPress e os sais
As chaves de segurança do WordPress são quase equivalentes a senhas. Elas podem criptografar uma mensagem usando caracteres alfanuméricos e especiais. Então, você usa a mesma chave para descriptografar as informações de volta para texto simples.
Um sal é adicionado à criptografia para tornar a engenharia reversa de senhas mais difícil. Eles, portanto, fornecem uma camada adicional de segurança.
Em geral, os sais e chaves de segurança do WordPress são semelhantes e nenhum dos protocolos torna seu site vulnerável a ameaças de segurança. Não é incomum que sites WordPress sejam invadidos, especialmente se você estiver usando senhas regulares de dificuldade média. No entanto, quebrar strings aleatórias é quase impossível.
Quando mudar suas chaves de segurança do WordPress
Como as chaves de segurança do WordPress são geradas pelo WordPress, você normalmente não precisa se preocupar com elas. No entanto, há alguns cenários onde faz sentido mudar suas chaves de segurança:
- Um ator malicioso pode ter visto ou acessado o arquivo wp-config.php do seu site (incluindo um backup local).
- O seu site foi infectado por malware.
- Você prefere mudar regularmente suas senhas para dificultar a entrada de hackers no seu site. Você pode escolher fazer isso a cada seis meses ou mais.
Se você encontrar malware no seu site, o primeiro passo é verificar o seu site para eliminar o malware. No entanto, idealmente, você teria uma ferramenta que detecta e resolve os problemas antes que eles se tornem muito problemáticos.
Kinsta APM é uma ferramenta de monitoramento de desempenho construída especificamente para WordPress. Isso permite identificar problemas no site e corrigi-los rapidamente.
Por exemplo, você receberá informações com carimbo de data/hora sobre questões como chamadas API longas, consultas lentas a bancos de dados e código não otimizado. Melhor ainda, o Kinsta APM vem integrado gratuitamente em todos os nossos planos de hospedagem.
Como mudar as chaves de segurança do WordPress (3 métodos)
Agora que você sabe mais sobre as chaves de segurança do WordPress, vamos olhar para três maneiras simples de mudá-las!
1. Use um plugin dedicado
A maneira mais fácil de mudar suas chaves de segurança do WordPress é usar um plugin de qualidade. O plugin Salt Shaker foi projetado exatamente para este propósito:
Além disso, você pode usar o Salt Shaker para configurar programações automatizadas para mudanças de chave e sal. Você pode facilmente definir e esquecer senhas, sabendo que a ferramenta irá cuidar do resto.
Para começar, tudo o que você precisa fazer é instalar e ativar o plugin no WordPress. Então, navegue até Tools > Salt Shaker:
Aqui, você pode definir um horário para mudar suas chaves de segurança e sais regularmente. Você também pode clicar em Change Now para atualizar os valores instantaneamente.
2. Utilize um plugin de segurança
Os plugins de segurança são úteis uma vez que eles normalmente automatizam muitas tarefas de segurança, tais como backups e atualizações. Enquanto isso, dependendo do seu provedor, você geralmente pode se beneficiar de medidas de segurança adicionais, tais como firewalls e varreduras de malware.
Sucuri Security é uma excelente escolha, especializada em segurança WordPress. É gratuito e oferece um conjunto de recursos de segurança, incluindo verificação remota de malware, auditoria de atividades de segurança e ações de segurança pós-hack:
Outra grande opção é o Wordfence Security que tem mais de quatro milhões de instalações, especializada em firewall e verificação de malware. Se você não tem certeza de qual plugin de segurança WordPress usar, você pode conferir nosso artigo: Sucuri vs. Wordfence.
Mostrarei como alterar sua chave de segurança do WordPress usando o Sucuri. Primeiro, instale e ative o plugin. Em seguida, vá para Sucuri Security > Settings e mude para a aba Post-Hack.
A seguir, role para baixo e clique em Generate New Security Keys:
Você também pode definir um cronograma para atualizar suas chaves. Simplesmente use o menu suspenso para selecionar o cronograma mais apropriado para o seu site. Então, clique em Submit
3. Altere suas chaves de segurança do WordPress manualmente
Você pode alterar manualmente sua chave de segurança. No entanto, é necessário acessar os arquivos do seu site. Você precisa editar arquivos principais importantes, portanto, poder editar com confiança é importante. Para iniciantes, os dois métodos anteriores podem ser mais adequados.
Para usar este método, você precisará obter novas chaves de segurança e valores de sal do gerador de chaves secretas do WordPress:
Faça backup do seu site caso algo dê errado. Também ajuda a criar um ambiente de teste. Isso pode ser feito usando o complemento de ambiente de teste premium. Isso essencialmente cria uma réplica do seu site onde você pode testar novos softwares com segurança e fazer atualizações sem se preocupar em quebrar seu site.
A seguir, você precisa encontrar e editar o arquivo wp-config.php . Você pode fazer o download do arquivo via FTP para editar e re-enviar o arquivo para o WordPress. Alternativamente, você pode usar o Gerenciador de Arquivos para editar o arquivo diretamente.
Você pode encontrar o arquivo em sua pasta public_html. Na parte inferior da captura de tela, você pode ver wp-config.php:
Abra o arquivo e role para baixo até ver Authentication Unique Keys and Salts:
Em seguida, basta substituir o sal e a chave pelo novo código gerado pelo WordPress. Todos os usuários logados devem retornar à página. No entanto, o nome de usuário e a senha permanecem os mesmos. Quando terminar, toque em Salvar. Não há necessidade de anotar esses novos valores porque você não precisa conhecê-los novamente.
Quando você terminar, clique em Salvar. Não há necessidade de escrever estes novos valores já que você não precisará conhecê-los novamente.
6 outras maneiras de proteger seu login do WordPress
Embora mudar suas chaves de segurança do WordPress seja uma ótima maneira de aumentar a segurança em seu site, existem outras maneiras de proteger suas informações de login. Aqui estão seis de nossas dicas essenciais!
1. Recomendamos senhas fortes e exclusivas
Embora a mudança das chaves de segurança do WordPress seja uma ótima maneira de aumentar a segurança do seu site, existem outras maneiras de proteger seus dados de acesso. Aqui estão 6 das nossas dicas essenciais!
Na verdade, apenas 4% das pessoas usam um gerador de senhas para criar senhas corporativas, com 76% das pessoas escolhendo senhas para si mesmas.
Isso pode levar a senhas fracas, reutilizadas e fáceis de adivinhar. Ainda hoje, as senhas mais comuns encontradas nos vazamentos são “senha” e “123456”. Portanto, considere criar uma senha forte e exclusiva para proteger seu site.
Se você não usa um gerenciador de senhas, tenha em mente que as senhas mais seguras consistem de letras minúsculas e maiúsculas. Além disso, considere o uso de caracteres especiais e números, e tenha como objetivo fazer senhas o maior tempo possível. Recomendamos que você não use palavras de dicionário ou senhas que você já tenha usado antes.
2. Use a autenticação de dois fatores
A autenticação de dois fatores requer dois métodos de autenticação para acessar o seu site. Tipicamente, a primeira chave é uma senha (como você normalmente usaria), e a segunda pode ser um código em tempo real enviado por mensagem ou e-mail. Como os bots não podem criar a segunda chave, usar a autenticação de dois fatores é uma ótima maneira de melhorar a segurança na nuvem.
Você pode configurar este método de autenticação em seu site usando um plugin como o WP 2FA:
WP 2FA é uma ferramenta flexível que suporta múltiplos métodos de autenticação, tais como OTP de e-mail, links de e-mail, notificações push, autenticação de voz, WhatsApp e muito mais. Com um simples processo de instalação, você pode habilitar instantaneamente esta funcionalidade em seu site, quer você execute uma loja WooCommerce ou mesmo um site de membros.
3. Limite as tentativas de login
Mesmo que os hackers não saibam suas senhas, eles ainda podem forçar a entrada em seu site usando combinações conhecidas de nome de usuário e senha. Estes ataques conhecidos como ataques de força bruta estão se tornando cada vez mais populares.
Portanto, recomendamos a instalação de um plugin que limite as tentativas de login. Limit Login Attempts Reloaded é uma boa opção.
Este plugin pode prevenir ataques de força bruta e otimizar o desempenho do seu site limitando as tentativas de login através do WordPress, WooCommerce, e páginas de login personalizadas. Para maior tranquilidade, você também pode mudar sua página de login do WordPress para dificultar que hackers assumam o controle do seu site.
4. Possibilitando logout automáticas
Dependendo de suas configurações, o WordPress automaticamente fará o logout dos usuários após um certo período (geralmente entre 48 horas e 14 dias). No entanto, se você deixar sua sessão aberta em uma aba, os hackers podem tomar conta do seu site através dos cookies em seu navegador.
É por isso que pode ser útil instalar um plugin que irá logar os usuários fora do seu site após um determinado período de tempo. O Inactive Logout encerra automaticamente as sessões de usuários ociosos:
Você pode determinar o tempo de inatividade e habilitar uma contagem regressiva de dez segundos para alertar os usuários sobre o logout. Você também pode criar uma mensagem popup personalizada para notificar os usuários ou redirecioná-los para uma página de timeout. Melhor ainda, o plugin fornece uma interface de usuário (IU) simples e é rápido e fácil de configurar.
5. Verifique as funções do usuário
É importante assegurar que os usuários do seu site tenham os privilégios corretos. Por exemplo, pode haver momentos em que você atualiza um Editor para um papel de Administrador para um propósito específico. Entretanto, se você esquecer de rescindir este privilégio, seu site é mais vulnerável a ataques, uma vez que um hacker pode acessar tudo invadindo a conta do Administrador.
Portanto, recomendamos que você revogue as permissões assim que a tarefa for concluída. Também recomendamos que você revise periodicamente as funções do usuário para garantir que os usuários tenham o nível de acesso apropriado. Se você descobrir que alguns usuários têm permissões inválidas, poderá alterá-los facilmente acessando Usuários no painel do WordPress.
6. Desative o XML-RPC
XML-RPC é um recurso do WordPress que permite publicar conteúdo remotamente. Embora esse seja um recurso seguro, ele também pode ser usado por hackers para acesso de força bruta a sites.
Portanto, se você não precisa do recurso, é melhor desativar o XML-RPC para tornar o seu site mais seguro. Você pode fazer isso com um plugin ou editando seu arquivo .htaccess .
Resumo
Mudar suas chaves de segurança do WordPress é uma ótima maneira de proteger seus dados de login. Felizmente, é fácil fazer isso usando um plugin ou ajustando os arquivos do seu site. Então, você pode tornar quase impossível o acesso de hackers ao seu site.
A maneira mais fácil de mudar suas chaves de segurança é com um plugin dedicado como o Salt Shaker. No entanto, você também pode utilizar um plugin de segurança geral como o Sucuri. Esta ferramenta inclui outros recursos úteis, tais como varredura de malware e firewalls. Finalmente, você também pode mudar suas chaves manualmente editando seu arquivo wp-config.php .
Você também pode melhorar a segurança do seu site escolhendo uma hospedagem WordPress segura. Na Kinsta, usamos dois poderosos firewalls para proteger o seu site. Além disso, fornecemos acesso SSH gratuito, instalação de certificados SSL com um clique e uma equipe dedicada para malware. Confira nossos planos hoje para começar!
