Cerca

WordPress e le chiavi di sicurezza

Sicurezza WordPress installate chiavi uniche di autenticazione
Sicurezza WordPress installate chiavi uniche di autenticazione

Sicurezza WordPress installate chiavi univoche di autenticazione

Quando si installa WordPress, i più effettuano la classica procedura veloce da web, tipica del CMS, due minuti e via il dolore. Poi subito a installare temi e plugin.

In questo modo si ignora uni dei principali strumenti di sicurezza che WordPress mette a disposizione fin da subito, dall’installazione: le chiavi univoche di autenticazione.

Authentication Unique Keys and Salts

Le chiavi univoche di autenticazione e salatura, per dirla come sono scritte in italiano, sono un sistema di criptazione utilizzato per le password, i cookies e altri momenti della vita di WordPress, ma al momento dell’installazione non sono configurate.

Vediamo come impostarle, e rendere wordPress più sicuro, in meno di 1 minuto.

Le chiavi in questione si trovano nel file di configurazione di WordPress wp-config.php, e precisamente in questo punto

/**#@+
 * Chiavi Univoche di Autenticazione e di Salatura.
 *
 * Modificarle con frasi univoche differenti!
 * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org}
 * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

/**#@-*/

La parte che ci interessa, è la serie di righe che inizia con “define(‘…“, tutte le altre righe sono solo commenti, ma sono molto importanti perché ci indicano il link per generare le chiavi univoche di autenticazione di WordPress.

Una volta generate (basta solo aprire la pagina), basta copiarle e incollarle nel file di configurazione, che dovrebbe alla fine risultar euna cosa che somiglia a questa:

/**#@+
 * Chiavi Univoche di Autenticazione e di Salatura.
 *
 * Modificarle con frasi univoche differenti!
 * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org}
 * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         '%29dwTWejH[8b.Pdh !/7Y.f,Q%GbCz$lAHlA yT_)zzdcPe8.qwx!#oNqd@%=I-');
define('SECURE_AUTH_KEY',  'uQ=1<_m]1TvFHbv+e$pkUp-G|)!.^J!GEJf>9-LG$;Y6m$|:0|[9h-eKeP~oUAEC');
define('LOGGED_IN_KEY',    'r&)6N]`$:|zk4>!%V}vQ&Yjm@${j23r/N.`5m>=A)YQ1Lu+qg9tud<*`6TpY|aQ1');
define('NONCE_KEY',        '3Q,*=s+ N$3uKQP(:|Xk(s%$pQv!N:l`u7c_UKpK:JNVc9u9}gU+y6-Nrl-8Q6w=');
define('AUTH_SALT',        'R!D|-IZf*|/eilZN83Cl8/`p`A__KJliS@{xRB5,8>7=?-K1>w@/cl;oi)Wuko>B');
define('SECURE_AUTH_SALT', '~*1|o+59a/w(AY;jgOS{;eUbV:t-&()hkt%+CZE^1Up33V?6^Dl;51eD,YNJJ7v(');
define('LOGGED_IN_SALT',   '?[ /$zxBU+G_l+UI.M|e|IW`V@Cr,vwHOw&-H1+Q4y{PHe|Z?D!oS;||wO4xQmGT');
define('NONCE_SALT',       'X(I|*lbV!I;b78vhubY8PDZZ}D@H^ZOVXlJ~!m${Xqm )S4-m~IMd]9fe->}c.9h');

/**#@-*/

Ecco fatto, da questo momento WordPress è più sicuro.

Un piccolo barbatrucco

Le chiavi univoche di autenticazione potrebbero tornare utili anche in altre situazioni.
Ad esempio, potrebbe succedere di aver bisogno di fare un reset di tutti i coockies attivi sul blog, o di scollegare tutti gli utenti attivi.

Basta sostituire le chiavi univoche di autenticazione, ed all’istante chiunque stia navigando sul blog si ritrova con i cookies (del solo blog ovviamente), e chiunque sia autenticato all’interno di WordPress viene sbattuto fuori, e costretto ad autenticarsi nuovamente.

Condividi se ti è piaciuto!

Altri articoli che potrebbero interessarti:

Picture of Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

DAI IL TUO CONTRIBUTO

Se il mio lavoro ti è stato di aiuto, contribuisci alla continuità di questo sito.
Basta una piccola donazione su PayPal, una pizza e una birra alla tua salute!

4 risposte

  1. Ciao Roberto, grazie per l’articolo.
    Vorrei chiederti un ‘barbatrucco’ per costringere gli utenti di un sito wordpress a cambiare password.
    Grazie
    Salvatore-

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.