WordPress e le chiavi di sicurezza

ATTENZIONE: questo articolo è stato scritto oltre un anno fa, ed i contenuti potrebbero non essere più validi o compatibili. Sei pregato di tenerne conto, e se hai informazioni in merito di segnalarmele, grazie.

Sicurezza WordPress installate chiavi univoche di autenticazione

Quando si installa WordPress, i più effettuano la classica procedura veloce da web, tipica del CMS, due minuti e via il dolore. Poi subito a installare temi e plugin.

In questo modo si ignora uni dei principali strumenti di sicurezza che WordPress mette a disposizione fin da subito, dall’installazione: le chiavi univoche di autenticazione.

Authentication Unique Keys and Salts

Le chiavi univoche di autenticazione e salatura, per dirla come sono scritte in italiano, sono un sistema di criptazione utilizzato per le password, i cookies e altri momenti della vita di WordPress, ma al momento dell’installazione non sono configurate.

Vediamo come impostarle, e rendere wordPress più sicuro, in meno di 1 minuto.

Le chiavi in questione si trovano nel file di configurazione di WordPress wp-config.php, e precisamente in questo punto

/**#@+
 * Chiavi Univoche di Autenticazione e di Salatura.
 *
 * Modificarle con frasi univoche differenti!
 * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org}
 * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

/**#@-*/

La parte che ci interessa, è la serie di righe che inizia con “define(‘…“, tutte le altre righe sono solo commenti, ma sono molto importanti perché ci indicano il link per generare le chiavi univoche di autenticazione di WordPress.

Una volta generate (basta solo aprire la pagina), basta copiarle e incollarle nel file di configurazione, che dovrebbe alla fine risultar euna cosa che somiglia a questa:

/**#@+
 * Chiavi Univoche di Autenticazione e di Salatura.
 *
 * Modificarle con frasi univoche differenti!
 * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org}
 * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         '%29dwTWejH[8b.Pdh !/7Y.f,Q%GbCz$lAHlA yT_)zzdcPe8.qwx!#oNqd@%=I-');
define('SECURE_AUTH_KEY',  'uQ=1<_m]1TvFHbv+e$pkUp-G|)!.^J!GEJf>9-LG$;Y6m$|:0|[9h-eKeP~oUAEC');
define('LOGGED_IN_KEY',    'r&)6N]`$:|zk4>!%V}vQ&Yjm@${j23r/N.`5m>=A)YQ1Lu+qg9tud<*`6TpY|aQ1');
define('NONCE_KEY',        '3Q,*=s+ N$3uKQP(:|Xk(s%$pQv!N:l`u7c_UKpK:JNVc9u9}gU+y6-Nrl-8Q6w=');
define('AUTH_SALT',        'R!D|-IZf*|/eilZN83Cl8/`p`A__KJliS@{xRB5,8>7=?-K1>w@/cl;oi)Wuko>B');
define('SECURE_AUTH_SALT', '~*1|o+59a/w(AY;jgOS{;eUbV:t-&()hkt%+CZE^1Up33V?6^Dl;51eD,YNJJ7v(');
define('LOGGED_IN_SALT',   '?[ /$zxBU+G_l+UI.M|e|IW`V@Cr,vwHOw&-H1+Q4y{PHe|Z?D!oS;||wO4xQmGT');
define('NONCE_SALT',       'X(I|*lbV!I;b78vhubY8PDZZ}D@H^ZOVXlJ~!m${Xqm )S4-m~IMd]9fe->}c.9h');

/**#@-*/

Ecco fatto, da questo momento WordPress è più sicuro.

Un piccolo barbatrucco

Le chiavi univoche di autenticazione potrebbero tornare utili anche in altre situazioni.
Ad esempio, potrebbe succedere di aver bisogno di fare un reset di tutti i coockies attivi sul blog, o di scollegare tutti gli utenti attivi.

Basta sostituire le chiavi univoche di autenticazione, ed all’istante chiunque stia navigando sul blog si ritrova con i cookies (del solo blog ovviamente), e chiunque sia autenticato all’interno di WordPress viene sbattuto fuori, e costretto ad autenticarsi nuovamente.

Tags: , , ,

4 Risposte a “WordPress e le chiavi di sicurezza”

  1. salvatore 29 Ott 2013 at 20:50 #

    Ciao Roberto, grazie per l’articolo.
    Vorrei chiederti un ‘barbatrucco’ per costringere gli utenti di un sito wordpress a cambiare password.
    Grazie
    Salvatore-

Trackbacks/Pingbacks

  1. √ Consigli per installare WordPress in sicurezza | Roberto Rota - 12 Lug 2013

    […] Univoche di Autenticazione e di Salatura” in italiano) e seguire le istruzioni per installare le chiavi univoche di autenticazione al posto indicato, è un semplice copia/incolla di 8 […]

  2. √ Aggiornare WordPress manualmente | Roberto Rota - 26 Ott 2013

    […] Sostituire le chiavi di sicurezza di WordPress nel file wp-config.php […]

Dubbi o suggerimenti? Lascia un commento!

I love Instagram