WordPress e le chiavi di sicurezza

ATTENZIONE: questo articolo è più vecchio di un anno, e potrebbe non essere più attuale, sei pregato di tenerne conto.

Sicurezza WordPress installate chiavi univoche di autenticazione

Quando si installa WordPress, i più effettuano la classica procedura veloce da web, tipica del CMS, due minuti e via il dolore. Poi subito a installare temi e plugin.

In questo modo si ignora uni dei principali strumenti di sicurezza che WordPress mette a disposizione fin da subito, dall’installazione: le chiavi univoche di autenticazione.

Authentication Unique Keys and Salts

Le chiavi univoche di autenticazione e salatura, per dirla come sono scritte in italiano, sono un sistema di criptazione utilizzato per le password, i cookies e altri momenti della vita di WordPress, ma al momento dell’installazione non sono configurate.

Vediamo come impostarle, e rendere wordPress più sicuro, in meno di 1 minuto.

Le chiavi in questione si trovano nel file di configurazione di WordPress wp-config.php, e precisamente in questo punto

/**#@+
 * Chiavi Univoche di Autenticazione e di Salatura.
 *
 * Modificarle con frasi univoche differenti!
 * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org}
 * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

/**#@-*/

La parte che ci interessa, è la serie di righe che inizia con “define(‘…“, tutte le altre righe sono solo commenti, ma sono molto importanti perché ci indicano il link per generare le chiavi univoche di autenticazione di WordPress.

Una volta generate (basta solo aprire la pagina), basta copiarle e incollarle nel file di configurazione, che dovrebbe alla fine risultar euna cosa che somiglia a questa:

/**#@+
 * Chiavi Univoche di Autenticazione e di Salatura.
 *
 * Modificarle con frasi univoche differenti!
 * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org}
 * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         '%29dwTWejH[8b.Pdh !/7Y.f,Q%GbCz$lAHlA yT_)zzdcPe8.qwx!#oNqd@%=I-');
define('SECURE_AUTH_KEY',  'uQ=1<_m]1TvFHbv+e$pkUp-G|)!.^J!GEJf>9-LG$;Y6m$|:0|[9h-eKeP~oUAEC');
define('LOGGED_IN_KEY',    'r&)6N]`$:|zk4>!%V}vQ&Yjm@${j23r/N.`5m>=A)YQ1Lu+qg9tud<*`6TpY|aQ1');
define('NONCE_KEY',        '3Q,*=s+ N$3uKQP(:|Xk(s%$pQv!N:l`u7c_UKpK:JNVc9u9}gU+y6-Nrl-8Q6w=');
define('AUTH_SALT',        'R!D|-IZf*|/eilZN83Cl8/`p`A__KJliS@{xRB5,8>7=?-K1>w@/cl;oi)Wuko>B');
define('SECURE_AUTH_SALT', '~*1|o+59a/w(AY;jgOS{;eUbV:t-&()hkt%+CZE^1Up33V?6^Dl;51eD,YNJJ7v(');
define('LOGGED_IN_SALT',   '?[ /$zxBU+G_l+UI.M|e|IW`V@Cr,vwHOw&-H1+Q4y{PHe|Z?D!oS;||wO4xQmGT');
define('NONCE_SALT',       'X(I|*lbV!I;b78vhubY8PDZZ}D@H^ZOVXlJ~!m${Xqm )S4-m~IMd]9fe->}c.9h');

/**#@-*/

Ecco fatto, da questo momento WordPress è più sicuro.

Un piccolo barbatrucco

Le chiavi univoche di autenticazione potrebbero tornare utili anche in altre situazioni.
Ad esempio, potrebbe succedere di aver bisogno di fare un reset di tutti i coockies attivi sul blog, o di scollegare tutti gli utenti attivi.

Basta sostituire le chiavi univoche di autenticazione, ed all’istante chiunque stia navigando sul blog si ritrova con i cookies (del solo blog ovviamente), e chiunque sia autenticato all’interno di WordPress viene sbattuto fuori, e costretto ad autenticarsi nuovamente.

Che ne pensi?
Domande? Suggerimenti?
Lascia un commento…

Condividi se ti è piaciuto!

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Maggori informazioni:

Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

CONTRIBUISCI A QUESTO SITO
Se il mio lavoro ti è stato di aiuto,
e vuoi che io continui a publbicare,
contribuisci allo sviluppo di questo sito
con una donazione su PayPal.

4 commenti su “WordPress e le chiavi di sicurezza”

  1. Ciao Roberto, grazie per l’articolo.
    Vorrei chiederti un ‘barbatrucco’ per costringere gli utenti di un sito wordpress a cambiare password.
    Grazie
    Salvatore-

  2. Pingback: √ Aggiornare WordPress manualmente | Roberto Rota

  3. Pingback: √ Consigli per installare WordPress in sicurezza | Roberto Rota

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cerca nel sito:

Assistenza specializzata WordPress e WooCommerce

Altri articoli

Mandami un messaggio

Ciao, come posso aiutarti?