Quando si installa WordPress, i più effettuano la classica procedura veloce da web, tipica del CMS, due minuti e via il dolore. Poi subito a installare temi e plugin.
In questo modo si ignora uni dei principali strumenti di sicurezza che WordPress mette a disposizione fin da subito, dall’installazione: le chiavi univoche di autenticazione.
Authentication Unique Keys and Salts
Le chiavi univoche di autenticazione e salatura, per dirla come sono scritte in italiano, sono un sistema di criptazione utilizzato per le password, i cookies e altri momenti della vita di WordPress, ma al momento dell’installazione non sono configurate.
Vediamo come impostarle, e rendere wordPress più sicuro, in meno di 1 minuto.
Le chiavi in questione si trovano nel file di configurazione di WordPress wp-config.php, e precisamente in questo punto
/**#@+ * Chiavi Univoche di Autenticazione e di Salatura. * * Modificarle con frasi univoche differenti! * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org} * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login. * * @since 2.6.0 */ define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here'); /**#@-*/
La parte che ci interessa, è la serie di righe che inizia con “define(‘…“, tutte le altre righe sono solo commenti, ma sono molto importanti perché ci indicano il link per generare le chiavi univoche di autenticazione di WordPress.
Una volta generate (basta solo aprire la pagina), basta copiarle e incollarle nel file di configurazione, che dovrebbe alla fine risultar euna cosa che somiglia a questa:
/**#@+ * Chiavi Univoche di Autenticazione e di Salatura. * * Modificarle con frasi univoche differenti! * E' possibile generare tali chiavi utilizzando {@link https://api.wordpress.org/secret-key/1.1/salt/ servizio di chiavi-segrete di WordPress.org} * E' possibile cambiare queste chiavi in qualsiasi momento, per invalidare tuttii cookie esistenti. Ciò forzerà tutti gli utenti ad effettuare nuovamente il login. * * @since 2.6.0 */ define('AUTH_KEY', '%29dwTWejH[8b.Pdh !/7Y.f,Q%GbCz$lAHlA yT_)zzdcPe8.qwx!#oNqd@%=I-'); define('SECURE_AUTH_KEY', 'uQ=1<_m]1TvFHbv+e$pkUp-G|)!.^J!GEJf>9-LG$;Y6m$|:0|[9h-eKeP~oUAEC'); define('LOGGED_IN_KEY', 'r&)6N]`$:|zk4>!%V}vQ&Yjm@${j23r/N.`5m>=A)YQ1Lu+qg9tud<*`6TpY|aQ1'); define('NONCE_KEY', '3Q,*=s+ N$3uKQP(:|Xk(s%$pQv!N:l`u7c_UKpK:JNVc9u9}gU+y6-Nrl-8Q6w='); define('AUTH_SALT', 'R!D|-IZf*|/eilZN83Cl8/`p`A__KJliS@{xRB5,8>7=?-K1>w@/cl;oi)Wuko>B'); define('SECURE_AUTH_SALT', '~*1|o+59a/w(AY;jgOS{;eUbV:t-&()hkt%+CZE^1Up33V?6^Dl;51eD,YNJJ7v('); define('LOGGED_IN_SALT', '?[ /$zxBU+G_l+UI.M|e|IW`V@Cr,vwHOw&-H1+Q4y{PHe|Z?D!oS;||wO4xQmGT'); define('NONCE_SALT', 'X(I|*lbV!I;b78vhubY8PDZZ}D@H^ZOVXlJ~!m${Xqm )S4-m~IMd]9fe->}c.9h'); /**#@-*/
Ecco fatto, da questo momento WordPress è più sicuro.
Un piccolo barbatrucco
Le chiavi univoche di autenticazione potrebbero tornare utili anche in altre situazioni.
Ad esempio, potrebbe succedere di aver bisogno di fare un reset di tutti i coockies attivi sul blog, o di scollegare tutti gli utenti attivi.
Basta sostituire le chiavi univoche di autenticazione, ed all’istante chiunque stia navigando sul blog si ritrova con i cookies (del solo blog ovviamente), e chiunque sia autenticato all’interno di WordPress viene sbattuto fuori, e costretto ad autenticarsi nuovamente.
4 risposte
Ciao Roberto, grazie per l’articolo.
Vorrei chiederti un ‘barbatrucco’ per costringere gli utenti di un sito wordpress a cambiare password.
Grazie
Salvatore-
Ci sono dei plugin allo scopo.
Questo http://wordpress.org/plugins/wordpresspasswordexpiry/ è un po’ che non lo aggiornano, ma funzionava. Magari cercando bene se ne trovano di più aggiornati.
rob