As “Salt Keys” (Chaves de Segurança) no WordPress são um conjunto de variáveis (formadas por sequências de caracteres) aleatórias que melhoram a criptografia das informações armazenadas nos cookies de navegação do usuário que acessa o site.
Durante o acesso ao WordPress, pequenos arquivos chamados “cookies” são armazenados no navegador para permitir o login no ambiente do gerenciador de conteúdo. Como forma de ampliar a segurança do processo e de modo a individualizar as credenciais, podem ser utilizados dados adcionais e específicos para cada site, baseados nas chaves de segurança (Salt Keys) do WordPress.
Há um total de 8 (oito) chaves de segurança no WordPress. Confira a seguir:
- AUTH_KEY.
- SECURE_AUTH_KEY.
- LOGGED_IN_KEY.
- NONCE_KEY.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
A resposta é simples: ampliar a camada de segurança do sistema. As chaves de segurança (Salt Keys) do WordPress tornam mais difícil quebrar uma senha em uso no sistema.
Por exemplo:
- Um senha simples e não criptografada como “nomedeusuário” ou “wordpress” pode ser facilmente quebrada em pouco tempo. Entretanto, uma senha aleatória, imprevisível e criptografada como “2554dw7ssuy45edcxss22e4e00wsder” pode levar literalmente, anos para ser quebrada e conhecida.
Portanto, recomenda-se o uso de chaves de segurança (Salt Keys) para aumentar a proteçào dos sites e blogs baseados em WordPress.
Um site WordPress, por padrão, não possui “Salt Keys” configuradas, esteja ele armazenado em um servidor auto-hospedado (self-hosted – aqueles que você mesmo hospeda), em servidores compartilhados, VPS ou até mesmo, em servidores dedicados.
Portanto, a primeira coisa a ser feita, é você mesmo inserir as chaves de segurança no WordPress. Isso pode ser feito a partir de uma conta FTP, utilizada para acesso aos arquivos do site.
As chaves de segurança (salt keys) são inseridas em um arquivo padrão do WordPress, denominado “wp-config.php“. Esse arquivo guarda as informações básicas de funcionamento do WP é uma parte importante do funcionamento do sistema.
A imagem a seguir apresenta um exemplo de “Salt Keys” inseridas em um arquivo “wp-config.php” do WordPress.
Exemplo de inserção de Chave de Segurança (Salt Keys) do WordPress inseridas no arquivo wp-config.php
• Fonte: Junior Cammel Trademark
Ao acessar o painel de controle do seu site WordPress, cookies denominados wordpress_[hash] e wordpress_logged_in_[hash] serão criados para armazenar as informações de login.
Assim, toda vez que os dados confidenciais de acesso forem inseridos para fazer o login no WordPress, como “nome de usuário” e “senha de acesso“, as “Salt Keys” irão gerar os dados em um forma de texto criptografado aleatoriamente.
No meu livro “WordPress de Junior a .PRO“, eu discuto em detalhes diversos procedimentos de segurança que podem ser implementados no CMS WordPress. São mais de 2400 páginas de conteúdo e 2200 prints screens explicativos.
Se você faz o acesso frequente ao seu site WordPress em ambientes ou redes públicas, é recomendável gerar automaticamente novas chaves de segurança “Salt Keys” com frequência.
Sempre que as chaves de segurança são alteradas ou geradas novamente, ocorre a desconexão automática de todos os usuários logados no site, inclusive, você próprio, ainda que esteja logado como um usuário “administrador“.
Embora, exija o re-login ao site, o processo é uma forma de garantir a “saída forçada” de todos os usuários do site, vez por outra, ampliando assim a renovação da camada de segurança.
Para gerar as chaves de segurança do WordPress, siga para endereço da API de geração de “Salt Keys” da WordPress.org. Confira a seguir:
Existem duas formas de alterar as chaves de segurança “Salt Keys”:
- Manualmente, editando o arquivo “wp-config.php” do site WordPress, a partir da alteração das 8 (oito) variáveis padrão criadas no gerador de chaves da API da WordPress.org.
- A partir de um plugin para geração automática das chaves “Salt Keys”.
Confira a seguir o procedimento para inserir as chaves de segurança (Salt Keys) do WordPress no arquivo “wp-config.php“.
Para inserir as chaves “salt keys”no arquivo “wp-config.php” do seu site:
- Primeiramente, será necessário criar uma chave de segurança exclusiva. O WordPress possui um gerador on-line de chaves secretas aleatórias.
- Para gerar uma chave única acesse o link a seguir: https://api.wordpress.org/secret-key/1.1/salt/.
A página aberta gera automaticamente um conjunto de chaves. O resultado deverá ser algo como:
define('AUTH_KEY', 'tsUp}LMetjbR|,;el|NATn6~Brlrrxnq|_[|A0+X3-<]c~|y!b-D`rNNxmj:6R}k');
define('SECURE_AUTH_KEY', '6v|Bn:KJl/fY+3<TYc|}H8RAnoTt.b,AHOnPtBub6=ef.P u$2@ZTCObZ8d++1g~');
define('LOGGED_IN_KEY', 'L6hQVTjJ%7qc7soYq.$@hjvxRk-c Q-3f{jIM`,q_#jb$898R#+<[r>rW,C8v+9^');
define('NONCE_KEY', 'f+^gu<Y-q/#>>L_@BP?Ow!pwk)8Hr<=|]4|jI0~6&Do}{:B~UjMQ$rCE^8uH[NoS');
define('AUTH_SALT', '24k>)vc4CG8e7LJ6M3u7&~U|CpE}8t1iUe/.|DL|U#>!9@}FknZMX{T|E0na:|wD');
define('SECURE_AUTH_SALT', 'JI=#=^||Pfa-c@3F}Dlsx{yh?{)EAQ^U->{YW^[)@!n,BW9m-lQi[2s`8tIC$}8)');
define('LOGGED_IN_SALT', '0jSB-_2^H|6R+&)[Z=gRTkXf8B%$b9V&bq)GN*wnQ%zOJ9=mEuES8Xji+-N2k`p+');
define('NONCE_SALT', '{4I!BxyNX)zLSr!Aipjup&Com-Bw1,a]WoP_w4^`0E|2`@z|uCyD|<d#X/||FMg-'); */
Observação: Em nenhuma hipótese utilize o exemplo acima. Gere o seu próprio conjunto de chaves!
Uma vez que as chaves de segurança exclusivas do WordPress tenham sido geradas, é hora de inseri-las no arquivo “wp-config.php”. Para isso:
- Abra o arquivo “wp-config.php” e edite-o em um software de sua preferência, por exemplo, no editor “Notepad++”.
- Procure pela linha de código a seguir:
- Linha: “Isto é tudo! Já pode parar de editar”
- Adicione as chaves de segurança antes da linha “Isto é tudo! Já pode parar de editar”.
Ao final da edição, o arquivo deverá se parecer com o resultado demonstrando no exemplo a seguir:
define('AUTH_KEY', 'coloque a sua chave única e exclusiva aqui’);
define('SECURE_AUTH_KEY', 'coloque a sua chave única e exclusiva aqui’));
define('LOGGED_IN_KEY', 'coloque a sua chave única e exclusiva aqui’));
define('NONCE_KEY', 'coloque a sua chave única e exclusiva aqui’));
define('AUTH_SALT', 'coloque a sua chave única e exclusiva aqui’));
define('SECURE_AUTH_SALT', 'coloque a sua chave única e exclusiva aqui’));
define('LOGGED_IN_SALT', 'coloque a sua chave única e exclusiva aqui’));
define('NONCE_SALT', 'coloque a sua chave única e exclusiva aqui’'));# That’s It. Pencils down (seção padrão do arquivo wp-config – isto é tudo, já pode…)
if ( !defined(‘ABSPATH’) )
define(‘ABSPATH’, dirname(__FILE__) . ‘/’);
require_once(ABSPATH . ‘wp-settings.php’);
$_wpe_preamble_path = null; if(false){}
//Disable File Edits
define(‘DISALLOW_FILE_EDIT’, true);
- Reenvie o arquivo “wp-config.php” para o servidor, tomando o cuidado de realizar os backups já mencionados e testes para garantir o funcionamento do website.
- Tenha atenção com os “espaços” e “aspas (‘)” ao redor das chaves. Eles são muito importantes e necessários para o funcionamento correto das “SALT Keys” do WordPress.
- Não é necessário se preocupar em armazenar ou lembrar as chaves de segurança do WordPress. Elas devem apenas ser copiadas e coladas uma única vez no arquivo “wp-config.php” do sistema.
Confira a seguir o procedimento para inserir as chaves de segurança (Salt Keys) do WordPress de forma automática, a partir de um plugin para gerar salt keys automaticamente.
Também é possível inserir as “Salt Keys” diretamente a partir do painel de controle do WordPress, fazendo uso do plugin “Salt Shaker”.
Salt Shaker é um plugin gratuito direcionado para ampliar a segurança do WordPress. O “Salt Shaker” é utilizado para automatizar o processo de geração de novas “Salt Keys” no sistema. Ele permite que as novas chaves possam ser inseridas no arquivo “wp-config.php” sem que seja preciso alterar códigos diretamente para alterar as variáveis padrões das chaves “salt keys”.
Para instalar o plugin a partir do painel de controle:
- Acesse a página de instalação de plugins do WordPress.
Exemplo de inserção de Chave de Segurança (Salt Keys) do WordPress inseridas no arquivo wp-config.php
• Fonte: Junior Cammel Trademark
- Procure por “Salt Shaker” a partir da caixa de busca no repositório da WordPress.org.
- Siga os procedimentos comuns de instalação de plugins no WordPress.
Para baixar o plugin “Salt Shaker” diretamente pelo site da WordPress.org, siga o link indicado abaixo:
Para configurar o plugin “Salt Shaker” para WordPress:
- Depois de instalar o plugin “Salt Shaker“, ative-o.
- Acesse a página de configuração do componente para gerar as chaves “(Tools (Ferramentas) » Salt Shaker“.
É possível escolher o intervalo da frequência para gerar as chaves de autenticação “salt keys” do WordPres. Isso pode ser feito a partir de um agendamento:
- Diários.
- Semanal.
- Mensal.
- Quaternário (a cada 4 meses).
- Anual.
Uma vez que o intervalo de agendamento seja definidoo o plugin “Salt Shaker” irá gerar automaticamente as novas chaves de segurança “Salt Keys” do WordPress.
Ao finalizar as alterações desejadas:
- Clique no botão “Change Now (Alterar Agora)“.
Isso é tudo! O plugin agiliza o procedimento de criação automática de novas chaves “Salt Keys” para o WordPress. O único inconveniente é refazer o login no sistema a cada vez. Embora, esta seja a medida de segurança esperada para ampliar om nível de proteção do ambiente.
Eu preciso me lembrar das Chaves de Segurança (Salt Keys) do meu site WordPress?
Não. Você não precisa se lembrar da chave de segurança do seu site WordPress. Você apenas precisa armazená-las no arquivo “wp-config.php” do seu site apenas uma vez, e pronto, nada mais será necessário.
Conheça o meu livro sobre WordPress.
