I salt di WordPress sono una parte cruciale dell’ecosistema di sicurezza di WordPress. Sebbene non godano della stessa notorietà di altri componenti, come i firewall, senza di essi WordPress sarebbe esposto a tutti i tipi di attacchi. Questo è il motivo per cui è così importante capire cosa sono, come gestirli e come utilizzare un generatore di sali WordPress nel caso avessi bisogno di nuovi sali.
In questo articolo esploreremo tutto ciò che c’è da sapere sui salt e sui generatori di WordPress, aiutandoti a ottenere il massimo da questa funzionalità così importante per la sicurezza di WordPress.
Cosa sono i salt di WordPress?
I salt di WordPress e le chiavi di sicurezza associate sono strumenti crittografici utilizzati per eseguire l’hashing dei dati. Sono anche conosciuti come chiavi di sicurezza di WordPress. Un esempio notevole di come vengono utilizzati su un sito Web è l’hashing delle password archiviate nei cookie. I salt rendono molto più difficile per gli hacker rubare le password degli utenti. Ciò rende i sali parte integrante di Sicurezza di WordPress. Anche se questo sistema non è perfetto, nella maggior parte dei casi fornisce una protezione adeguata.
Analizzeremo tutto questo (e altro ancora) nelle sezioni seguenti, quindi continua a leggere per saperne di più sui salt di WordPress.
Come funzionano i salt di WordPress
WordPress è ciò che è noto come un sistema senza stato. Ciò significa che non è in grado di mantenere le sessioni utente come fanno alcune altre applicazioni. Si affida invece a Cookie del browser WordPress per mantenere gli utenti “loggati”. Pertanto, una volta effettuato l’accesso con nome utente e password (e 2FA se prendi sul serio la sicurezza di WordPress), WordPress definisce un cookie che viene inviato al tuo browser. Finché hai quel cookie e le sue condizioni sono soddisfatte, rimani “loggato”.
Affinché WordPress possa riconoscerti, questo cookie deve essere inviato a WordPress ogni volta che interagisci con il sito web, essenzialmente autenticandoti ogni volta che interagisci con il sito web. Per garantire che i dati rimangano il più sicuri possibile, WordPress crittografa la password memorizzata nel cookie. È qui che entrano in gioco i sali.
Cookie di WordPress
Anche se approfondire i dettagli dei cookie di WordPress va oltre lo scopo di questo articolo, vale la pena fare una breve deviazione per discutere di come i sali si relazionano ai cookie.
Come promemoria, i cookie sono file di testo memorizzati nei browser degli utenti di WordPress che comunicano a WordPress informazioni importanti, ad esempio se l’utente ha effettuato l’accesso e chi è.
- wordpress_loggato_in_[hash] – Questo cookie viene utilizzato per dire a WordPress se hai effettuato l’accesso o meno. Questo cookie viene sottoposto ad hashing con la chiave LOGGED_IN_KEY e il sale LOGGED_IN_SALT. Ne discuteremo più dettagliatamente nella sezione successiva.
- wordpress_[hash] – Questo cookie viene utilizzato nelle pagine di amministrazione e consente di apportare modifiche al sito Web WordPress. Questo cookie viene sottoposto ad hashing con la chiave SECURE_AUTH_KEY e il sale SERCURE_AUTH_SALT se utilizzi SSL/TLS o la chiave AUTH_KEY e il sale AUTH_SALT se non utilizzi SSL/TLS.
I biscotti salati sono i migliori
In poche parole, i salt vengono utilizzati per eseguire l’hashing di informazioni sensibili, come i dettagli di accesso nel cookie. Pertanto, se il cookie viene rubato, la password sarà quasi impossibile da leggere.
È importante notare che i sali e le chiavi funzionano solo con le sessioni del browser WordPress predefinite. Se utilizzi sessioni PHP, cosa che per una serie di motivi non è consigliata, i dati non verranno sottoposti ad hashing utilizzando i salt di WordPress.
Abbiamo accennato in precedenza che questo non è un sistema perfetto. Se un cookie viene rubato, chiunque abbia il cookie può dirottare la sessione e interagire con il sito Web WordPress come se fossi tu. In effetti, dal punto di vista di WordPress, saresti tu.
I sali e le chiavi vengono generati automaticamente durante l’installazione di WordPress; tuttavia, possono essere modificati in qualsiasi momento. Discuteremo dove trovarli e come cambiarli.
Sali e chiavi di WordPress
Ogni salt ha una chiave corrispondente ed entrambe sono necessarie affinché possa avvenire l’hashing dei dati. In realtà, le chiavi vengono utilizzate per eseguire l’hashing dei dati e i salt aggiungono un secondo livello di hashing per garantire che i dati siano estremamente sicuri.
I salt sono stati introdotti in WordPress 3.0, mentre chiavi diverse sono state introdotte in diverse versioni di WordPress. Di seguito è riportato un elenco che evidenzia quando è stata introdotta ciascuna chiave e sale:
- WordPress 2.6: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY
- WordPress 2.7: NONCE_KEY
- WordPress 3.0: AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, NONCE_SALT
Ci sono quattro diverse coppie sale/chiave in totale. Ogni coppia svolge una funzione diversa rispetto all’altra. Diamo un’occhiata a ciascuna coppia un po’ più in dettaglio in modo da poter comprendere meglio cosa fanno effettivamente.
Le quattro coppie diverse
Ecco le quattro diverse coppie di chiavi e salt utilizzate da WordPress.
Autenticazione
Questa coppia chiave e sale viene utilizzata con LOGGED_IN_KEY e LOGGED_IN_SALT per autorizzarti ad apportare modifiche a WordPress (quando non utilizzi SSL).
Autenticazione sicura
Se accedi all’area di amministrazione di WordPress utilizzando SSL/TLS, questa coppia di chiave e sale verrà utilizzata per firmare il cookie di autorizzazione, che ti consente di apportare modifiche al sito web.
- SECURE_AUTH_KEY
- SERCURE_AUTH_SALT
Connesso
La chiave LOGGED_IN e il sale vengono utilizzati per creare e firmare un cookie per un utente che ha effettuato l’accesso.
- LOGGED_IN_KEY
- LOGGED_IN_SALT
Nonce
I nonce sono un aspetto molto interessante della sicurezza di WordPress. I nonce sono chiavi che vengono aggiunte all’URL di invio, proteggendo il sito Web da attacchi come gli attacchi CSFR (Cross-Site Request Forgeries).
Dove trovare i tuoi salt WordPress
Sali e chiavi vivono nel File wp-config.php di WordPress. Puoi accedere al file tramite SSH o FTP/SFTP, a seconda del tuo Fornitore di hosting WordPress. Alcuni provider possono persino offrire il proprio file manager backend personalizzato con accesso al file di configurazione.
Troverai il file wp-config.php nella directory principale del tuo sito Web WordPress. I sali e le chiavi sono generalmente definiti nella prima sezione del file wp-config.php, subito dopo le credenziali del database, a meno che tu spostato le credenziali del database dal file wp-config.php.
Quando aggiornare i sali e le chiavi di WordPress
In generale, non è mai necessario modificare i sali e le chiavi di WordPress. Se si è verificata una violazione della sicurezza, tuttavia, modificarli potrebbe essere un’ottima idea.
Puoi anche scegliere di modificarli come misura di sicurezza preventiva piuttosto che per una necessità particolare. Proprio come cambiare regolarmente la password, cambiare i sali e le chiavi può mantenerti un passo avanti rispetto agli autori malintenzionati.
Tieni presente che l’aggiornamento a nuovi salt e chiavi terminerà tutte le sessioni attive poiché ciò invaliderebbe tutti i cookie attivi. Gli utenti registrati verranno disconnessi. Gli utenti potranno accedere nuovamente con il proprio nome utente, password e 2FA senza problemi, quindi non c’è nulla di cui preoccuparsi ma qualcosa di cui dovresti essere consapevole.
Come utilizzare un generatore di sale WordPress
Puoi aggiornare i sali e le chiavi dei tuoi siti WordPress in due modi: manualmente o utilizzando un plugin.
Nella maggior parte dei casi, un plugin genererà e sostituirà i salt per te. Richiede solo l’accesso all’area di amministrazione di WordPress, rendendolo il più semplice dei due. Il metodo manuale è leggermente più pratico; tuttavia, anche una persona non così tecnica può riuscirci.
Tieni presente che se scegli di modificare i sali manualmente ma non l’hai mai fatto prima, utilizzare prima un ambiente di test potrebbe essere una buona idea. Ciò ti consentirà di acquisire sicurezza senza rischiare di danneggiare il tuo sito.
Utilizzando un plug-in
Il modo più semplice per modificare i sali di WordPress è utilizzare un plugin. IL Plug-in Saliera è forse il plugin più conosciuto per lo scambio delle chiavi salt di WordPress con funzionalità aggiuntive come le modifiche pianificate.
Per modificare i tasti Salt in qualsiasi momento, è sufficiente fare clic su Cambia adesso pulsante situato nella sezione Modifica immediata. Questo aggiornerà immediatamente tutti i sali. Tutti gli utenti che hanno effettuato l’accesso dovranno effettuare nuovamente l’accesso una volta aggiornati i salt.
Metodo manuale
Se non desideri utilizzare un plugin per aggiornare i sali, puoi farlo manualmente. Fortunatamente, WordPress.org offre un generatore di chiavi che genera stringhe casuali per ogni chiave salt e segreta nel file wp-config.php del sito. Per modificare manualmente i sali sul tuo sito Web WordPress:
- Passare a Generatore di sali WordPress (fornito da WordPress)
- Apri il file wp-config.php. (Puoi accedere al file tramite FTP/SFTP o SSH, quindi dovrai assicurarti di avere le informazioni di accesso corrette per accedere con successo. Come accennato in precedenza, il file è in testo normale, quindi sarai in grado di inserire i nuovi tasti utilizzando un semplice editor di testo come Blocco note o Vim).
- Copia i salt generati dal generatore e sovrascrivi quelli nel file wp-config.
Conclusione
I salt di WordPress vengono utilizzati principalmente per eseguire l’hashing dei cookie del browser, che sono essenziali per consentire agli utenti di accedere a WordPress. Ciò li rende essenziali per la sicurezza complessiva del sito. La modifica dei sali può prevenire incidenti di sicurezza e aiutarti a garantire il ripristino da determinate violazioni, come quelle che si verificano attraverso a attacco cross-site scripting (XSS)..
Ricorda che Salts gioca solo un ruolo nel più ampio ecosistema di sicurezza di WordPress. Pertanto, rimane importante tenere d’occhio ciò che sta accadendo sui tuoi siti WordPress. Un modo per ottenere ciò è installare WP Activity Log, che tiene traccia e registra l’attività degli utenti e del sistema sui tuoi siti Web WordPress.
Il plug-in offre tantissime funzionalità aggiuntive per aiutarti a essere sempre aggiornato, comprese notifiche e-mail e SMS, un elegante modulo di sessione utente e molto altro.
Inizia con a Prova gratuita di 14 giorni del registro attività WP.
La posta Salt di WordPress: la guida completa per comprenderli, generarli e gestirli è apparso per primo Melapress.
*** Questo è un blog diffuso da Security Bloggers Network Melapress scritto da Gioele Barbara. Leggi il post originale su: https://melapress.com/wordpress-salts/