Articles

Sales de WordPress: Qué son, cómo funcionan y cómo usarlas

En un alto nivel, las sales de WordPress son una forma de mantener su sitio de WordPress seguro ayudando a almacenar y autenticar de forma segura las contraseñas de los usuarios en su sitio.

En este artículo, usted aprenderá:

¿Qué son las sales de WordPress? En más detalle

Las sales de WordPress, junto con sus claves de seguridad compañeras, son una herramienta criptográfica que ayuda a asegurar el inicio de sesión de su sitio de WordPress.

Específicamente, las sales y las claves de seguridad aseguran la información en las cookies que WordPress utiliza para iniciar la sesión.

Verás, una vez que inicias la sesión en WordPress, tienes la opción de permanecer conectado para no tener que introducir tu nombre de usuario y contraseña cada vez. Para lograr esto, WordPress guarda su información de inicio de sesión en las cookies, en lugar de utilizar las sesiones de PHP.

Eso es muy conveniente para los usuarios, pero también abre la posibilidad de un problema de seguridad si alguien fuera capaz de secuestrar las cookies de su navegador.

Para evitar esto, WordPress utiliza sales y claves de seguridad para asegurar su información de inicio de sesión para que los sujetos maliciosos no puedan hacer nada con ella. Piensa en ellos como en contraseñas «extra» para tu sitio que son casi imposibles de adivinar para un actor malicioso.

Debido a su importancia, nunca debes compartir tus sales y claves de seguridad de WordPress con nadie.

¿Dónde se encuentran las sales de WordPress?

WordPress viene con sus propias sales y claves de seguridad por defecto. Se encuentran en el archivo wp-config.php de su sitio. Deberías ver ocho claves en total:

  • Las primeras cuatro entradas son tus claves de seguridad.
  • Las últimas cuatro entradas son tus sales de WordPress.
Example of WordPress salts in your wp-config.php file

Ejemplo de sales en tu archivo wp-config.php

¿Cómo funcionan las sales de WordPress?

Digamos que tu contraseña para tu sitio de WordPress es «mypassword» (es una contraseña horrible pero se ajusta a nuestros propósitos).

Para iniciar sesión, introduces tu nombre de usuario y tu contraseña. Luego, WordPress almacena esa información en dos cookies del navegador para que usted permanezca conectado (esta información también se almacena en la base de datos de su sitio).

Sin embargo, si WordPress almacena su contraseña así – «mypassword» – entonces está ahí al descubierto para que un actor malicioso la vea. Esto se llama almacenar la contraseña en texto plano, y es un gran no-no cuando se trata de la seguridad.

Las claves de seguridad y las sales evitan este problema trabajando juntos para convertir criptográficamente esa contraseña en texto plano en una mezcla aleatoria de caracteres que son imposibles para alguien de ingeniería inversa sin acceso a sus claves y sales.

Así que aunque haya introducido «mypassword» para iniciar la sesión, WordPress convertirá su contraseña en algo como «hsd78q34%7832$4jkhkjsfd78782^^429nsdf» para su almacenamiento.

A menos que una persona tenga acceso a sus sales y claves de seguridad, sería imposible para ellos traducir ese revoltijo aleatorio de caracteres en su contraseña real.

¿Necesita cambiar sus sales y claves de seguridad de WordPress?

Por defecto, las nuevas instalaciones de WordPress vienen con su propio conjunto de claves y sales, por lo que su sitio de WordPress ya es seguro sin requerir ninguna acción por su parte.

Sin embargo, hay algunas razones para considerar el cambio de sus sales y claves de forma periódica.

El concepto básico es que al cambiar periódicamente sus claves y sales, usted hace que sea aún más difícil para un actor malicioso poner sus manos en sus sales.

Además, el cambio de sus sales cerrará automáticamente la sesión de todos los usuarios conectados en su sitio y los obligará a iniciar sesión de nuevo, que es otro beneficio potencial. Por ejemplo, si accidentalmente se conectó en una computadora pública y se olvidó de cerrar la sesión, esto le permitiría forzar la salida de esa cuenta para asegurarse de que nadie pueda acceder.

Cómo cambiar tus sales de WordPress (dos métodos)

Si quieres cambiar las sales en WordPress, tienes dos opciones principales:

Inscríbete en el boletín

Hemos hecho crecer nuestro tráfico un 1.187% con WordPress. Te mostraremos cómo.

¡Únete a más de 20.000 personas que reciben nuestro boletín semanal con consejos sobre WordPress!

Suscríbete ahora

  • De forma manual, editando tu archivo wp-config.php
  • Con un plugin gratuito

Aquí se explica cómo utilizar ambos enfoques:

Cómo cambiar las sales de WordPress manualmente

Para cambiar manualmente las sales de su sitio, tendrá que conectarse al servidor de su sitio a través de FTP y editar su archivo wp-config.php. Si no estás seguro de cómo hacerlo, consulta este artículo sobre cómo usar SFTP en Kinsta.

Una vez conectado, dirígete al generador de sales oficial de WordPress.org. Esta página generará aleatoriamente sales y claves de seguridad para ti, tal y como has visto arriba. Debería generar las cuatro claves de seguridad más cuatro sales (ocho en total):

WordPress.org can help you generate new keys and salts

WordPress.org puede ayudarte a generar nuevas claves y sales

A continuación, borra las claves existentes en tu archivo wp-config.php y reemplázalas pegando las claves del generador de sales de WordPress.org:

How to change salts in WordPress

Cómo cambiar las sales en wp-config.php

Una vez que haya terminado, debería verse exactamente igual que antes – es sólo que las cadenas de caracteres aleatorios serán diferentes.

Asegúrese de guardar sus cambios y volver a cargar su archivo wp-config.php si es necesario.

¿Está luchando con el tiempo de inactividad y los problemas de WordPress? ¡Kinsta es la solución de alojamiento diseñada con el rendimiento y la seguridad en mente! Consulte nuestros planes

Cómo cambiar las sales de WordPress con un plugin

Como alternativa al método manual anterior, también puede utilizar un plugin para cambiar las sales de su sitio.

El plugin Salt Shaker es una opción popular y gratuita con una ventaja sobre el método manual:

Puede configurarlo para que cambie automáticamente sus sales en un horario que usted defina. O bien, también puede utilizarlo simplemente para cambiar manualmente las sales.

Una vez que instale y active el plugin, vaya a Herramientas → Salero.

Si desea cambiar manualmente sus sales de inmediato, simplemente haga clic en el botón Cambiar ahora.

O bien, también puede utilizar la función de cambio programado para cambiar automáticamente sus sales en uno de los siguientes horarios:

  • Diario
  • Semanal
  • Mensual
  • Trimestral (cada tres meses)
  • Bianual (cada seis meses)
How to use the Salt Shaker plugin

Cómo usar el plugin Salt Shaker

Algunos plugins de seguridad de WordPress, en particular iThemes Security, también incluyen funciones que facilitan el cambio de sales en WordPress.

¡La seguridad nunca es suficiente! Aprende qué son las sales de WordPress y cómo pueden evitar que los malos se metan con tu sitio. 😈🔐Click to Tweet

Summary

Las sales de WordPress y las claves de seguridad ayudan a proteger el proceso de inicio de sesión de tu sitio y las cookies que WordPress utiliza para autenticar a los usuarios.

Tu sitio viene con su propio conjunto de sales y claves por defecto, por lo que no necesitas configurar nada para beneficiarte de las sales.

Sin embargo, hay beneficios de seguridad para cambiar periódicamente sus sales para que sea aún más difícil para los actores maliciosos acceder a ellos.

Para cambiar sus sales, puede utilizar el generador de sal de WordPress.org y editar manualmente su archivo wp-config.php o puede utilizar un plugin gratuito como Salt Shaker.

Si ha disfrutado de este tutorial, entonces le encantará nuestro apoyo. Todos los planes de alojamiento de Kinsta incluyen soporte 24/7 de nuestros veteranos desarrolladores e ingenieros de WordPress. Chatea con el mismo equipo que respalda a nuestros clientes de Fortune 500. Vea nuestros planes