Sali di WordPress: Cosa sono, come funzionano e come usarli
A un livello superiore, i sali di WordPress sono un modo per mantenere il vostro sito WordPress sicuro, aiutando a memorizzare e autenticare in modo sicuro le password degli utenti del vostro sito.
In questo articolo, imparerete:
Cosa sono i sali di WordPress? Più in dettaglio
I sali di WordPress, insieme alle loro chiavi di sicurezza, sono uno strumento crittografico che aiuta a proteggere il login del tuo sito WordPress.
In particolare, i sali e le chiavi di sicurezza proteggono le informazioni nei cookie che WordPress utilizza per effettuare il login.
Vedi, una volta effettuato il login su WordPress, hai la possibilità di rimanere connesso in modo da non dover inserire il tuo nome utente e la password ogni volta. Per fare questo, WordPress salva le vostre informazioni di accesso nei cookie, piuttosto che utilizzare le sessioni PHP.
Questo è super conveniente per gli utenti, ma apre anche il potenziale per un problema di sicurezza se qualcuno fosse in grado di dirottare i cookie del vostro browser.
Per evitare questo, WordPress utilizza sali e chiavi di sicurezza per proteggere le vostre informazioni di accesso in modo che soggetti malintenzionati non possano fare nulla con esso. Pensate a loro come a password “extra” per il vostro sito che sono quasi impossibili da indovinare per un attore malintenzionato.
A causa della loro importanza, non dovreste mai condividere i sali e le chiavi di sicurezza di WordPress con nessuno.
Dove si trovano i sali di WordPress?
WordPress viene fornito con i propri sali e chiavi di sicurezza per impostazione predefinita. Si trovano nel file wp-config.php del tuo sito. Dovresti vedere otto chiavi in totale:
- Le prime quattro voci sono le tue chiavi di sicurezza.
- Le ultime quattro voci sono i tuoi sali di WordPress.
Esempio di sali nel tuo file wp-config.php
Come funzionano i sali di WordPress?
Diciamo che la tua password per il tuo sito WordPress è “mypassword” (questa è una password orribile ma si adatta ai nostri scopi).
Per accedere, inserisci il tuo nome utente e la password. Poi, WordPress memorizza queste informazioni in due cookie del browser in modo che tu rimanga connesso (queste informazioni sono anche memorizzate nel database del tuo sito).
Tuttavia, se WordPress memorizza la tua password proprio così – “mypassword” – allora è proprio lì allo scoperto per essere vista da un attore malintenzionato. Questo si chiama memorizzare la password in chiaro, ed è un grande no-no quando si tratta di sicurezza.
Le chiavi di sicurezza e i sali evitano questo problema lavorando insieme per trasformare crittograficamente la password in chiaro in un’accozzaglia casuale di caratteri che sono impossibili per qualcuno da decodificare senza l’accesso alle vostre chiavi e sali.
Così, anche se hai inserito “mypassword” per accedere, WordPress trasformerà la tua password in qualcosa come “hsd78q34%7832$4jkhkjsfd78782^^429nsdf” per la memorizzazione.
A meno che una persona abbia accesso ai tuoi sali e chiavi di sicurezza, sarebbe impossibile per loro tradurre quell’accozzaglia casuale di caratteri nella tua vera password.
È necessario cambiare i sali e le chiavi di sicurezza di WordPress?
Per impostazione predefinita, le nuove installazioni di WordPress sono dotate di un proprio set di chiavi e sali, quindi il vostro sito WordPress è già sicuro senza richiedere alcuna azione da parte vostra.
Tuttavia, ci sono alcune ragioni per considerare di cambiare i vostri sali e chiavi su base periodica.
Il concetto di base è che cambiando periodicamente le chiavi e i sali, rendete ancora più difficile per un attore malintenzionato mettere le mani sui vostri sali.
Inoltre, cambiando i sali, tutti gli utenti che hanno effettuato l’accesso al vostro sito verranno automaticamente disconnessi e costretti ad effettuare nuovamente l’accesso, il che è un altro potenziale vantaggio. Per esempio, se vi siete accidentalmente loggati su un computer pubblico e avete dimenticato di fare il logout, questo vi permetterà di forzare il logout di quell’account per assicurarvi che nessuno possa avere accesso.
Come cambiare i sali di WordPress (due metodi)
Se vuoi cambiare i sali di WordPress, hai due opzioni principali:
Scriviti alla newsletter
Abbiamo aumentato il nostro traffico del 1.187% con WordPress. Ti mostreremo come.
Unisciti agli oltre 20.000 utenti che ricevono la nostra newsletter settimanale con consigli preziosi su WordPress!
Iscriviti ora
- Manualmente, modificando il file wp-config.php
- Con un plugin gratuito
Ecco come usare entrambi gli approcci:
Come cambiare i sali di WordPress manualmente
Per cambiare manualmente i sali del tuo sito, dovrai collegarti al server del tuo sito via FTP e modificare il file wp-config.php. Se non sei sicuro di come farlo, dai un’occhiata a questo articolo su come usare SFTP su Kinsta.
Una volta che sei connesso, vai al generatore di sali ufficiale di WordPress.org. Questa pagina genererà casualmente sali e chiavi di sicurezza per voi, proprio come avete visto sopra. Dovrebbe generare le quattro chiavi di sicurezza più quattro sali (otto in totale):
WordPress.org può aiutarti a generare nuove chiavi e sali
Poi, cancella le chiavi esistenti nel tuo file wp-config.php e sostituiscile incollando le chiavi dal generatore di sale di WordPress.org:
Come cambiare i sali in wp-config.php
Una volta finito, dovrebbe apparire esattamente come prima – è solo che le stringhe di caratteri casuali saranno diverse.
Assicuratevi di salvare le modifiche e ricaricare il file wp-config.php se necessario.
Lavorando con tempi di inattività e problemi con WordPress? Kinsta è la soluzione di hosting progettata con prestazioni e sicurezza in mente! Controlla i nostri piani
Come cambiare i sali di WordPress con un plugin
Come alternativa al metodo manuale di cui sopra, è anche possibile utilizzare un plugin per cambiare i sali del tuo sito.
Il plugin Salt Shaker è una popolare opzione gratuita con un vantaggio rispetto al metodo manuale:
È possibile impostarlo per cambiare automaticamente i sali su un programma che si definisce. Oppure, puoi anche usarlo solo per cambiare manualmente i sali.
Una volta installato e attivato il plugin, vai su Strumenti → Salt Shaker.
Se vuoi cambiare manualmente i sali subito, basta cliccare sul pulsante Cambia ora.
Oppure, puoi anche usare la funzione di cambio programmato per cambiare automaticamente i tuoi sali su uno dei seguenti orari:
- Giornaliero
- Settimanale
- Mensile
- Trimestrale (ogni tre mesi)
- Biannuale (ogni sei mesi)
Come usare il plugin Salt Shaker
Alcuni plugin di sicurezza per WordPress, in particolare iThemes Security, includono anche funzioni che rendono facile cambiare i sali di WordPress.
La sicurezza non è mai abbastanza! Scopri cosa sono i sali di WordPress e come possono impedire ai cattivi di incasinare il tuo sito. 😈🔐Clicca per Tweet
Sommario
I sali di WordPress e le chiavi di sicurezza aiutano a proteggere il processo di login del tuo sito e i cookie che WordPress usa per autenticare gli utenti.
Il tuo sito viene fornito con il proprio set di sali e chiavi di default, quindi non hai bisogno di impostare nulla per beneficiare dei sali.
Tuttavia, ci sono vantaggi in termini di sicurezza nel cambiare periodicamente i sali per rendere ancora più difficile l’accesso da parte di attori malintenzionati.
Per cambiare i sali, potete usare il generatore di sali di WordPress.org e modificare manualmente il vostro file wp-config.php oppure potete usare un plugin gratuito come Salt Shaker.
Se vi è piaciuto questo tutorial, allora amerete il nostro supporto. Tutti i piani di hosting di Kinsta includono il supporto 24/7 dai nostri sviluppatori e ingegneri veterani di WordPress. Chatta con lo stesso team che supporta i nostri clienti Fortune 500. Controllate i nostri piani