O que são WordPress Salts e por que usá-los com um gerador de keys

Se você usa o WordPress, uma das suas principais tarefas certamente é proteger seu site contra violações de segurança — afinal de contas, devido à sua popularidade, o WordPress é o CMS mais visado do mundo por invasores e criminosos digitais. Uma falha de proteção pode fazer você pode perder seus dados, seu site e sua receita.

Ao proteger seu site, um dos principais fatores é garantir que suas senhas sejam suficientemente fortes. E é aqui que entram o gerador de keys e os WordPress salts — elementos que podem adicionar uma camada extra de proteção ao processo de login do seu site, tornando-o indetectável para os hackers.

Nos parágrafos abaixo, vamos dar uma explicação detalhada do que são os salts e as chaves de segurança do WordPress, como eles funcionam, se você deve ou não alterá-los e como fazer isso. Vamos lá?

O Que São as Chaves Salt do WordPress e Como Elas Funcionam?

Os salts, ou chaves secretas do WordPress, são sequências aleatórias de código contendo oito variáveis que criptografam seus detalhes de login.

Elas são adicionadas à sua senha para proteger ainda mais suas credenciais de login do WordPress. Isso garante que suas senhas sejam imunes a ataques de força bruta e outros métodos de invasão.

Ao fazer login no Painel, alguns cookies contendo informações de login do WordPress — como o wordpress_[hash] e o wordpress_logged_in_[hash] — são criados e armazenados em seu computador. Isso significa que, se um hacker conseguir acessar os cookies do seu navegador, ele poderá extrair suas senhas.

Felizmente, com chaves de segurança e salts, todos os seus detalhes de login são criptografados com hash, o que significa que eles são criptografados usando uma sequência de cadeias aleatórias. Essas cadeias são visíveis, mas a senha real não é.

Em outras palavras: sempre que você inserir dados confidenciais no WordPress, como seu nome de usuário ou endereço de e-mail e senha, os salts regenerarão o texto simples usado como senha em um texto criptografado aleatoriamente.

Por exemplo, se a sua senha for “suasenha”, usando os WordPress salts, ela será armazenada como caracteres aleatórios como “SG^&%@KD>>:_+$#%HBJH**6#jkj”. Desta forma, os invasores não conseguirão decifrar sua senha real, mesmo que obtenham acesso ao código do seu site.

As chaves de segurança e os WordPress salts são armazenados no arquivo public_html -> wp-config.php do seu site WordPress. Para acessar o arquivo, conecte-se via FTP ou use o Gerenciador de arquivos da sua conta de hospedagem.

Veja a seguir a seção dos salts e keys no arquivo wp-config.php quando aberto no Gerenciador de arquivos do hPanel:

Elas estão localizadas na seção Authentication Unique Keys and Salts, que conta com uma breve descrição e um link para o gerador de keys. As primeiras quatro linhas de código contêm suas chaves de segurança, e as demais são seus salts.

Observe que, assim como você nunca compartilharia sua senha, você nunca deve compartilhar seus salts e chaves de autenticação do WordPress com outras pessoas para evitar riscos de segurança.

Por Que Alterar Suas Chaves de Segurança e Salts WP?

Embora as chaves e os salts de segurança estáticos do WordPress ofereçam proteção suficiente, é uma boa ideia alterá-los regularmente. Isso aumentará ainda mais a segurança de seu site WordPress.

Quando as chaves de segurança e os salts do WordPress forem alterados, todos os usuários serão automaticamente desconectados. Isso é especialmente útil se você faz login com frequência no seu site WordPress em múltiplos dispositivos ou navegadores, pois o risco de vazamento dos seus detalhes de login é ainda maior.

Alterar os salts e as chaves de autenticação do WordPress regularmente também é uma maneira eficaz de eliminar o acesso dos hackers ao back-end do seu site. Você tem a opção de bloqueá-los alterando as salt keys e a sua senha.

Há dois métodos para alterar suas chaves de segurança e os WordPress salts: manual e automático. Abaixo, vamos explicar ambos os métodos.

Como Alterar os WordPress Salts Manualmente

Para fazer a alteração manual dos salts do WordPress, você deve editar o arquivo wp-config.php. Ele pode ser acessado usando FTP ou abrindo o Gerenciador de arquivos na sua conta de hospedagem do WordPress.

Lembre-se de que a alteração manual das chaves do WordPress pode ser um processo demorado e arriscado caso você não saiba o que está fazendo — se você não tomar os cuidados necessários, é possível danificar o site.

Outra desvantagem desse método é que não é possível automatizar a renovação periódica dos salts e das chaves – você precisará alterá-los de tempos em tempos por conta própria.

Dito isso, ainda vale a pena ter em mente a existência desse método manual, especialmente caso você não esteja conseguindo acessar o painel do WordPress.

No tutorial a seguir, usaremos o Gerenciador de arquivos no hPanel da Hostinger. No entanto, as etapas deverão ser as mesmas independentemente do provedor de hospedagem ou do painel de controle utilizado.

1. Faça login no hPanel e acesse o Gerenciador de arquivos.

2. Navegue até a pasta public_html e abra o arquivo wp-config.php.

3. Encontre a linha Authentication Unique Keys and Salts. Abaixo dela, você encontrará um link para gerar novas chaves e salts de segurança do WordPress. Acesse esse link em outra guia do navegador.

4. Fique à vontade para atualizar a tela várias vezes para regenerar o código. Em seguida, selecione todo o texto e clique com o botão direito do mouse para copiar todos os novos salts e chaves de segurança do WordPress.

5. No arquivo wp-config.php, exclua os salts e as chaves de segurança antigos e cole os novos.

6. Clique em Salvar e fechar.

Como alternativa, você pode simplesmente usar um plugin para alterar as chaves de segurança e os WordPress salts sem editar manualmente o arquivo wp-config.php do seu site.

Como Alterar os WordPress Salts Usando um Plugin

O Salt Shaker é um plugin de segurança gratuito usado para automatizar a troca das chaves salt do WordPress. Com ele, não há necessidade de editar manualmente o código em seu arquivo wp-config.php — basta alterar os salts e as chaves de segurança do WordPress diretamente no sei painel de controle.

Além de tornar as alterações de chaves de segurança e salts mais simples, o Salt Shaker também permite que os usuários do site definam programações automatizadas para essas alterações.

Você tem a opção de escolher se as alterações serão feitas diariamente, semanalmente, mensalmente, trimestralmente ou semestralmente.

Depois de instalar o plugin Salt Shaker em seu site WordPress, ative-o e navegue até Ferramentas -> Salt Shaker para configurá-lo.

Para que o Salt Shaker altere os salts e as chaves do WordPress periodicamente, marque Change WP Keys and Salts on <…> Basis e escolha o intervalo de sua preferência no menu suspenso.

Para que o Salt Shaker altere seus salts e chaves do WordPress imediatamente, basta selecionar Change Now.

Vale a pena observar que o iThemes Security — um plugin de segurança popular e multifuncional para WordPress — também é capaz de alterar automaticamente seus salts e chaves. No entanto, embora o plugin permita que você altere seus salts e chaves imediatamente, ele não tem um recurso de agendamento como o Salt Shaker.

Conclusão

Os salts e as chaves de segurança do WordPress oferecem proteção adicional ao seu processo de login, pois criptografam sua senha em uma sequência aleatória que a torna ilegível para os hackers.

Para aumentar ainda mais a sua proteção, você pode alterar os salts e as chaves do WordPress usando dois métodos: manual e automático. O método manual exige que você edite o arquivo wp-config.php do seu site WordPress, enquanto o método automático usa um plugin, como o Salt Shaker.

Esperamos que este artigo ajude você a aumentar a segurança de seu site WordPress. Boa sorte!