Nella nostra esperienza, la sicurezza di WordPress è uno degli aspetti più importanti da considerare quando si gestisce un sito web. E le Chiavi di Sicurezza WordPress sono una parte fondamentale per mantenere il tuo sito al sicuro.
Queste chiavi aiutano a proteggere il tuo sito da tentativi di hacking, specialmente quando si tratta di proteggere accessi e autenticazione. Utilizzarle correttamente può dare al tuo sito WordPress un notevole impulso alla sicurezza.
In questo articolo, spiegheremo cosa sono le Chiavi di Sicurezza WordPress e i SALT, e perché sono così importanti per proteggere il tuo sito.
Cosa sono le Chiavi di Sicurezza WordPress e i SALT?
Le Chiavi di Sicurezza WordPress sono uno strumento di crittografia che protegge le informazioni di accesso rendendole più difficili da decodificare.
Queste chiavi agiscono proprio come chiavi reali e vengono utilizzate per “bloccare” e “sbloccare” informazioni crittografate come le password e i cookie di autenticazione, mantenendo sicuro il tuo sito WordPress.
Ecco come funziona:
Fondamentalmente, quando accedi a un sito web WordPress, le tue informazioni di sessione vengono memorizzate nei cookie del tuo computer. Ciò ti consente di continuare a lavorare sul tuo sito web senza la necessità di accedere ogni volta che una pagina viene caricata.
Tutte queste informazioni sensibili nei cookie sono archiviate in forma crittografata, convertendole in una stringa di caratteri alfanumerici e speciali apparentemente casuale.
Questi dati crittografati possono essere tradotti (decifrati) solo utilizzando le Chiavi di Sicurezza WordPress. Senza le chiavi corrette, questi dati sono praticamente impossibili da decifrare.
Il tuo sito WordPress genera automaticamente queste chiavi di sicurezza e le memorizza nel tuo file di configurazione di WordPress (wp-config.php).
Esistono in totale quattro chiavi di sicurezza:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Oltre alle chiavi di sicurezza WordPress, troverai anche i seguenti SALT:
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
I SALT aggiungono ulteriore “casualità” (entropia) alle tue informazioni crittografate.
Immagina di aggiungere un ingrediente segreto e casuale alla tua serratura: anche se qualcuno avesse una chiave simile, quel piccolo extra renderebbe molto più difficile aprirla.
I SALT forniscono quindi un altro livello di sicurezza per i tuoi dati crittografati, rendendo gli attacchi di tipo “rainbow table” (tabelle precalcolate di hash) meno efficaci.
Perché usare le Chiavi di Sicurezza WordPress?
Le Chiavi di Sicurezza WordPress proteggono il tuo sito web da tentativi di hacking rendendo le tue password e sessioni di login più sicure.
Ad esempio, una password normale con difficoltà di medio livello può essere facilmente decifrata utilizzando attacchi di forza bruta o tecniche di hashing comuni.
D’altra parte, una stringa crittografata risultante dall’uso di password e Chiavi di Sicurezza WordPress robuste, come ‘gypnlasj3ww0w2lkm80o1514ybw63a1estv93816do7zbx5y5hovw3x5nbaf37os’, richiederebbe anni (o secoli!) per essere decrittata senza conoscere le chiavi di sicurezza.
Ecco perché non dovresti mai condividere le Chiavi di Sicurezza WordPress con nessuno e proteggerle come normalmente proteggi le informazioni sensibili online (ad esempio, non pubblicarle mai in forum pubblici o repository di codice accessibili).
Con questo in mente, vedremo come utilizzare le Chiavi di Sicurezza WordPress per mantenere protetto il tuo sito WordPress.
Come utilizzare le Chiavi di Sicurezza WordPress?
Verifica delle chiavi esistenti
Generalmente, non devi fare nulla di extra poiché, nella maggior parte dei casi, WordPress genererà e utilizzerà automaticamente chiavi di sicurezza + SALT su ogni nuova installazione di WordPress.
Puoi visualizzare le tue Chiavi di Sicurezza WordPress e i SALT utilizzando un client FTP o l’app File Manager nel pannello di controllo del tuo account di hosting WordPress.
Connettiti semplicemente al tuo sito web e apri il file wp-config.php (si trova nella directory principale di WordPress). Al suo interno, vedrai le tue chiavi di sicurezza WordPress definite, simili a queste:
define( 'AUTH_KEY', 'valore_univoco_generato' );
define( 'SECURE_AUTH_KEY', 'valore_univoco_generato' );
define( 'LOGGED_IN_KEY', 'valore_univoco_generato' );
define( 'NONCE_KEY', 'valore_univoco_generato' );
define( 'AUTH_SALT', 'valore_univoco_generato' );
define( 'SECURE_AUTH_SALT', 'valore_univoco_generato' );
define( 'LOGGED_IN_SALT', 'valore_univoco_generato' );
define( 'NONCE_SALT', 'valore_univoco_generato' );Tuttavia, a seconda di come hai installato inizialmente WordPress (ad esempio, un’installazione manuale molto vecchia o incompleta), il tuo sito web potrebbe non avere affatto chiavi di sicurezza definite (le righe potrebbero essere presenti ma con ‘put your unique phrase here‘ come valore).
Generazione e aggiunta manuale
Se le tue chiavi di sicurezza sono vuote o utilizzano ancora le frasi segnaposto, non preoccuparti. Puoi aggiungerle facilmente manualmente.
Vai alla pagina ufficiale del Generatore di Chiavi di Sicurezza WordPress: https://api.wordpress.org/secret-key/1.1/salt/
Questa pagina genererà un nuovo set unico di chiavi e SALT ogni volta che la visiti.
Copia l’intero blocco di codice generato dalla pagina.
Apri il tuo file wp-config.php tramite FTP o File Manager.
Trova la sezione esistente delle chiavi di sicurezza (o il punto in cui dovrebbero essere, solitamente prima di /* That's all, stop editing! */).
Sostituisci le righe esistenti (o le righe segnaposto) con il blocco di codice che hai appena copiato.
Salva il file wp-config.php e ricaricalo sul server se necessario.
Hai finito! Hai aggiunto o aggiornato manualmente le tue Chiavi di Sicurezza WordPress.
Puoi utilizzare lo stesso metodo per eliminare le tue attuali Chiavi di Sicurezza WordPress e sostituirle con nuove chiavi in qualsiasi momento.
Nota: Quando sostituisci le chiavi di sicurezza, tutti gli utenti attualmente connessi verranno automaticamente disconnessi e dovranno effettuare nuovamente il login. Questo è un ottimo comportamento dal punto di vista della sicurezza, specialmente se sospetti una compromissione.
Come rigenerare le Chiavi di Sicurezza WordPress con un plugin
Se sospetti che il tuo sito web sia stato hackerato, è una buona pratica rigenerare le Chiavi di Sicurezza WordPress e cambiare tutte le password amministrative.
Puoi copiare e incollare manualmente nuove chiavi di sicurezza, come menzionato sopra. Tuttavia, puoi anche utilizzare un plugin.
In questo modo puoi anche impostare una pianificazione per rigenerare automaticamente le chiavi di sicurezza regolarmente, aumentando ulteriormente la sicurezza.
1. Aggiornare le Chiavi di Sicurezza usando Sucuri
Il modo più semplice per rigenerare automaticamente le Chiavi di Sicurezza WordPress è utilizzare Sucuri. È uno dei migliori plugin di sicurezza WordPress sul mercato che protegge il tuo sito web WordPress da minacce comuni.
Per iniziare, la prima cosa che dovrai fare è installare e attivare il plugin Sucuri Security. Per maggiori dettagli, consulta la nostra guida dettagliata su come installare un plugin di WordPress.
Una volta attivato, visita la pagina Sucuri Security » Settings e passa alla scheda “Post-Hack“.
Da qui, fai semplicemente clic sul pulsante “Generate New Security Keys” nella sezione “Update Secret Keys“.
Nota: La rigenerazione di nuove chiavi di sicurezza ti disconnetterà dall’area di amministrazione di WordPress e dovrai accedere nuovamente.
Successivamente, rivisita la pagina Sucuri Security » Settings e passa di nuovo alla scheda “Post-Hack“.
Sotto la sezione delle chiavi di sicurezza, abilita “Automatic Secret Keys Updater” scegliendo una frequenza (giornaliera, settimanale, mensile, annuale). Quindi, vai avanti e fai clic sul pulsante “Submit“.
Sucuri ora reimposterà automaticamente le tue Chiavi di Sicurezza WordPress in base alla frequenza scelta.
2. Aggiornare le Chiavi di Sicurezza usando Salt Shaker
Questo metodo è per gli utenti che non utilizzano Sucuri e necessitano di automatizzare la rigenerazione delle chiavi di sicurezza.
Innanzitutto, devi installare e attivare il plugin Salt Shaker. Per maggiori dettagli, consulta la nostra guida dettagliata su come installare un plugin di WordPress.
Una volta attivato, visita la pagina Strumenti » Salt Shaker per configurare le impostazioni del plugin.
Da qui, puoi impostare una pianificazione per generare automaticamente le chiavi di sicurezza. Puoi anche semplicemente fare clic sul pulsante “Change now” per rigenerare immediatamente le chiavi di sicurezza.
Suggerimento bonus: aggiungi protezione extra con l’autenticazione a due fattori (2FA)
Aggiungere l’Autenticazione a Due Fattori (2FA) insieme alle tue Chiavi di Sicurezza WordPress può rendere il tuo sito ancora più sicuro.
Anche se qualcuno riuscisse a ottenere una delle tue chiavi di sicurezza (o la tua password), avrebbe comunque bisogno di un secondo passaggio di verifica per accedere. Questo rende molto più difficile per gli hacker entrare nel tuo sito.
Configurare la 2FA su WordPress è semplice con plugin come WP 2FA, Google Authenticator (tramite plugin di terze parti) o utilizzando le funzionalità integrate in alcuni plugin di sicurezza completi.
Generalmente, tutto ciò che devi fare è installare e attivare l’autenticatore scelto, quindi seguire il processo di configurazione per collegarlo al tuo account.
Una volta configurato, abilita la 2FA per te stesso e per gli altri utenti per aggiungere un ulteriore livello di sicurezza durante l’accesso.
Per istruzioni dettagliate passo dopo passo, leggi la nostra guida su come aggiungere l’autenticazione a due fattori in WordPress.
Speriamo che questo articolo ti abbia aiutato a capire le Chiavi di Sicurezza WordPress e come usarle.
Se questo articolo vi è piaciuto, seguiteci su X e Facebook per rimanere aggiornati su tutte le novità e consigli utili su WordPress!
