Blog sobre WordPress
No Result
View All Result
  • Desenvolvimento
  • Infra
  • Mobile
  • Performance
  • Segurança
  • SEO
  • E-commerce
Cadastrar e-mail
  • Desenvolvimento
  • Infra
  • Mobile
  • Performance
  • Segurança
  • SEO
  • E-commerce
No Result
View All Result
Blog sobre WordPress
No Result
View All Result

Início » Segurança para WordPress » Tudo sobre as chaves de segurança do WordPress

Tudo sobre as chaves de segurança do WordPress

Conheça, em detalhes, as particularidades das chaves de segurança do WordPress.

Leandro Vieira by Leandro Vieira
11 meses ago
Reading Time: 5 min
2
Tudo sobre as chaves de segurança do WordPress
Compartilhe no FacebookCompartilhe no LinkedIn
Audio

O arquivo wp-config.php armazena as chaves de segurança do WordPress, conhecidas como Secret Keys e Salts.

Conteúdo relacionado

Segurança e LGPD: comece a implementação pelo básico

ModSecurity como Web Application Firewall no WordPress

O plugin para implementar 2FA – autenticação de dois fatores

Elas são utilizadas para agregar mais segurança aos dados sensíveis dos usuários como senhas e cookies, contribuindo para uma maior proteção do WordPress

São oito chaves no total, sendo quatro de cada tipo. Elas são armazenadas em constantes PHP ou no banco de dados da plataforma, em caso da ausência delas.

Você conhece os detalhes sobre as chaves de segurança do WordPress?

Tweet

As Secret Keys são caracteres fortes, randômicos e imprevisíveis e a descoberta da sua combinação poderá levar anos.

Os Salts ainda são agregados a cada Secret Key para aumentar a segurança do resultado. Para cada Secret Key há um Salt relacionado.

Na alimentação, é comum dizermos que é melhor pecar pela falta do que pelo excesso de sal (Salt). Em segurança a retórica é inversa: abuse do “sal” para termos algo de difícil digestão daqueles que tentam quebrar as barreiras que te protegem.

As chaves de segurança do WordPress

Como dito anteriormente, são oito chaves no total, sendo quatro Secret Keys e quatro Salts. Essas últimas são utilizadas para incrementar as primeiras.

AUTH_KEY e SECURE_AUTH_KEY

A AUTH_KEY e a SECURE_AUTH_KEY têm as mesmas funcionalidades. A diferença é que uma é utilizada para sites sem a implementação do certificado de segurança enquanto a outra, SECURE_AUTH_KEY, é utilizada para sites que utilizam o SSL.

O valor destas são armazenados em cookies e, através da sua checagem, onde o WordPress permitirá, ou não, que o usuário faça a gestão das informações do site.

LOGGED_IN_KEY

Essa chave é utilizada para gerar o cookie responsável pela autenticação do usuário. Ou seja, para determinar se o usuário está logado, é verificado um determinado cookie e seu valor é encriptado com o valor da chave LOGGED_IN_KEY.

Essa chave não pode ser utilizada para o usuário fazer modificações no painel do WordPress.

NONCE_KEY

Esta chave é utilizada para incrementar o token de segurança do WordPress chamado de Nonces. Caso você não conheça esse mecanismo, saiba tudo a respeito neste artigo.

AUTH_KEY versus LOGGED_IN_KEY

Cada chave de segurança do WordPress tem sua funcionalidade e contribuição para a estabilidade da plataforma. Enquanto a AUTH_KEY é utilizada para autorizar a gestão das informações, a LOGGED_IN_KEY é usada para determinar se o usuário está logado ou não.

As chaves de segurança e as versões do WordPress

As chaves de segurança começaram a ser adicionadas à plataforma à partir da versão 2.6 do WordPress de 15 de Julho de 2008. Dois anos depois as Salts foram adicionadas. Em detalhes, a chegada de cada uma delas foi assim:

WordPress 2.6

  1. AUTH_KEY
  2. SECURE_AUTH_KEY
  3. LOGGED_IN_KEY

WordPress 2.7

  1. NONCE_KEY

WordPress 3.0

  1. AUTH_SALT
  2. SECURE_AUTH_SALT
  3. LOGGED_IN_SALT
  4. NONCE_SALT

Sobre o armazenamento das chaves de segurança do WordPress

As chaves são armazenadas no arquivo wp-config.php, como demonstrado na imagem abaixo.

Exemplo das chaves de segurança do WordPress no arquivo wp-config.php
Exemplo das chaves de segurança do WordPress no arquivo wp-config.php

Quando essas chaves não estão presentes, o WordPress as gera automaticamente e armazena seus valores em sua estrutura de banco de dados. Para ser mais direto, na tabela de Options, onde cada uma delas é uma Option específica.

O aconselhável é armazena-las no arquivo wp-config.php e não no banco de dados. Nesse último local, as chaves podem ser capturadas em caso de um ataque de SQL Injection.

Já no wp-config.php você pode incrementar diretivas de segurança para o arquivo e criar uma rotina de troca períodica das chaves.

O gerador de chaves de segurança do WordPress

O WordPress.org mantém um serviço que gera automaticamente, a cada recarregamento de página, chaves de segurança únicas para você fazer uso.

Os valores das chaves de segurança são caracteres como devem ser: fortes, randômicos e imprevisíveis.

Exemplo das chaves de segurança do WordPress gerado pelo serviço do WordPress.org
Exemplo das chaves de segurança do WordPress gerado pelo serviço do WordPress.org

Quando seus valores são alterados, todos os usuários que estavam autenticados terão seus logins interrompidos imediatamente e precisarão realizar uma novas autenticações, uma vez que sua credencial foi baseada nesses valores das chaves.

Tags: noncessaltsql injectionsslwordpress segurowp-config.php
Share13Share1SendShare
Previous Post

Evite a listagem dos nomes de usuários no WordPress

Next Post

Como analisar aspectos de segurança de plugins WordPress

Leandro Vieira

Leandro Vieira

Uma das grandes referências de WordPress no Brasil, entusiasta e evangelista da plataforma. Fundador e CEO da Apiki, empresa especializada no desenvolvimento web com WordPress.

Related Posts

Rate Limiting
Segurança para WordPress

Como ferramentas de Rate Limiting ajudam em segurança e performance

4 de agosto de 2020
Usuários e senhas fortes para melhorar a segurança no WordPress
Segurança para WordPress

Usuários e senhas fortes para melhorar a segurança no WordPress

28 de julho de 2020
Tipos e benefícios dos certificados de segurança TLS/SSL.
Segurança para WordPress

Tipos e benefícios dos certificados de segurança TLS/SSL.

19 de agosto de 2020
Como remover o nome de usuário “admin” do WordPress
Segurança para WordPress

Como remover o nome de usuário “admin” do WordPress

19 de agosto de 2020
Next Post
segurança de plugins WordPress

Como analisar aspectos de segurança de plugins WordPress

Entenda como funciona um ataque de força bruta no WordPress

Entenda como funciona um ataque de força bruta no WordPress

Comments 2

  1. Pingback: wp-config.php e as constantes de segurança do WordPress
  2. Pingback: Site seguro: confira 15 dicas em vídeo para ajudar na segurança do seu WordPress

Deixe uma resposta Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Fique por dentro

Como receber pagamento QR Code no WooCommerce

Quando e como fazer redirecionamento 301 ou 302 no WordPress

Segurança e LGPD: comece a implementação pelo básico

Os elementos que determinam a performance de site WordPress

O conceito e aplicabilidade do Mobile First

Os 3 principais motivos para atualizar o PHP, além do WordPress

O vídeo mais recente do canal

https://youtu.be/Ql-9cJgEd0Y

Os posts mais recentes

  • Como receber pagamento QR Code no WooCommerce
  • Quando e como fazer redirecionamento 301 ou 302 no WordPress
  • Segurança e LGPD: comece a implementação pelo básico
  • Os elementos que determinam a performance de site WordPress
  • O conceito e aplicabilidade do Mobile First
Facebook LinkedIn Instagram Twitter Youtube Github RSS

Sobre a Apiki

Empresa especializada em WordPress com três unidades de negócios.

  1. Design e Desenvolvimento;
  2. Infra e Hospedagem;
  3. Suporte e manutenção.

Em resumo, só fazemos uma coisa em WordPress: tudo.

Páginas do Apiki.com

  • Apiki.com
  • Sobre a Apiki
  • Desenvolvimento em WordPress
  • Sustentação WordPress
  • Hospedagem WordPress
  • Atendimento

Páginas do Blog

  • Sobre
  • Newsletter
  • Desenvolvimento WordPress
  • Segurança para WordPress
  • WordPress Mobile
  • Infra para WordPress
  • WordPress SEO
  • WordPress Performance
  • E-commerce

© 2020 Apiki - Empresa especializada em WordPress.

No Result
View All Result
  • Desenvolvimento
  • Infra
  • Mobile
  • Performance
  • Segurança
  • SEO
  • E-commerce

© 2020 Apiki - Empresa especializada em WordPress.