Si tienes un sitio de WordPress, probablemente te has preguntado si estás haciendo lo suficiente para mantenerlo seguro. Contraseñas seguras y plugins actualizados son un gran comienzo, pero hay otra capa de protección que muchos propietarios de sitios pasan por alto.
Entran las claves de seguridad de WordPress.
Estas claves son una característica poderosa que puede mejorar instantáneamente las defensas de tu sitio. Ayudan a proteger contra intentos de hackeo, especialmente en torno al inicio de sesión y la autenticación.
Detrás de escena, codifican datos sensibles para evitar que los atacantes secuestren sesiones o se infiltren en tu sitio.
En esta guía, te explicaremos todo lo que necesitas saber sobre las claves de seguridad de WordPress. Desde entender qué hacen hasta aplicarlas correctamente en tu sitio, te ayudaremos a dormir mejor sabiendo que tu sitio de WordPress tiene esta capa de seguridad implementada. 🛡️
¿Qué son las claves de seguridad y SALTs de WordPress?
En resumen, las claves de seguridad de WordPress son herramientas de encriptación que protegen tu información de inicio de sesión al dificultar su decodificación. Los SALTs, por otro lado, agregan datos aleatorios a esta información encriptada, añadiendo otra capa de seguridad a tus credenciales almacenadas.
Las claves de seguridad de WordPress actúan como llaves reales y se utilizan para bloquear y desbloquear información encriptada, como contraseñas, manteniendo tu sitio de WordPress seguro.
Así es como funciona.
Básicamente, cuando inicias sesión en un sitio web de WordPress, tu información se almacena en las cookies de tu computadora. Esto te permite seguir trabajando en tu sitio web sin necesidad de iniciar sesión cada vez que se carga una página.
Toda la información se almacena en forma cifrada al convertirla en una cadena de caracteres alfanuméricos y especiales. Estos datos cifrados se pueden descifrar utilizando las claves de seguridad de WordPress. Sin las claves, estos datos son casi imposibles de descifrar.
Tu sitio de WordPress genera automáticamente estas claves de seguridad y las almacena en tu archivo de configuración de WordPress (wp-config.php).
Hay un total de cuatro claves de seguridad:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Además de las claves de seguridad de WordPress, también encontrarás las siguientes SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Las SALTs añaden información adicional a tu información cifrada, lo que proporciona otra capa de seguridad para tus datos cifrados.
¿Por qué usar claves de seguridad de WordPress?
Las claves de seguridad de WordPress protegen tu sitio web contra intentos de hackeo al hacer tus contraseñas seguras.
Por ejemplo, una contraseña normal de dificultad media puede ser fácilmente descifrada utilizando ataques de fuerza bruta.
Por otro lado, una cadena de contraseña como '7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49' tarda años en descifrarse sin conocer las claves de seguridad.
Es por eso que nunca debes compartir las claves de seguridad de WordPress con nadie y debes protegerlas como normalmente proteges la información sensible en línea.
Con esto en mente, veremos cómo usar las claves de seguridad de WordPress para mantener tu sitio de WordPress protegido. Aquí tienes un resumen rápido de todos los temas que compartiremos en las siguientes secciones:
- ¿Cómo usar las claves de seguridad de WordPress?
- ¿Cómo regenerar las claves de seguridad de WordPress usando un plugin?
- Consejo extra: Añade protección adicional con autenticación de dos factores (2FA)
- Preguntas Frecuentes Sobre las Llaves de Seguridad de WordPress
- Recursos Adicionales para una Mayor Seguridad en tu Sitio Web de WordPress
¡Vamos a empezar!
¿Cómo usar las claves de seguridad de WordPress?
Generalmente, no necesitas hacer nada adicional ya que, en la mayoría de los casos, WordPress generará y usará automáticamente las llaves de seguridad + sales en cada nueva instalación de WordPress.
Puedes ver tus llaves de seguridad y sales de WordPress usando un cliente FTP o la aplicación Administrador de Archivos en el panel de control de tu cuenta de alojamiento de WordPress.
Simplemente conéctate a tu sitio web y abre el archivo wp-config.php. Dentro de él, verás tus llaves de seguridad de WordPress definidas.
Sin embargo, dependiendo de cómo hayas instalado WordPress inicialmente, es posible que tu sitio web no tenga definidas las claves de seguridad.
Si tus claves de seguridad están vacías, no te preocupes. Puedes agregarlas fácilmente de forma manual yendo a la página del Generador de Claves de Seguridad de WordPress para generar un nuevo conjunto de claves.
A continuación, copia y pega estas claves dentro de tu archivo wp-config.php, y listo.
Puedes usar el mismo método para eliminar tus claves de seguridad actuales de WordPress y reemplazarlas por unas nuevas.
📝 Nota: Al reemplazar las claves de seguridad, se obligará a todos los usuarios a iniciar sesión de nuevo, lo cual es excelente para la seguridad.
¿Cómo regenerar las claves de seguridad de WordPress usando un plugin?
Si sospechas que tu sitio web ha sido hackeado, entonces necesitas regenerar las claves de seguridad de WordPress y cambiar tus contraseñas.
Puedes copiar y pegar manualmente nuevas claves de seguridad, como se mencionó anteriormente. Sin embargo, también puedes usar un plugin. De esta manera, también puedes establecer un horario para regenerar automáticamente las claves de seguridad de forma regular.
1. Actualizar las Claves de Seguridad de WordPress usando Sucuri
La forma más fácil de regenerar automáticamente las claves de seguridad de WordPress es usando Sucuri. Es uno de los mejores plugins de seguridad de WordPress del mercado que protege tu sitio web de WordPress contra amenazas comunes.
Para más información sobre la herramienta, puedes consultar nuestra extensa reseña de Sucuri.
Para empezar, lo primero que necesitarás hacer es instalar y activar el plugin Sucuri Security. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Después de la activación, querrás visitar la página Sucuri Security » Settings y cambiar a la pestaña 'Post-Hack'.
Desde aquí, simplemente haz clic en el botón 'Generate New Security Keys' (Generar nuevas claves de seguridad) en la sección 'Update Secret Keys' (Actualizar claves secretas).
📝 Nota: Regenerar nuevas claves de seguridad te desconectará del área de administración de WordPress, y necesitarás iniciar sesión de nuevo.
Después de eso, vuelve a visitar la página Sucuri Security » Settings y cambia de nuevo a la pestaña 'Post-Hack'.
En la sección de claves de seguridad, habilita el ‘Actualizador Automático de Claves Secretas’ eligiendo una frecuencia (diaria, semanal, mensual, anual).
Luego, procede a hacer clic en el botón ‘Enviar’.
Sucuri ahora restablecerá automáticamente tus claves de seguridad de WordPress según la frecuencia que hayas elegido.
2. Actualizar las claves de seguridad de WordPress usando Salt Shaker
Este método es para usuarios que no usan Sucuri y necesitan automatizar la regeneración de claves de seguridad.
Primero, necesitas instalar y activar el plugin Salt Shaker. Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar un plugin de WordPress.
Tras la activación, deberás visitar la página Herramientas » Salt Shaker para configurar los ajustes del plugin.
Desde aquí, puedes establecer un horario para generar claves de seguridad automáticamente. También puedes simplemente hacer clic en el botón ‘Cambiar ahora’ para regenerar las claves de seguridad inmediatamente.
Consejo extra: Añade protección adicional con autenticación de dos factores (2FA)
Agregar la autenticación de dos factores (2FA) junto con tus claves de seguridad de WordPress puede hacer que tu sitio sea aún más seguro.
Incluso si alguien logra obtener una de tus claves de seguridad, aún necesitará un segundo paso de verificación para iniciar sesión. Esto hace que sea mucho más difícil para los hackers acceder a tu sitio.
Configurar 2FA en WordPress es sencillo con plugins como Google Authenticator o Authy.
Generalmente, todo lo que tienes que hacer es instalar y activar tu autenticador elegido, luego seguir el proceso de configuración para vincularlo con tu cuenta. Una vez configurado, habilita 2FA para ti y otros usuarios para agregar una capa adicional de seguridad al iniciar sesión.
Para obtener instrucciones detalladas paso a paso, lee nuestra guía sobre agregar autenticación de dos factores en WordPress.
Preguntas Frecuentes Sobre las Llaves de Seguridad de WordPress
¿Tienes preguntas sobre las claves de seguridad de WordPress? Aquí tienes algunas de las más comunes, respondidas.
¿Qué sucede si mi archivo wp-config.php no tiene claves de seguridad?
Si a tu archivo wp-config.php le faltan las claves de seguridad, WordPress las creará automáticamente para la sesión actual.
Sin embargo, este método no es tan seguro. Sin claves permanentes definidas en tu archivo, el cifrado que protege tus cookies de inicio de sesión es más débil. Esto hace que tu sitio web sea más vulnerable a ataques.
¿Con qué frecuencia debo cambiar mis claves de seguridad de WordPress?
Para la mayoría de los sitios web, no es necesario cambiar tus claves en un horario regular.
Sin embargo, si sospechas que tu sitio ha sido hackeado o comprometido, deberías actualizarlo de inmediato. Cuando cambias tus claves, todos los usuarios son desconectados automáticamente. Esto ayuda a asegurar tu sitio al cortar cualquier acceso no autorizado que pueda haber ocurrido.
¿Es suficiente cambiar mis claves de seguridad después de que mi sitio es hackeado?
No, cambiar tus claves de seguridad es solo un paso importante. También deberías cambiar todas las contraseñas de usuario, escanear tu sitio en busca de malware, eliminar cualquier cuenta de usuario sospechosa y considerar restaurar desde una copia de seguridad limpia.
Recursos Adicionales para una Mayor Seguridad en tu Sitio Web de WordPress
Esperamos que este artículo te haya ayudado a entender las claves de seguridad de WordPress y cómo usarlas. A continuación, también te puede interesar ver nuestras guías sobre:
- Los mejores plugins de firewall para WordPress comparados
- Cómo Realizar una Auditoría de Seguridad de WordPress
- Guía para principiantes sobre roles y permisos de usuario de WordPress
- Cómo obtener un certificado SSL gratuito para tu sitio web de WordPress
- Cómo Solucionar el Error de Conexión Segura en WordPress
- Los mejores plugins de copia de seguridad de WordPress comparados (pros y contras)
- Guía Definitiva para Hacer Copias de Seguridad de tu Sitio WordPress
- La guía definitiva de seguridad para WordPress – Paso a paso
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Samuel
¡Wow!, muchas gracias por este artículo, siempre he visto estas claves en el archivo wp-config pero no sabía qué función cumplían. Este artículo arroja luz sobre su uso. Sin embargo, me gustaría hacer una pregunta. Si cambio estas claves de seguridad sin cambiar mi contraseña, ¿afectaría la contraseña? Solo tengo curiosidad.
Soporte de WPBeginner
Las claves de seguridad no afectan directamente tus contraseñas de usuario, por lo que no debería haber ningún cambio en tu contraseña.
Administrador
Samuel
Muchas gracias por aclarar esta pregunta. Inicialmente pensaba que podría afectar las contraseñas.
Mrteesurez
Aquí en esta publicación solo escucho ‘SALT’ (sal), ¿cuál es la diferencia entre SALT y KEY (llave)?
¿Puedo actualizar esas llaves incluso si no sospechaba ningún intento de hackeo?
Si es así, ¿con qué frecuencia debería cambiarse?? Gracias.
Soporte de WPBeginner
Depende de tu preferencia personal, pero se pueden cambiar con la frecuencia que desees, ya sea semanalmente o una vez por trimestre, dependiendo de cuánto quieras enfocarte en cambiarlas.
Administrador
Jiří Vaněk
Con respecto a las claves de seguridad, me encontré con un problema al migrar el sitio web a una nueva base de datos. Incluso después de cambiar la conexión en el archivo wp-config.php, WordPress se negó a conectarse a la nueva BD, informando un 'error al establecer'. Finalmente, tuve que eliminar el wp-config.php antiguo, subir uno nuevo del paquete de instalación, volver a ingresar la conexión a la nueva base de datos y luego todo funcionó bien. Parece que las claves en el archivo wp-config.php fueron las culpables.
Josh
¿Con qué frecuencia recomiendas cambiar las claves? ¿Trimestralmente como se muestra en la captura de pantalla?
Soporte de WPBeginner
No tenemos un tiempo de actualización recomendado específico en este momento, aparte de después de un hackeo en tu sitio como mínimo.
Administrador
Bjornen Nilsson
Hola,
PREGUNTA »
¿Afectará algo más que un aumento de seguridad "extremo" si el navegador web está configurado para eliminar todo el historial, archivos temporales, cookies, etc. cada vez que se cierra Y si se cambia la SALT en wp-config después de cerrar sesión cada vez?
¡Gracias!
shanderman
Hola,
Tengo 2 URL de producto, para 1 producto. Así:
example.com/?product=product-name
example.com/product/product-name/
¿Por qué? ¿Cómo debería arreglarlo? Por favor, ayúdame.
Soporte de WPBeginner
Hola shanderman,
Por favor, visita la página Ajustes » Enlaces permanentes para asegurarte de que tu sitio de WordPress está utilizando URL amigables para SEO.
Después de eso, visualiza el código fuente de tu sitio web y asegúrate de que muestra el formato de URL que prefieres.
La estructura de URL poco amigable seguirá funcionando en WordPress si la escribes en el navegador. Sin embargo, la URL canónica de tu producto será la que elijas en la página de configuración de enlaces permanentes. Estas son las URL que los motores de búsqueda seguirán e indexarán.
Administrador
sam
Soy principiante en Wordpress, tengo una duda sobre cómo esas claves hacen que Wordpress sea seguro. Quiero saber el rol y el funcionamiento real de las claves.
Kishan Dalsania
¿Cuál es el beneficio real de usar estas claves en config.php? ¿Puedes definir cómo funcionará para prevenir a los hackers?
sam
Hola, usé este método y no puedo iniciar sesión en mi sitio en absoluto. ¿Cómo lo arreglo o elimino los problemas?
Soporte de WPBeginner
Por favor, echa un vistazo a nuestro tutorial sobre qué hacer cuando te bloquean el acceso al área de administración de WordPress.
Administrador
kOoLiNuS
Solo una pregunta rápida... ¿Por qué sugieres:
¿En lugar de lo último? ¿Tienes algunos enlaces que respalden este enfoque?
¡Gracias de antemano!
Nick
En WordPress 3.1, estas claves se generan automáticamente.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Agradezco esta información y actualicé rápidamente mis archivos. Mi preocupación es la misma que la de Rick de abril, en el sentido de que si mi archivo wp-config.php es hackeado, entonces estas claves están disponibles para quien las esté mirando, ¿correcto? Pero luego pensé que si mi archivo wp es hackeado y alguien que no soy yo las está mirando, ya estoy en problemas...
¡Cualquier precaución es mejor que solo esperar lo mejor! Gracias por tu trabajo y esfuerzos.
Keith Davis
Hola
Gracias por una publicación corta e informativa.
Noto que en tu ejemplo hay cuatro claves secretas.
Parece haber más claves secretas en Wordpress 3.0, ¿se pueden agregar a versiones anteriores de Wordpress?
Personal editorial
Esas claves están disponibles con WordPress 3.0
Administrador
Dave
Necesitarás usar la versión 3.0 para utilizar las ocho claves secretas, en lugar de las cuatro anteriores. El nuevo generador de claves aleatorias de WordPress se encuentra en https://api.wordpress.org/secret-key/1.1/salt
Rick
Mmm, ¿entonces esto cambia tu contraseña de administrador o qué? No entiendo qué hace esto. Quizás sea porque no soy un hacker. Pero, si esto solo se almacena en tu archivo config.php, ¿no sería mucho más fácil para un hacker simplemente hackear tu sitio FTP y robar esta clave de seguridad del archivo config?
Quiero que mis sitios de WordPress sean más seguros, pero simplemente no entiendo qué está previniendo esto.
Jack
Bien dicho. Las instrucciones son bastante fáciles, pero creo que la seguridad y la protección se subestiman en la documentación. Gracias por explicarlo y hacer de la web un lugar más seguro.
gabrielle
Si desarrollas múltiples sitios de WordPress, ¿creas una clave de seguridad para cada uno o usas la misma en todos?
Personal editorial
Use a new one
Administrador
Konstantin
Mientras estás en ello:
¡¿Por qué no definir las constantes de sal y ahorrarte algunas consultas a la base de datos?!
Debería verse así:
define('AUTH_SALT', 'pon tu frase única aquí');
define('SECURE_AUTH_SALT', 'pon tu frase única aquí');
define('LOGGED_IN_SALT', 'pon tu frase única aquí');
define('NONCE_SALT', 'pon tu frase única aquí');
Este artículo de Digging into Wordpress explica las ventajas de esta práctica.
Tony
¡Gracias por compartir!
Personal editorial
Buena idea, ni siquiera lo había pensado.
Administrador
maged
muy útil e importante, gracias por compartir