Se você tem um site WordPress, provavelmente já se perguntou se está fazendo o suficiente para mantê-lo seguro. Senhas fortes e plugins atualizados são um ótimo começo, mas há outra camada de proteção que muitos proprietários de sites negligenciam.
Apresentamos as chaves de segurança do WordPress.
Essas chaves são um recurso poderoso que pode aumentar instantaneamente as defesas do seu site. Elas ajudam a proteger contra tentativas de hacking, especialmente em torno do login e da autenticação.
Nos bastidores, elas embaralham dados confidenciais para impedir que invasores sequestrem sessões ou se infiltrem no seu site.
Neste guia, vamos detalhar tudo o que você precisa saber sobre as chaves de segurança do WordPress. Desde entender o que elas fazem até aplicá-las corretamente no seu site, ajudaremos você a dormir mais tranquilo sabendo que seu site WordPress tem essa camada de segurança implementada. 🛡️
O que são Chaves de Segurança e SALTs do WordPress?
Em resumo, as chaves de segurança do WordPress são ferramentas de criptografia que protegem suas informações de login, tornando mais difícil decodificá-las. SALTs, por outro lado, adicionam dados aleatórios a essas informações criptografadas, adicionando outra camada de segurança às suas credenciais armazenadas.
As chaves de segurança do WordPress funcionam como chaves reais e são usadas para bloquear e desbloquear informações criptografadas, como senhas, mantendo seu site WordPress seguro.
Veja como funciona.
Basicamente, quando você faz login em um site WordPress, suas informações são armazenadas nos cookies do seu computador. Isso permite que você continue trabalhando no seu site sem a necessidade de fazer login toda vez que uma página é carregada.
Todas as informações são armazenadas de forma criptografada, convertendo-as em uma sequência de caracteres alfanuméricos e especiais. Esses dados criptografados podem ser traduzidos usando as chaves de segurança do WordPress. Sem as chaves, esses dados são quase impossíveis de decifrar.
Seu site WordPress gera automaticamente essas chaves de segurança e as armazena em seu arquivo de configuração do WordPress (wp-config.php).
Existem um total de quatro chaves de segurança:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Além das chaves de segurança do WordPress, você também encontrará os seguintes SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Os SALTs adicionam informações extras aos seus dados criptografados, o que fornece outra camada de segurança para seus dados criptografados.
Por que usar chaves de segurança do WordPress?
As chaves de segurança do WordPress protegem seu site contra tentativas de hacking tornando suas senhas seguras.
Por exemplo, uma senha comum com dificuldade de nível médio pode ser facilmente quebrada usando ataques de força bruta.
Por outro lado, uma sequência de senha como '7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49' leva anos para ser descriptografada sem o conhecimento das chaves de segurança.
É por isso que você nunca deve compartilhar as chaves de segurança do WordPress com ninguém e protegê-las como você normalmente protege informações confidenciais online.
Com isso em mente, veremos como usar as chaves de segurança do WordPress para manter seu site WordPress protegido. Aqui está um breve resumo de todos os tópicos que compartilharemos nas seções a seguir:
- Como usar chaves de segurança do WordPress?
- Como regenerar chaves de segurança do WordPress usando um plugin?
- Dica Bônus: Adicione proteção extra com autenticação de dois fatores (2FA)
- Perguntas Frequentes Sobre Chaves de Segurança do WordPress
- Recursos Adicionais para Segurança Mais Forte do Site WordPress
Vamos lá!
Como usar chaves de segurança do WordPress?
Geralmente, você não precisa fazer nada extra, pois, na maioria dos casos, o WordPress gerará e usará automaticamente chaves de segurança + salts em cada nova instalação do WordPress.
Você pode visualizar suas chaves de segurança e salts do WordPress usando um cliente FTP ou o aplicativo Gerenciador de Arquivos no painel de controle da sua conta de hospedagem WordPress.
Simplesmente conecte-se ao seu site e abra o arquivo wp-config.php. Dentro dele, você verá suas chaves de segurança do WordPress definidas.
No entanto, dependendo de como você instalou o WordPress inicialmente, seu site pode não ter chaves de segurança definidas.
Se suas chaves de segurança estiverem vazias, não se preocupe. Você pode adicioná-las facilmente manualmente acessando a página Gerador de Chaves de Segurança do WordPress para gerar um novo conjunto de chaves.
Em seguida, copie e cole essas chaves dentro do seu arquivo wp-config.php, e pronto.
Você pode usar o mesmo método para excluir suas chaves de segurança atuais do WordPress e substituí-las por novas.
📝 Observação: Ao substituir as chaves de segurança, todos os usuários serão forçados a fazer login novamente, o que é ótimo para a segurança.
Como regenerar chaves de segurança do WordPress usando um plugin?
Se você suspeitar que seu site foi hackeado, você precisará regenerar as chaves de segurança do WordPress e alterar suas senhas.
Você pode copiar e colar manualmente novas chaves de segurança, como mencionado acima. No entanto, você também pode usar um plugin. Dessa forma, você pode definir um cronograma para regenerar automaticamente as chaves de segurança regularmente também.
1. Atualizar Chaves de Segurança do WordPress usando Sucuri
A maneira mais fácil de regenerar automaticamente as chaves de segurança do WordPress é usando o Sucuri. É um dos melhores plugins de segurança do WordPress do mercado que protege seu site WordPress contra ameaças comuns.
Para mais informações sobre a ferramenta, você pode conferir nossa extensa análise do Sucuri.
Para começar, a primeira coisa que você precisará fazer é instalar e ativar o plugin Sucuri Security. Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress.
Após a ativação, você desejará visitar a página Sucuri Security » Configurações e mudar para a aba ‘Pós-Invasão’.
A partir daqui, basta clicar no botão ‘Gerar Novas Chaves de Segurança’ na seção ‘Atualizar Chaves Secretas’.
📝 Observação: Regenerar novas chaves de segurança irá desconectá-lo da área de administração do WordPress, e você precisará fazer login novamente.
Depois disso, revisite a página Sucuri Security » Configurações e mude para a aba ‘Pós-Invasão’ novamente.
Na seção de chaves de segurança, ative o ‘Atualizador Automático de Chaves Secretas’ escolhendo uma frequência (diária, semanal, mensal, anual).
Em seguida, clique no botão ‘Enviar’.
Sucuri agora redefinirá automaticamente suas chaves de segurança do WordPress com base na frequência escolhida.
2. Atualize as Chaves de Segurança do WordPress usando o Salt Shaker
Este método é para usuários que não estão usando o Sucuri e precisam automatizar a regeneração das chaves de segurança.
Primeiro, você precisa instalar e ativar o plugin Salt Shaker. Para mais detalhes, veja nosso guia passo a passo sobre como instalar um plugin do WordPress.
Após a ativação, você precisará visitar a página Ferramentas » Salt Shaker para configurar as opções do plugin.
A partir daqui, você pode definir um cronograma para gerar as chaves de segurança automaticamente. Você também pode simplesmente clicar no botão ‘Alterar agora’ para regenerar as chaves de segurança imediatamente.
Dica Bônus: Adicione proteção extra com autenticação de dois fatores (2FA)
Adicionar Autenticação de Dois Fatores (2FA) juntamente com suas chaves de segurança do WordPress pode tornar seu site ainda mais seguro.
Mesmo que alguém consiga obter uma de suas chaves de segurança, ainda precisará de uma segunda etapa de verificação para fazer login. Isso torna muito mais difícil para hackers acessarem seu site.
Configurar 2FA no WordPress é simples com plugins como Google Authenticator ou Authy.
Geralmente, tudo o que você precisa fazer é instalar e ativar seu autenticador escolhido, depois seguir o processo de configuração para vinculá-lo à sua conta. Uma vez configurado, ative o 2FA para você e outros usuários para adicionar uma camada extra de segurança ao fazer login.
Para instruções detalhadas passo a passo, leia nosso guia sobre adicionar autenticação de dois fatores no WordPress.
Perguntas Frequentes Sobre Chaves de Segurança do WordPress
Tem dúvidas sobre as chaves de segurança do WordPress? Aqui estão algumas das mais comuns – respondidas.
O que acontece se meu arquivo wp-config.php não tiver chaves de segurança?
Se o seu arquivo wp-config.php estiver sem as chaves de segurança, o WordPress as criará automaticamente para a sessão atual.
No entanto, este método não é tão seguro. Sem chaves permanentes definidas em seu arquivo, a criptografia que protege seus cookies de login é mais fraca. Isso torna seu site mais vulnerável a ataques.
Com que frequência devo trocar minhas chaves de segurança do WordPress?
Para a maioria dos sites, não há necessidade de trocar suas chaves em um cronograma regular.
No entanto, se você suspeitar que seu site foi hackeado ou comprometido, você deve atualizá-las imediatamente. Ao trocar suas chaves, todos os usuários são desconectados automaticamente. Isso ajuda a proteger seu site, cortando qualquer acesso não autorizado que possa ter ocorrido.
Trocar minhas chaves de segurança é suficiente depois que meu site é hackeado?
Não, a alteração das suas chaves de segurança é apenas um passo importante. Você também deve alterar todas as senhas de usuário, verificar seu site em busca de malware, remover quaisquer contas de usuário suspeitas e considerar a restauração a partir de um backup limpo.
Recursos Adicionais para Segurança Mais Forte do Site WordPress
Esperamos que este artigo tenha ajudado você a entender as chaves de segurança do WordPress e como usá-las. Em seguida, você também pode querer ver nossos guias sobre:
- Melhores Plugins de Firewall para WordPress Comparados
- Como Realizar uma Auditoria de Segurança do WordPress
- Guia para Iniciantes sobre Funções e Permissões de Usuário no WordPress
- Como Obter um Certificado SSL Gratuito para o Seu Site WordPress
- Como Corrigir o Erro de Conexão Segura no WordPress
- Melhores Plugins de Backup do WordPress Comparados (Prós e Contras)
- Guia Definitivo para Fazer Backup do Seu Site WordPress
- O Guia Definitivo de Segurança do WordPress – Passo a Passo
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Samuel
Uau!, muito obrigado por este artigo, eu sempre vi essas chaves no arquivo wp-config, mas não sabia qual função elas desempenhavam. Este artigo ilumina o uso delas. No entanto, gostaria de fazer uma pergunta. Se eu alterar essas chaves de segurança sem alterar minha senha, isso afetará a senha? Estou apenas curioso.
WPBeginner Support
As chaves de segurança não afetam diretamente suas senhas de usuário, portanto, não haverá alteração na sua senha.
Admin
Samuel
Muito obrigado por fornecer esclarecimentos para esta pergunta. Inicialmente, eu estava pensando que poderia afetar as senhas.
Mrteesurez
Estou ouvindo apenas 'SALT' aqui neste post, qual é a diferença entre SALT e KEY?
Posso apenas atualizar essas chaves mesmo que eu não suspeite de nenhuma tentativa de invasão?
Se sim, com que frequência elas devem ser alteradas?? Obrigado.
WPBeginner Support
Depende da sua preferência pessoal, mas elas podem ser alteradas com a frequência de uma vez por semana ou uma vez por trimestre, dependendo de quanto você gostaria de focar em alterá-las.
Admin
Jiří Vaněk
Em relação às chaves de segurança, encontrei um problema ao migrar o site para um novo banco de dados. Mesmo após alterar a conexão no arquivo wp-config.php, o WordPress se recusou a conectar ao novo BD, relatando um 'erro de estabelecimento'. Eventualmente, tive que excluir o antigo wp-config.php, fazer o upload de um novo do pacote de instalação, reinserir a conexão com o novo banco de dados e, então, tudo funcionou bem. Parece que as chaves no arquivo wp-config.php foram as culpadas.
Josh
Com que frequência você recomenda a troca das chaves? Trimestralmente, como mostrado na captura de tela?
WPBeginner Support
No momento, não temos um tempo de atualização recomendado específico, além de, no mínimo, após um ataque ao seu site.
Admin
Bjornen Nilsson
Olá,
PERGUNTA »
Isso afetará algo além de um aumento de segurança "extremo" se o navegador da web for configurado para excluir todo o histórico, arquivos temporários, cookies, etc. toda vez que for fechado E se o SALT for alterado no wp-config após cada logout?
Obrigado!
shanderman
Olá,
Eu tenho 2 URLs de produto, para 1 produto. Assim:
example.com/?product=product-name
example.com/product/product-name/
Por quê? Como devo consertar isso? Por favor, me ajude.
WPBeginner Support
Olá shanderman,
Por favor, visite a página Configurações » Links Permanentes para garantir que seu site WordPress esteja usando URLs amigáveis para SEO.
Depois disso, visualize o código-fonte do seu site e certifique-se de que ele esteja exibindo o formato de URL que você deseja.
A estrutura de URL feia ainda funcionará no WordPress se você a digitar no navegador. No entanto, a URL canônica do seu produto será aquela que você escolher na página de configurações de links permanentes. Estas são as URLs que os motores de busca seguirão e indexarão.
Admin
sam
Sou iniciante em Wordpress, tenho uma dúvida de como essas chaves tornam o Wordpress seguro? Quero saber o papel real e o funcionamento das chaves?
Kishan Dalsania
Qual é o benefício real de usar essas chaves em config.php. Você pode definir como isso funcionará para impedir hackers?
sam
Olá, usei este método e não consigo mais acessar meu site. Como faço para consertar ou remover os problemas?
WPBeginner Support
Por favor, dê uma olhada em nosso tutorial sobre o que fazer quando você está bloqueado da área de administração do WordPress.
Admin
kOoLiNuS
Apenas uma pergunta rápida... Por que você sugere:
Em vez do último? Você tem alguns links que exploram essa abordagem?
Obrigado antecipadamente!
Nick
No wordpress 3.1 essas chaves são geradas automaticamente.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Agradeço esta informação e atualizei rapidamente meus arquivos. Minha preocupação é a mesma do Rick de abril, no sentido de que se meu arquivo wp-config.php for hackeado, essas chaves estarão disponíveis para quem as estiver vendo, correto? Mas então pensei que se meu arquivo wp for hackeado e alguém que não seja eu estiver vendo, já estarei em apuros…
Qualquer precaução é melhor do que apenas esperar pelo melhor! Obrigado pelo seu trabalho e esforços.
Keith Davis
Olá
Obrigado por uma postagem curta e informativa.
Notei que em seu exemplo há quatro chaves secretas.
Parece haver mais chaves secretas no Wordpress 3.0 – elas podem ser adicionadas a versões anteriores do Wordpress?
Equipe Editorial
Essas chaves ficam disponíveis com o WordPress 3.0
Admin
Dave
Você precisará usar a versão 3.0 para utilizar todas as oito chaves secretas, em vez das quatro anteriores. O novo gerador de chaves aleatórias do WordPress pode ser encontrado em https://api.wordpress.org/secret-key/1.1/salt
Rick
Hum, então isso muda sua senha de administrador ou o quê? Eu não entendo o que isso faz? Talvez seja porque eu não sou um hacker. Mas, se isso for apenas armazenado no seu arquivo config.php, não seria muito mais fácil para um hacker invadir seu site ftp e pegar essa chave de segurança do arquivo de configuração?
Eu quero que meus sites WordPress sejam mais seguros, mas eu simplesmente não entendo o que isso está impedindo?
Jack
Bem dito. As instruções são bem fáceis, mas acho que a segurança e a proteção são subestimadas na documentação. Obrigado por explicar e tornar a web um lugar mais seguro.
gabrielle
Se você desenvolve múltiplos sites WordPress, você cria uma chave de segurança para cada um ou usa a mesma em todos eles?
Equipe Editorial
Use a new one
Admin
Konstantin
Enquanto você está nisso:
Por que não definir as constantes de sal e economizar algumas consultas ao banco de dados?!
Deve ficar assim:
define('AUTH_SALT', 'coloque sua frase única aqui');
define('SECURE_AUTH_SALT', 'coloque sua frase única aqui');
define('LOGGED_IN_SALT', 'coloque sua frase única aqui');
define('NONCE_SALT', 'coloque sua frase única aqui');
Este artigo do Digging into Wordpress explica as vantagens dessa prática.
Tony
Obrigado por compartilhar!
Equipe Editorial
Boa ideia, nem pensei nisso.
Admin
maged
muito útil e importante, obrigado por compartilhar