Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

O que, por que e como são as chaves de segurança do WordPress

Em nossa experiência, a segurança do WordPress é um dos aspectos mais importantes a serem considerados na administração de um site. E as chaves de segurança do WordPress são uma parte fundamental para manter seu site seguro.

Essas chaves ajudam a proteger seu site contra tentativas de invasão, especialmente quando se trata de proteger logins e autenticação. O uso adequado delas pode dar ao seu site WordPress um grande impulso de segurança.

Neste artigo, explicaremos o que são chaves e sais de segurança do WordPress e por que eles são tão importantes para proteger seu site.

WordPress security keys guide for beginners

O que são chaves de segurança e SALTs do WordPress?

As chaves de segurança do WordPress são uma ferramenta de criptografia que protege as informações de login, tornando-as mais difíceis de serem decodificadas.

Essas chaves funcionam exatamente como chaves reais e são usadas para bloquear e desbloquear informações criptografadas, como senhas, mantendo seu site WordPress seguro.

WordPress security keys diagram

Veja como isso funciona.

Basicamente, quando você faz login em um site do WordPress, suas informações são armazenadas nos cookies do seu computador. Isso permite que você continue trabalhando em seu site sem a necessidade de fazer login sempre que uma página for carregada.

Todas as informações são armazenadas de forma criptografada, convertendo-as em uma sequência de caracteres alfanuméricos e especiais. Esses dados criptografados podem ser traduzidos usando as chaves de segurança do WordPress. Sem as chaves, é quase impossível decifrar esses dados.

Seu site WordPress gera automaticamente essas chaves de segurança e as armazena em seu arquivo de configuração do WordPress (wp-config.php).

Há um total de quatro chaves de segurança:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY

Além das chaves de segurança do WordPress, você também encontrará os seguintes SALTs.

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Os sais adicionam informações extras às suas informações criptografadas, o que fornece outra camada de segurança para seus dados criptografados.

Por que usar as chaves de segurança do WordPress?

As chaves de segurança do WordPress protegem seu site contra tentativas de invasão, tornando suas senhas seguras.

Por exemplo, uma senha comum com dificuldade de nível médio pode ser facilmente decifrada por meio de ataques de força bruta.

Por outro lado, uma cadeia de senhas como ‘7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49’ leva anos para ser descriptografada sem o conhecimento das chaves de segurança.

É por isso que você nunca deve compartilhar as chaves de segurança do WordPress com ninguém e protegê-las como normalmente protege informações confidenciais on-line.

Com isso em mente, veremos como usar as chaves de segurança do WordPress para manter seu site protegido. Aqui está uma visão geral rápida de todos os tópicos que compartilharemos nas seções a seguir:

Vamos mergulhar de cabeça!

Como usar as chaves de segurança do WordPress?

Em geral, você não precisa fazer nada a mais, pois, na maioria dos casos, o WordPress gerará e usará automaticamente as chaves de segurança + sais em cada nova instalação do WordPress.

Você pode visualizar suas chaves e sais de segurança do WordPress usando um cliente FTP ou o aplicativo Gerenciador de arquivos no painel de controle da sua conta de hospedagem do WordPress.

Basta conectar-se ao seu site e abrir o arquivo wp-config.php. Nele, você verá suas chaves de segurança do WordPress definidas.

Security keys WordPress configuration file

No entanto, dependendo de como você instalou o WordPress inicialmente, seu site pode não ter nenhuma chave de segurança definida.

Se suas chaves de segurança estiverem vazias, não se preocupe. Você pode adicioná-las manualmente com facilidade acessando a página Gerador de chaves de segurança do WordPress para gerar um novo conjunto de chaves.

WordPress security key generator

Em seguida, copie e cole essas chaves no arquivo wp-config.php e pronto.

Você pode usar o mesmo método para excluir suas chaves de segurança atuais do WordPress e substituí-las por novas chaves.

Observação: Ao substituir as chaves de segurança, todos os usuários serão forçados a fazer novo login, o que é ótimo para a segurança.

Como regenerar as chaves de segurança do WordPress usando um plug-in?

Se você suspeitar que seu site foi invadido, precisará gerar novamente as chaves de segurança do WordPress e alterar suas senhas.

Você pode copiar e colar manualmente novas chaves de segurança, conforme mencionado acima. No entanto, você também pode usar um plug-in. Dessa forma, você também pode definir uma programação para regenerar automaticamente as chaves de segurança com regularidade.

Dica de especialista: Você acha que seu site foi hackeado? Recupere sua tranquilidade com nosso serviço especializado de reparo de sites invadidos. Confie em nossa equipe experiente para lidar com as complexidades técnicas e colocar seu site em funcionamento novamente.

1. Atualize as chaves de segurança do WordPress usando o Sucuri

A maneira mais fácil de regenerar automaticamente as chaves de segurança do WordPress é usar o Sucuri. Ele é um dos melhores plug-ins de segurança do WordPress no mercado que protege seu site WordPress contra ameaças comuns.

Para obter mais informações sobre a ferramenta, confira nossa extensa análise da Sucuri.

Para começar, a primeira coisa que você precisa fazer é instalar e ativar o plug-in Sucuri Security. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.

Após a ativação, visite a página Configurações do Sucuri Security “ e alterne para a guia “Post-Hack”.

Update security keys using Sucuri

A partir daí, basta clicar no botão “Generate New Security Keys” (Gerar novas chaves de segurança) na seção “Update Secret Keys” (Atualizar chaves secretas).

Observação: a regeneração de novas chaves de segurança fará com que você saia da área de administração do WordPress, e será necessário fazer login novamente.

Regenerate security keys

Depois disso, acesse novamente a página Configurações do Sucuri Security “ e mude para a guia “Post-Hack” novamente.

Na seção de chaves de segurança, ative o “Automatic Secret Keys Updater” (Atualizador automático de chaves secretas) escolhendo uma frequência (diária, semanal, mensal, anual). Em seguida, clique no botão “Submit” (Enviar).

Automatically update security keys

A Sucuri agora redefinirá automaticamente suas chaves de segurança do WordPress com base na frequência escolhida.

2. Atualizar as chaves de segurança do WordPress usando o Salt Shaker

Esse método é para usuários que não estão usando o Sucuri e precisam automatizar a regeneração da chave de segurança.

Primeiro, você precisa instalar e ativar o plug-in Salt Shaker. Para obter mais detalhes, consulte nosso guia passo a passo sobre como instalar um plug-in do WordPress.

Após a ativação, você precisará visitar a página Tools ” Salt Shaker para definir as configurações do plug-in.

Update security keys with Salt Shaker

A partir daqui, você pode definir uma programação para gerar chaves de segurança automaticamente. Você também pode simplesmente clicar no botão “Change now” para gerar novamente as chaves de segurança imediatamente.

Dica bônus: Adicione proteção extra com a autenticação de dois fatores (2FA)

A inclusão da autenticação de dois fatores (2FA) junto com as chaves de segurança do WordPress pode tornar seu site ainda mais seguro.

Mesmo que alguém consiga obter uma de suas chaves de segurança, ainda precisará de uma segunda etapa de verificação para fazer login. Isso torna muito mais difícil para os hackers entrarem em seu site.

Add two factor authentication code to continue

A configuração da 2FA no WordPress é simples com plug-ins como o Google Authenticator ou o Authy.

Em geral, tudo o que você precisa fazer é instalar e ativar o autenticador escolhido e, em seguida, seguir o processo de configuração para vinculá-lo à sua conta. Depois de configurado, ative a 2FA para você e outros usuários para adicionar uma camada extra de segurança ao fazer login.

Para obter instruções detalhadas passo a passo, leia nosso guia sobre como adicionar a autenticação de dois fatores no WordPress.

Esperamos que este artigo tenha ajudado você a entender as chaves de segurança do WordPress e como usá-las. Talvez você também queira ver nosso guia sobre como corrigir o erro de conexão segura no WordPress ou nossa seleção especializada dos melhores plug-ins de firewall para WordPress.

Se você gostou deste artigo, inscreva-se em nosso canal do YouTube para receber tutoriais em vídeo sobre o WordPress. Você também pode nos encontrar no Twitter e no Facebook.

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

The Ultimate WordPress Toolkit

Get FREE access to our toolkit - a collection of WordPress related products and resources that every professional should have!

Reader Interactions

25 ComentáriosLeave a Reply

  1. Jiří Vaněk

    Regarding security keys, I encountered an issue when migrating the website to a new database. Even after changing the connection in the wp-config.php file, WordPress refused to connect to the new DB, reporting an ‘establishing error.’ Eventually, I had to delete the old wp-config.php, upload a new one from the installation package, re-enter the connection to the new database, and then everything worked fine. It seems that the keys in the wp-config.php file were the culprit.

  2. Josh

    How often do you recommend changing the keys? Quarterly as shown in the screenshot?

    • WPBeginner Support

      We do not have a specific recommended refresh time at the moment other than after a hack on your site at a minimum.

      Admin

  3. Bjornen Nilsson

    Hi,

    QUESTION »
    Will it affect anything besides “extreme” increased security if one has the web browser set to delete all history, temp, cookies etc. every time it is shut down AND if one changes the SALT in wp-config after logging out each time?

    Thanks!

  4. shanderman

    Hi,
    I have 2 url product,for 1 product.like this:

    example.com/?product=product-name
    example.com/product/product-name/

    why? how should i fix it? please help me.

    • WPBeginner Support

      Hi shanderman,

      Please visit Settings » Permalinks page to make sure that your WordPress site is using SEO friendly URLs.

      After that view your website’s source code and make sure that it is showing the URL format that you like.

      The ugly URL structure will still work in WordPress if you typed it in the browser. However, your product’s canonical URL will be the one you choose on the permalinks settings page. This is the URLs that search engines will follow and index.

      Admin

  5. sam

    I am a beginner to WordPress , i have a doubt how those keys make the WordPress secure ? i want to know the actual role and working of the keys ?

  6. Kishan Dalsania

    What is the actual benefit of these using the keys in config.php. Can you define how it will work to prevent the hackers?

  7. sam

    Hi , i have used this method and can not log onto my site at all. how do i fix it or remove the issues

  8. kOoLiNuS

    Just a quick question… Why do you suggest to:

    We recommend that you use that rather than inventing your own.

    Instead of the latter? Have you got some links that dig this approach?
    Thank you in advance!

  9. Nick

    In wordpress 3.1 these keys are automatically generated.

    • MichealKennedy

      Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it ;)

  10. Riese F

    Appreciate this information and quickly updated my files. My concern is the same as Ricks’ from April in that if my wp-config.php file is hacked then these keys are available to whomever is looking at them correct? But then I thought that if my wp file is hacked and someone other than me is looking at them I am already in trouble…

    Any precaution is better than just hoping for the best though! Thank you for your work and efforts.

  11. Keith Davis

    Hi
    Thanks for a short and informative post.
    I notice that in your example there are four secret keys.
    There appear to be more secret keys in WordPress 3.0 – can these be added to previous versions of WordPress?

  12. Rick

    Um, so does this change your admin password or what? I don’t understand what this does? Maybe that’s because I’m not a hacker. But, if this is just stored in your config.php file, wouldn’t it be way easier for a hacker just to hack into your ftp site and nab this security key out of the config file?

    I want my WordPress sites to be more secure, but I just don’t understand what this is preventing?

  13. Jack

    Nicely said. The directions are pretty easy, but I think the security and safety is understated in the documentation. Thanks for spelling it out and making the web a safer place.

  14. gabrielle

    if you develop multiple wordpress sites do you create a security key for each one or use the same one on all of them?

  15. Konstantin

    While you’re adt it:
    Why not define the salt constants and save yourself some database queries?!

    It should look like this:

    define('AUTH_SALT', 'put your unique phrase here');
    define('SECURE_AUTH_SALT', 'put your unique phrase here');
    define('LOGGED_IN_SALT', 'put your unique phrase here');
    define('NONCE_SALT', 'put your unique phrase here');

    This article from Digging into WordPress explains the advantages of this practice.

  16. maged

    very handy and important thanks for sharing

Leave A Reply

Thanks for choosing to leave a comment. Please keep in mind that all comments are moderated according to our comment policy, and your email address will NOT be published. Please Do NOT use keywords in the name field. Let's have a personal and meaningful conversation.