Nuevas medidas de seguridad en WordPress 2.6

Ya en la versión 2.5 se incorporó una nueva variable llamada SECRET_KEY, que podemos encontrar en el archivo wp-config.php

Seguro mucha gente como yo, que se haya basado en algún tutorial encontrado por la red para hacer una instalación rápida, habrá modificado tan solo los parámetros básicos

define(‘DB_NAME’, ‘wordpress’);
define(‘DB_USER’, ‘username’);
define(‘DB_USER’, ‘password’);
define(‘DB_HOST’, ‘localhost’);

Para generar la SECRET_KEY, podemos utilizar el link http://api.wordpress.org/secret-key/1.0/, que nos devuelve de forma automática la definición completa de la variable SECRET_KEY, y que simplemente tendremos que copiar en nuestro wp-config.php

define(‘SECRET_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase.

Sin embargo, a partir de WordPress 2.6 esta variable ha sido reemplazada por tres: AUTH_KEY, SECURE_AUTH_KEY y LOGGED_IN_KEY. Para generar sus valores, no he encontrado un link como el anterior que me genere estas claves, pero aun así podríamos utilizarlo sustituyendo tan solo el valor que nos devuelve (no la variable en sí ya que esta cambia), o bien generar las claves con alguna aplicación, como puede ser http://www.freepasswordgenerator.com/

Sea como fuere, cambia el valor que viene por defecto:

define(‘AUTH_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase.

define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase.

define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase.

Además he encontrado un buen artículo (http://www.sergionouvel.cl/2008/pasos-sencillos-para-mejorar-la-seguridad-de-wordpress/) en el que habla de otras medidas de seguridad, algunas bastante sencillas y a la vez lógicas, pero que en la mayoría de ocasiones no nos planteamos, quizás por lo obvias que son, como es el uso de un prefijo distinto a wp_, y la sustitución de la cuenta admin por otra distinta no anunciada a voces.

Deja un comentario