A cosa servono le secret keys nel file wp-config.php di WordPress?

WordpressDalla versione 2.5 di WordPress è stata introdotta una secret key da specificare all’interno del file wp-config.php. Nella versione 2.6 lo staff di WordPress ha ritenuto utile incrementare ulteriormente questa sicurezza sostituendo la chiave singola con un set di 3 chiavi distinte chiamate rispettivamente AUTH_KEY, SECURE_AUTH_KEY e LOGGED_IN_KEY. A cosa servono queste chiavi e come impostarle correttamente.


Tutto è nato dalla scoperta di un falla di sicurezza che avrebbe permesso di forzare la password dell’admin di una installazione WordPress in un tempo più o meno lungo utilizzando appositi dizionari. L’idea è stata quella di “salare” gli hash per la codifica delle password rendendo di fatto estremamente complessa (da un punto di vista computazionale) tale procedura. L’inserimento di queste chiavi segrete è consigliato ma non obbligatorio. In caso non vengano specificate dalla versione 2.5 di WordPress in poi verrà comunque usata una codifica delle password usando una chiave generata basandosi sulla data di modifica del file wp-config.phpSpecificando nel file wp-config tre chiavi “robuste” completamente casuali si otterrà un livello di sicurezza elevatissimo. Ok, come genero queste chiavi sacuali? A tal proposito ci vengono in aiuto un paio di tools online atti allo scopo: Il primo è stato predisposto direttamente dallo staff di WordPress, genera tre chiavi molto robuste in maniera del tutto automatica. Ogni volta che aprite il link (o ricaricate la pagina) verranno generate nuove chiavi casuali. Lo potete trovare QUI. Il secondo, GRC Ultra High Security Passwords, è più generico e permette di generare diversi tipi di chiavi. Anche in questo caso ad ogni apertura della pagina vengono generate nuove chiavi. Lo trovate QUI. Notare che il tool di GRC è a prova di spoofing e proxy grazie alla connessione sicura SSL.

Ok, trovate le chiavi dove le inseriamo?
Apriamo il file wp-config.php nella cartella principale dell’installazione di wordpress e cerchiamo le seguenti righe:

define('AUTH_KEY', 'inserire una frase univoca');
define(’SECURE_AUTH_KEY’, ‘inserire una frase univoca’);
define(’LOGGED_IN_KEY’, ‘inserire una frase univoca’);

Sostituiamo la dicitura ‘inserire una frase univoca’ con le chiavi generate dai tools indicati sopra per ottenere un risultato simile a quanto mostrato di seguito:

define(’AUTH_KEY‘, ‘|vB0%NN/`v;vZk`o&5Gtc,S[\"]!/OYr&#Q,:,A4&z#fD[?$n.n3H;mUx}Ye}y=U#’);
define(’SECURE_AUTH_KEY‘, ‘Wx%/;O5fSu</-wA!/cb^kTEkwAG9nCoJNL\’p~9s!/o\\b+_v{H8S|]oWt!\"MT`@\"E’);
define(’LOGGED_IN_KEY‘, ‘SGYn{0;wxkP*k+{$//5W?>|in`|8sV|Y$MJ_l396IE[hW3mFUcB)L-//Av\\,-8Pc’);

Salviamo il file appena modificato e siamo a posto.
A questo punto WordPress ci chiederà semplicemente di riautenticarci al nostro prossimo tentativo di accesso all’area di amministrazione.

Fonti: Levysoft, wordpress-it, codex.wordpress

Ti piace questo articolo? Consiglialo ad altri utenti:

1 Response to “A cosa servono le secret keys nel file wp-config.php di WordPress?”


Leave a Reply