Salteie as chaves salt do seu site com regularidade

Pssssttt… O que se segue é um segredo de polichinelo: mude as chaves salt do teu site WordPress com regularidade. Não sabes o que são as chaves salt? É o segredo de polichinelo.

Polichinelo é uma palavra que tem origem no latim ‘pullicenum’, que significa “franguinho”, correspondendo a “pessoa a quem falta traquejo”. Daqui derivou para o italiano “pucinello”, o nome de uma personagem napolitana da “commedia dell’arte”. Era um corcunda e com um peito disforme e um nariz recurvado. Representa, no fundo, um indivíduo matreiro, preguiçoso mas um campeão da astúcia.

Mais tarde, a palavra “polichinelle” chegou-nos de França, significando saltimbanco, palhaço e pessoa que muda muitas vezes de opinião.

A famosa expressão “segredo de polichinelo” corresponde a algo que supostamente é sigiloso mas que, na realidade, toda a gente sabe.

Depois de um pouco de cultura popular, vamos às chaves salt.

São oito e podes encontra-las no ficheiro wp-config, que reúne um conjunto fundamental de dados a propósito do teu site.

Das oito existentes, quatro são obrigatórias para melhorar a segurança de cada instalação. As outras não são obrigatórias mas são recomendadas. São usadas para reforçar a encriptação, ocultando informação guardada nos cookies.

Já não bastava salt, agora há cookies?

Os cookies são pequenos ficheiros usados de forma ampla por toda a Internet, para auxiliar a navegação dos visitantes num site. No caso do WordPress servem ainda para verificar a identidades de utilizadores registados ou se são autores de comentários, por exemplo.

Ora, para reforçar a informação presente nos cookies, são usadas chaves secretas de autenticação e salts, guardadas no wp-config. São longas, complexas e aleatórias, como uma senha deve ser.

Porque devem ser atualizadas as chaves salt?

A atualização as chaves salt com regularidade é apenas mais uma forma de reforçar a segurança de um site. É verdade que não é um dos aspectos apontados como fazendo parte dos cuidados prioritários de segurança WordPress. Talvez de forma errada. Deve ser mais uma tranca que se coloca numa porta que não se pretende ver arrombada.

É importante sobretudo para sites que permitem o registo de utilizadores, sejam eles clientes de lojas de comércio eletrónico ou subscritores que têm de se registar para fazerem comentários, por exemplo.

A atualização implica forçar todos os utilizadores registados a fazerem novo acesso, inserindo o nome de utilizador e a senha e eliminando os dados que estavam no respetivo cookie.

É muito importante quando alguém com um nível de acesso elevado, como um administrador, carrega de forma acidental no botão ‘Lembrar-me’ enquanto usa um computador que não o seu.

Numa circunstância dessas, a pessoa em causa deve alterar a senha no mais breve espaço de tempo possível e é essencial renovar as chaves salt, para uma limpeza geral de cookies.

Atualizar as salt

O WordPress dispõe de um gerador de salts. É tão simples quanto visitar a páginas e copiar as linhas geradas, que devem ser coladas no wp-config em substituição das que lá existem. Mas antes desta operação é importante fazer uma cópia de segurança do ficheiro wp-config.

E se não usar essas chaves de segurança?

Para começo de conversa é uma grave falha de segurança. Nesse caso, o WordPress irá gerar as suas próprias chaves e guarda-las numa tabela na base de de dados. Se, mais tarde, forem inseridas chaves no ficheiro wp-config, estas irão prevalecer sobre as outras.
No entanto, é sempre preferível efetuar esta tarefa, bem simples, de forma manual.