Logotipo da empresa proprietaria do removervirus.com.br
REMOVER VÍRUS AGORA

SALTs e Keys: rotação segura do wp-config.php em 5 minutos

Reforçar a segurança de um site WordPress pode começar com uma ação simples: a rotação de SALTs e Keys no wp-config.php. Esse procedimento leva menos de 5 minutos e é capaz de bloquear sessões comprometidas, dificultar ataques de hijacking e garantir mais proteção aos dados de login dos usuários.

O que são SALTs e Keys no WordPress?

No WordPress, SALTs (salts) e Keys (chaves de autenticação) são variáveis de segurança armazenadas no arquivo wp-config.php. Elas atuam como uma camada extra de criptografia para cookies e sessões, garantindo que as credenciais dos usuários não fiquem expostas em texto simples.

Função prática

  • Autenticação: garantem que apenas o usuário correto consiga validar sua sessão.
  • Proteção contra roubo de cookies: mesmo que um cookie seja capturado, sem as chaves corretas ele não será válido.
  • Expulsão de sessões comprometidas: ao rotacionar SALTs e Keys, todos os usuários são desconectados automaticamente, eliminando acessos indevidos.

👉 Leia também: Como reforçar a segurança do wp-config.php.

Por que rotacionar SALTs e Keys regularmente?

Muitos administradores esquecem de atualizar essas chaves após a instalação inicial do WordPress. O problema é que, com o tempo, elas podem ser comprometidas em casos de:

  • Invasão do servidor.
  • Vazamento de banco de dados.
  • Acesso não autorizado a backups antigos.
  • Exploração de vulnerabilidades em plugins e temas.

Benefícios da rotação periódica

  • Expulsar invasores já logados.
  • Evitar reutilização de cookies roubados.
  • Reforçar a criptografia de autenticação.
  • Demonstrar boas práticas de segurança digital.

Como rotacionar SALTs e Keys no wp-config.php em 5 minutos

A rotação pode ser feita de forma manual ou automática.

1. Backup antes de qualquer mudança

Sempre faça backup do arquivo wp-config.php e do banco de dados antes de alterar qualquer configuração crítica.

2. Acesse o gerador oficial de chaves

O WordPress possui um gerador oficial de SALTs e Keys:
👉 https://api.wordpress.org/secret-key/1.1/salt/

Cada vez que você acessa esse link, novas chaves aleatórias são geradas.

3. Localize as chaves no wp-config.php

Dentro do arquivo, procure a seção semelhante a esta:

define('AUTH_KEY',         'coloque sua frase única aqui');
define('SECURE_AUTH_KEY',  'coloque sua frase única aqui');
define('LOGGED_IN_KEY',    'coloque sua frase única aqui');
define('NONCE_KEY',        'coloque sua frase única aqui');
define('AUTH_SALT',        'coloque sua frase única aqui');
define('SECURE_AUTH_SALT', 'coloque sua frase única aqui');
define('LOGGED_IN_SALT',   'coloque sua frase única aqui');
define('NONCE_SALT',       'coloque sua frase única aqui');

4. Substitua pelas novas chaves

Apague as antigas e cole as novas geradas pelo site oficial.

5. Salve e teste

  • Salve o arquivo wp-config.php.
  • Acesse novamente o site.
  • Todos os usuários serão deslogados automaticamente.

Parabéns, em menos de 5 minutos você reforçou a segurança do seu WordPress.

Automatizando a rotação de SALTs e Keys

Se preferir automatizar esse processo:

  • Plugins de segurança como iThemes Security ou Salt Shaker permitem agendar a rotação.
  • Com WP-CLI, você pode rodar:
wp config shuffle-salts

Esse comando gera e substitui chaves automaticamente.

Boas práticas adicionais para o wp-config.php

  • Mover o arquivo wp-config.php para um nível acima da raiz do site.
  • Definir permissões corretas de arquivo (geralmente 600).
  • Ocultar erros do PHP para evitar exposição de caminhos internos.
  • Adicionar regras extras de segurança como DISALLOW_FILE_EDIT.

Conclusão

Realizar a rotação segura de SALTs e Keys no wp-config.php é uma das medidas mais rápidas e eficazes para reforçar a segurança do WordPress. Em apenas 5 minutos, você pode encerrar sessões comprometidas, bloquear acessos não autorizados e reduzir significativamente os riscos de invasão.

Não espere sofrer um ataque para aplicar essa boa prática. Programe a rotação regular de chaves e combine-a com outras medidas de proteção para garantir que seu site permaneça sempre seguro.

Se precisar de ajuda com configurações avançadas de segurança ou remoção de malware, entre em contato com nossa equipe especializada em proteção WordPress.

Posts Recentes

Tags
atualização atualização de plugins atualização de temas Atualizações auditoria de segurança autenticação de dois fatores backup backup WordPress CERT PL Cibersegurança CSRF CVSS desempenho Elementor execução de código remoto falsificação de solicitação Local File Inclusion malware Malware WordPress Mitigação Phishing plugin plugins plugins WordPress prevenção de malware proteção proteção de dados ProteçãoDeDados redirecionamentos maliciosos scripts maliciosos Segurança segurança de plugins Segurança de Sites Segurança Digital Segurança WordPress SEO Site hackeado Stored XSS Sucuri Vulnerabilidade WooCommerce Wordfence WordPress WordPress seguro XSS