Logo Digital avenue
Menú

93 176 02 44

Menú
Logo Digital Avenue

Qué son las SALTs en WordPress (claves secretas) y por qué cambiarlas

|
Claves secretas SALT de WordPress

La seguridad de WordPress no depende solo de mantener el core, plugins y temas actualizados. Uno de los elementos menos conocidos, pero muy efectivos, para reforzar tu sitio son las claves de seguridad y SALTs. Cambiarlas periódicamente ayuda a evitar accesos no autorizados y sesiones secuestradas.

Qué son las claves y SALTs de seguridad en WordPress

Cuando entras en tu WordPress con tu usuario y contraseña, el sistema guarda una cookie en tu navegador. Esa cookie es como un pase que le dice a WordPress:

“Este usuario ya se ha identificado, no hace falta que vuelva a poner su contraseña en cada página”.

El problema es que, si alguien roba esa cookie, podría hacerse pasar por ti y entrar en tu web sin necesidad de conocer la contraseña. Ahí es donde entran las claves de seguridad (KEYs) y las SALTs:

  • Las KEYs son contraseñas secretas que WordPress usa para firmar y proteger esas cookies.
  • Las SALTs son cadenas aleatorias adicionales que se combinan con esas claves para que las cookies resultantes sean más seguras y difíciles de falsificar.

Ejemplo sencillo: Imagina que tu web es una casa con cerradura

  • La KEY es la llave que abre la puerta.
  • La SALT es como un código secreto que tienes que marcar en el timbre antes de meter la llave.

Aunque alguien hiciera una copia de tu llave, no podría entrar sin conocer también ese código secreto.

Breve historia (por qué existen y cómo mejoraron la seguridad)

En versiones antiguas (≤ 2.3), WordPress usaba cookies basadas en MD5 del hash de tu contraseña. Aunque no exponían la contraseña, permitían reutilizar cookies para entrar al panel sin conocerla. Para solventar esta problemática, se adoptó un protocolo de cookies seguras que llegó entre las versiones 2.4 y 2.5, y entre las versiones 2.6 y 2.7 evolucionó hasta el sistema actual con 4 llaves (y sus correspondientes SALTs). Resultado de este proceso: cookies firmadas con KEY + SALT mucho más resistentes a reutilización y falsificación

Por qué hay 8 en total

WordPress protege diferentes aspectos de tu sesión y de la seguridad interna:

  • Una pareja (KEY + SALT) para la cookie de acceso normal.
  • Otra pareja para conexiones seguras (HTTPS).
  • Otra para cuando simplemente navegas logueado (sin estar en el panel de admin).
  • Otra para acciones sensibles (borrar/publicar), usando tokens llamados nonces.

En total son 4 pares (KEY + SALT), lo que hace 8 constantes que encontrarás en tu archivo wp-config.php

Explicación de cada clave y SALT

  1. AUTH_KEY + AUTH_SALT
    Protegen las cookies de autenticación estándar cuando un usuario inicia sesión.
  2. SECURE_AUTH_KEY + SECURE_AUTH_SALT
    Protegen cookies de autenticación bajo HTTPS, reforzando /wp-admin/ y otras áreas críticas.
  3. LOGGED_IN_KEY + LOGGED_IN_SALT
    Validan las cookies de usuarios ya logueados, incluso fuera del admin (ej.: área privada de cliente). 
  4. NONCE_KEY + NONCE_SALT
    Protegen los nonces (tokens de un solo uso) para acciones sensibles y evitan suplantaciones o reenvíos maliciosos.

Nota: algunos hosts almacenan estas constantes en archivos distintos (p. ej., un wp-salt.php) o restringen su edición; el objetivo es el mismo: mantenerlas fuera de alcance y rotables.

Por qué deberías cambiar las SALT regularmente

Actualizar periódicamente las claves y SALTs es una práctica recomendada dentro de las tareas de mantenimiento web de una instalación WordPress, ya que ayuda a reforzar la seguridad de las sesiones de usuario:

  • Invalidando todas las sesiones activas: fuerza el cierre de sesión de todos los usuarios.
  • Reduciendo el riesgo de secuestro de sesión si alguna cookie fue comprometida.
  • Reforzando la seguridad global de tu web.

Es especialmente recomendable después de un hackeo o sospecha de intrusión, porque un atacante podría haber leído tu wp-config.php. Cambiarlas corta de raíz cualquier sesión reutilizable.

¿Las Salts tienen algo que ver con las cookies de login de wordpress?

Relación entre SALTs y cookies de inicio de sesión en WordPress

Cuando te identificas en WordPress se generan cookies de autenticación.

¿Dónde entran en juego las SALTs?

Las cookies no guardan tu usuario y contraseña en plano (sería un desastre).
En su lugar, WordPress firma y cifra la información de autenticación con KEYs + SALTs.

Resultado: la cookie que se guarda en tu navegador es ilegible y no reutilizable fuera de tu servidor, es una cadena encriptada que solo puede validarse en tu servidor, porque depende de tus KEYs + SALTs definidos en wp-config.php.

Lo que pasa a las cookies de inicio de sesión si cambias las SALTs

Cuando regeneras las SALTs en tu wp-config.php:

  • Todas las cookies firmadas con las claves anteriores dejan de ser válidas.
  • Todos los usuarios, aunque hubieran marcado “Recuérdame”, se desconectan inmediatamente.
  • En el siguiente login, se generan cookies nuevas que se validan con las nuevas SALTs.

En resumen:

  • Las cookies controlan la persistencia de la sesión (duración).
  • Las KEYs + SALTs aportan la seguridad criptográfica (firma y verificación).
  • Al rotar SALTs, invalídas todas las sesiones y fuerzas nuevos inicios de sesión seguros.

Ambas cosas trabajan juntas: las cookies gestionan la duración y las SALTs gestionan la seguridad criptográfica.

Cómo cambiar las claves SALTs en WordPress

Cambiar las SALTs manualmente

1) Generar nuevas claves

Usa el servicio oficial para obtener 8 líneas nuevas (cada recarga genera un set distinto): https://api.wordpress.org/secret-key/1.1/salt/

Verás algo como:

define(‘AUTH_KEY’,         ‘…cadena aleatoria…’);

define(‘SECURE_AUTH_KEY’,  ‘…cadena aleatoria…’);

define(‘LOGGED_IN_KEY’,    ‘…cadena aleatoria…’);

define(‘NONCE_KEY’,        ‘…cadena aleatoria…’);

define(‘AUTH_SALT’,        ‘…cadena aleatoria…’);

define(‘SECURE_AUTH_SALT’, ‘…cadena aleatoria…’);

define(‘LOGGED_IN_SALT’,   ‘…cadena aleatoria…’);

define(‘NONCE_SALT’,       ‘…cadena aleatoria…’);

2) Editar wp-config.php

  1. Accede por FTP/SSH o desde el panel del hosting.
  2. Haz copia de seguridad de wp-config.php.
  3. Localiza el bloque de claves y SALTs actual.
  4. Sustituye todo el bloque por las 8 líneas recién generadas.
  5. Guarda. Todos los usuarios serán desconectados y deberán iniciar sesión de nuevo. Kinsta®

Cambiar las SALTs automáticamente con plugins

  • Salt Shaker (gratuito): permite programar rotaciones automáticas.
  • Solid Security (antiguo iThemes Security): incluye regeneración dentro de su hardening

Las claves y SALTs son como llaves + códigos secretos que blindan tus cookies y tokens. Cambiarlas periódicamente invalida sesiones antiguas y dificulta que alguien aproveche una cookie robada. Para una defensa por capas, integra este paso dentro de tu proceso de hardening de tu WordPress.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *