Unlimited Plugins, WordPress themes, videos & courses! Unlimited asset downloads! From $16.50/m
Advertisement
  1. Code
  2. WordPress
Code

Come fare l'aggiornamento automatico di WordPress salt

by
Difficulty:IntermediateLength:MediumLanguages:

Italian (Italiano) translation by Cinzia Sgariglia (you can also view the original English article)

Se avete mai visualizzato il file di configurazione di base (wp-config.php) di un sito WordPress allora probabilmente avrete notato una sezione che definisce otto costanti WordPress relative alla salatura e le chiavi di sicurezza:

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • LOGGED_IN_KEY
  • NONCE_KEY
  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONCE_SALT

Nota: wp-config.php si trova nella cartella principale della vostra installazione di WordPress per impostazione predefinita.

Queste costanti contengono le chiavi di protezione e la salatura che vengono utilizzati internamente da WordPress per aggiungere un ulteriore livello di autenticazione e per migliorare la sicurezza.

WordPress utilizza i cookies (piuttosto che le sessioni PHP) per tenere traccia di chi è attualmente connesso. Queste informazioni vengono memorizzate nei cookie nel vostro browser.

Per assicurarsi che i dettagli dell'autenticazione siano il più protetti possibile, le chiavi uniche e la salatura sono usati per aumentare il livello di crittografia del cookie. Questi sono raccomandati di essere stringhe lunghe (in genere 64 caratteri) di caratteri casuali alfanumerici e simboli.

Le costanti delle chiavi di sicurezza AUTH_KEY, SECURE_AUTH_KEY e LOGGED_IN_KEY sono state aggiunte in WordPress 2.6, le quali hanno sostituito una singola chiave multifunzione introdotta prima in WordPress 2.5.

NONCE_KEY è stato aggiunto subito dopo, in WordPress 2.7. Le rispettive salature AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT e NONCE_SALT sono state aggiunte insieme ad ogni chiave di protezione, ma è solo fino a WordPress 3.0 che sono state aggiunte al wp-config.php.

Prima di WordPress 3.0, potevate aggiungere facoltativamente le vostre definizioni di costante di salatura a wp-config.php, altrimenti sarebbero state generate da WordPress e memorizzate nel database.

Mentre le quattro costanti delle chiavi di sicurezza sono necessarie, se rimuovete le costanti della salatura dal file di configurazione di WordPress, lasciategli i valori predefiniti, o qualsiasi salatura si trovi a essere un duplicato di un altra, allora WordPress invece recupera la salatura dal database.

Per i nuovi siti WordPress, le salature verranno generate e memorizzate nel database.

Inizialmente impostate le chiavi di sicurezza e la salatura

Durante l'installazione, WordPress non genera le chiavi di protezione/salature univoche in wp-config.php. Invece, lo stesso messaggio predefinito viene immesso per ogni costante.

Default WordPress Salts

Se avete appena installato WordPress su un server remoto quindi è consigliabile che modifichiate il messaggio predefinito per ogni costante di sicurezza chiave/salatura con un valore corretto e univoco.

A volte, il vostro host farà questo per voi se si installa WordPress tramite uno script personalizzato. Anche così, per tranquillità, si potrebbe voler aggiornare le chiavi di sicurezza/salatura subito dopo che l'installazione è completa.

Perché aggiornare le chiavi e la salatura?

Anche dopo che le chiavi di protezione e la salatura sono state inizialmente impostate, è una buona idea aggiornarli ogni tanto. Tutto ciò che si può fare per rendere il sito più sicuro è generalmente una buona idea.

E anche se è altamente improbabile che le password (insieme alle chiavi di sicurezza/salatura) potrebbero essere danneggiate, aggiornarli periodicamente ha senso come salvaguardia contro circostanze impreviste, come i backup del sito che vengano intercettati da terze parti indesiderate, ecc.

Come aggiornare le chiavi di sicurezza e la salatura

Quindi come si può effettivamente aggiornare le chiavi di sicurezza e la salatura? Diamo un'occhiata a un paio di metodi diversi.

Aggiornamento manuale delle chiavi e della salatura

Potete creare manualmente nuovi valori per ogni costante, ma questo è piuttosto noioso da fare, soprattutto se avete più di un sito WordPress da aggiornare! Inoltre, ogni chiave/salatura potrebbe non essere sicura come potrebbe essere.

Fortunatamente, le brave persone di WordPress hanno reso questo processo molto semplice, fornendo un'API per generare automaticamente i valori di chiave/salatura per voi. Tutto quello che dovete fare è visitare un URL per le chiavi segrete:

https://api.wordpress.org/secret-key/1.1/salt/

Quando viene caricata la pagina, vi saranno presentate stringhe univoche per ogni costante, come illustrato di seguito:

WordPress Salt Generator

Come potete vedere, ogni chiave/salatura di WordPress generata è una sequenza casuale di 64 caratteri. Provate ad aggiornare la pagina un paio di volte per ritenervi soddisfatti che l'URL genera chiavi/salatura completamente casuali ogni volta.

Se state sviluppando il vostro sito WordPress localmente allora potete semplicemente copiare e incollare le chiavi/salatura generati direttamente in wp-config.php per sostituire le voci esistenti.

Suggerimento: vi consiglio di utilizzare sempre l'URL sopra, che utilizza il protocollo HTTP sicuro.

Ciò eliminerà in modo efficace la possibilità a chiunque di intercettare le chiavi/salatura generati quando vi vengono restituiti prima di essere visualizzati nel browser.

Se il vostro sito è ospitato su un server remoto allora per aggiornare le chiavi/salatura avrete bisogno di accedere e modificare wp-config.php tramite il vostro pannello di controllo del server, o tramite un client FTP che permette di modificare i file remoti, a esempio FileZilla (gratis).

Utilizzare un Plugin per aggiornare le chiavi e la salatura

Se il pensiero di modificare manualmente dei file sul server remoto vi fa girare la testa allora è potete considerare di utilizzare un plugin. Si tratta di un modo molto semplice per aggiornare il vostro sicurezza chiavi/salatura con il clic di un pulsante.

Ci sono vari plugin disponibili per generare e aggiornare le chiavi di protezione e la salatura. Un plugin relativamente nuovo chiamato Salt Shaker, rilasciato in ottobre 2016, è una soluzione leggera e con il vantaggio che è possibile pianificare gli aggiornamenti automatici delle chiavi/salatura da verificare ogni volta che vi piace. E soprattutto, è gratuito. Diamo un'occhiata a come usarlo.

Scaricate Salt Shaker dal repository di WordPress o installatelo direttamente dal vostro pannello amministrazione di WordPress nel modo consueto. Andate su Plugin > Aggiungi nuovo e iniziate a digitare Salt Shaker nella casella di testo Cerca plugin.... Quando vedete il plugin comparire nell'elenco, fate clic su Installa ora.

Salt Shaker Plugin Installation

Dopo aver installato il plugin, verrà visualizzato un pulsante di Attiva. Fate clic qui per completare l'installazione.

Ora che il plugin è attivo, possiamo testarlo. Per accedere alle impostazioni del plugin, andate su Strumenti > Salt Shaker nel pannello amministrazione di WordPress.

Salt Shaker Settings

Qui, possiamo aggiornare le chiavi di sicurezza/salatura immediatamente con un singolo clic del mouse. Non appena si fa clic sul pulsante Change Now, viene visualizzata un'icona di caricamento a destra per indicare che il plugin sta aggiornando wp-config.php. Appena l'icona scomparirà, sapete che le chiavi di sicurezza/salatura sono state aggiornate.

Nel complesso, il plugin funziona molto bene e può potenzialmente risparmiare un sacco di tempo, soprattutto se si dispone di più siti web WordPress. Forse mi piacerebbe vedere un paio di altre opzioni per scegliere gli intervalli di periodo di tempo, a esempio tre mesi e sei mesi, per aumentare la flessibilità del plugin.

Inoltre, sarebbe utile un messaggio che indichi chiaramente quando sono stati aggiornati le chiavi/salatura — come farebbe un'ulteriore opzione del plugin di reindirizzare automaticamente alla pagina di login dopo aver aggiornato le chiavi/salatura.

In alternativa, possiamo selezionare la casella Change WP Keys and Salts e scegliere quando vengono aggiornate le costanti di wp-config.php. Questa è una funzione veramente bella e fondamentalmente consente di dimenticare di dover aggiornare le chiavi di sicurezza/salatura. Lasciate che il plugin lo faccia per voi!

Ricordate, però, che ogni volta che le chiavi di sicurezza/salatura vengono aggiornate, è necessario effettuare nuovamente il login. Questo perché i cookie relativi agli account di accesso vengono invalidati, e quindi gli utenti devono accedere nuovamente per aggiornare il cookie.

Pertanto, prima di cambiare le vostre chiavi di sicurezza/salatura, è una buona idea avere a portata di mano le informazioni di accesso così non restate accidentalmente bloccati fuori dal vostro sito.

Utilizzare uno Script di automazione per aggiornare le chiavi e la salatura

Se non volete utilizzare un plugin e avete un sacco di siti remoti di WordPress allora potreste considerare di utilizzare uno script per aggiornare direttamente le chiavi di sicurezza/salatura.

L'aspetto negativo di ciò è che è necessario essere abili nello scripting. Tuttavia, ci sono diverse soluzioni disponibili pronte all'uso, quindi non dovete necessariamente scrivere il codice.

Uno script di questo tipo, chiamato WP-Salts-Update-CLI di Ahmad Awais, aggiorna le chiavi di sicurezza/salatura su computer locale o server remoto.

Using a Script to Update Salts

Per installare questo script sul vostro computer (solo macOS), aprite una finestra di terminale e inserite quanto segue:

sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod +x ./wpsucli && sudo install ./wpsucli /usr/local/bin/wpsucli

Questo renderà uno script eseguibile globalmente disponibile tramite il comando wpsucli. È possibile eseguirlo sul computer locale per cercare attivamente tutte le istanze del file di configurazione di WordPress e sostituire le chiavi di sicurezza/salatura con i nuovi valori direttamente dall'URL dell'API chiave segreta di WordPress.

Quando si esegue lo script su un server remoto, si consiglia di effettuare questa operazione dalla cartella principale, ovvero cd /, e quindi eseguire wpsucli. Per ulteriori informazioni sullo script, vedere la pagina di informazioni principale.

Conclusione

In questo tutorial, abbiamo coperto cosa sono le chiavi di sicurezza/salatura di WordPress e perché è importante aggiornarle periodicamente. Abbiamo anche esaminato vari modi con i quali è possibile aggiornarle, da manualmente copia/incolla (se si dispone di accesso diretto al wp-config.php) all'utilizzo di un plugin per automatizzare completamente il processo. Se avete familiarità con la riga di comando potete anche utilizzare uno script personalizzato per aggiornare i siti locali/remoti abbastanza facilmente.

L'unico inconveniente è che è ancora necessario eseguire manualmente gli script che possono essere facilmente dimenticati, quindi piuttosto che doverlo pianificare nel vostro flusso di lavoro, utilizzare un plugin per automatizzare il processo potrebbe essere la miglior soluzione.

Qualunque sia il metodo scelto, la cosa importante è ricordare che state aggiungendo un ulteriore livello di sicurezza ai vostri siti WordPress, e tutto quello che potete fare per raggiungere questo obiettivo con il minimo sforzo può essere solo una buona cosa!

E se state cercando altre utility per aiutarvi a costruire il vostro crescente insieme di strumenti per WordPress o per studiare il codice e diventare più esperto di WordPress, non dimenticate di vedere ciò che abbiamo disponibile nell'Envato Market.

Advertisement
Advertisement
Advertisement
Advertisement
Looking for something to help kick start your next project?
Envato Market has a range of items for sale to help get you started.