Gerador de Chaves Secretas do WordPress

O Gerador de Chaves Secretas do WordPress cria chaves de segurança e salts criptograficamente seguros para o seu arquivo wp-config.php. Essas 8 strings exclusivas protegem as sessões dos usuários, evitam a falsificação de cookies e defendem contra ataques CSRF. Geradas usando um CSPRNG (Gerador de Números Pseudo-Aleatórios Criptograficamente Seguro), cada chave nunca é armazenada ou registrada.

O Que São Chaves de Segurança e Salts do WordPress?

O WordPress utiliza 8 constantes criptográficas no seu arquivo wp-config.php para garantir a segurança da autenticação. Quatro são chaves (segredos principais de criptografia) e quatro são salts (aleatoriedade adicional que fortalece o hash):

Como Chaves e Salts Trabalham Juntos

Quando um usuário faz login no WordPress, o sistema cria um cookie de autenticação. Este cookie é criptografado usando uma combinação da chave de segurança e seu salt correspondente. A chave fornece o segredo principal de criptografia, enquanto o salt adiciona dados imprevisíveis ao algoritmo de hash (HMAC), tornando exponencialmente mais difícil para um atacante fazer engenharia reversa do valor do cookie, mesmo que ele o intercepte.

Sem chaves e salts adequados, o WordPress usa valores padrão que são mais fracos e idênticos entre instalações, tornando seu site vulnerável a ataques baseados em cookies.

Como Instalar Suas Chaves de Segurança

1. Gere as chaves usando esta ferramenta com suas configurações preferidas.
2. Copie todas as chaves usando o botão "Copiar Todas as Chaves".
3. Abra o wp-config.php via FTP/SFTP. Este arquivo está localizado no diretório raiz do seu WordPress.
4. Encontre a seção de chaves — procure pelo comentário /* Authentication Unique Keys and Salts */.
5. Substitua todas as 8 linhas define() pelas suas chaves recém-geradas, depois salve e envie o arquivo.

Nota: Alterar as chaves de segurança desconectará todos os usuários atualmente logados. Eles precisarão fazer login novamente com sua senha. Este é o comportamento esperado e é, na verdade, útil para fins de segurança.

Quando Você Deve Alterar Suas Chaves de Segurança?

Comprimento da Chave e Entropia

A entropia mede a aleatoriedade (imprevisibilidade) de suas chaves em bits. Uma entropia maior significa mais combinações possíveis que um atacante precisaria tentar. Para contexto:

• 128 bits — Mínimo recomendado para a maioria das aplicações criptográficas
• 256 bits — Considerado inquebrável com a tecnologia atual (nível AES-256)
• 400+ bits — A chave padrão de 64 caracteres do WordPress com o conjunto completo de caracteres fornece aproximadamente 406 bits de entropia

Mesmo a chave padrão de 64 caracteres com o conjunto completo de caracteres excede em muito o que qualquer ataque de força bruta poderia quebrar.

Melhores Práticas de Segurança

• Nunca compartilhe suas chaves — trate-as como senhas
• Use chaves exclusivas para cada instalação do WordPress
• Não reutilize chaves em vários sites
• Mantenha o wp-config.php seguro — garanta as permissões de arquivo corretas (geralmente 440 ou 400)
• Chaves sozinhas não são suficientes — use também senhas fortes, mantenha o WordPress atualizado e use um plugin de segurança

Perguntas Frequentes

O que são chaves de segurança e salts do WordPress?

As chaves de segurança e salts do WordPress são strings criptográficas armazenadas no wp-config.php que criptografam dados nos cookies do usuário. Existem 4 chaves (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY) e 4 salts correspondentes. Juntos, eles tornam virtualmente impossível para atacantes falsificarem cookies de autenticação.

Como adiciono chaves de segurança ao wp-config.php?

Abra seu arquivo wp-config.php (no diretório raiz do WordPress), encontre a seção rotulada "Authentication Unique Keys and Salts" e substitua as linhas define() existentes pelas suas chaves recém-geradas. Salve o arquivo e envie-o novamente via FTP/SFTP. Todos os usuários precisarão fazer login novamente.

Quando devo alterar minhas chaves de segurança do WordPress?

Altere suas chaves de segurança imediatamente se suspeitar que seu site foi hackeado, se encontrar contas de administrador desconhecidas ou após remover malwares. Você não precisa rotacionar as chaves em um cronograma regular sob circunstâncias normais. Alterar as chaves forçará todos os usuários logados a se autenticarem novamente.

Este gerador é seguro? As chaves são armazenadas em algum lugar?

Sim, este gerador utiliza o módulo secrets do Python, que é criptograficamente seguro (CSPRNG). As chaves são geradas no lado do servidor a cada requisição e nunca são armazenadas, registradas ou armazenadas em cache. A resposta inclui um cabeçalho no-cache para evitar o cache do navegador.

Qual é a diferença entre chaves e salts do WordPress?

As chaves do WordPress criptografam os dados dos cookies, enquanto os salts adicionam aleatoriedade extra ao processo de criptografia. As chaves atuam como o segredo principal de criptografia, e os salts tornam os ataques de força bruta exponencialmente mais difíceis ao introduzir dados imprevisíveis adicionais na função hash. Ambos são essenciais para uma segurança robusta do WordPress.

O que acontece se eu alterar minhas chaves de segurança do WordPress?

Alterar suas chaves de segurança do WordPress invalidará todos os cookies de autenticação existentes. Isso significa que cada usuário logado (incluindo você) será desconectado e precisará fazer login novamente com seu nome de usuário e senha. Isso é, na verdade, um recurso de segurança, útil após uma invasão.

Recursos Adicionais

• Recursos para Desenvolvedores WordPress - Chaves de Segurança
• PRNG Criptograficamente Seguro - Wikipedia (Inglês)