Guide ultime des sels et des clés de sécurité WordPress

Guide ultime des sels et des clés de sécurité WordPress

WordPress est l’un des systèmes de gestion de contenu les plus en vue et les plus populaires au monde. Par conséquent, WordPress est une cible fréquente d’exploits de sécurité, tels que les attaques par force brute, l’injection SQL, les logiciels malveillants, les scripts intersites et les attaques DDoS. En fait, récemment, une nouvelle souche de malware appelée Clipsa lance des attaques par force brute dans des sites WordPress, volant la crypto-monnaie via le détournement de presse-papiers.


WordPress n’est aussi sûr que la quantité d’efforts que vous déployez pour améliorer la sécurité de votre site. En tant que propriétaire de site Web, il vous incombe de rester vigilant et de mettre en œuvre une stratégie de sécurité proactive pour empêcher les attaques malveillantes. L’utilisation de mots de passe et de noms d’utilisateur faibles, l’échec de la mise à jour du noyau et des plugins WordPress et un hébergement de mauvaise qualité sont parmi les erreurs de sécurité les plus courantes commises par les propriétaires de sites Web, permettant un accès facile aux pirates malveillants.

WordPress est un CMS hautement sécurisé à sa manière. Cependant, garder votre site propulsé par WordPress à l’abri des cybercriminels vous oblige à améliorer votre posture de sécurité et à améliorer votre crédibilité en ligne. Des étapes simples comme la mise à jour du noyau WordPress, le choix d’un fournisseur d’hébergement WordPress sécurisé, en faisant attention à nom de domaine la sécurité et l’utilisation d’un mot de passe sécurisé peuvent aider à bloquer les robots malveillants et les attaquants.

Dans cet article, nous nous concentrerons sur les sels et les clés de sécurité WordPress et leur rôle pour garantir que vous n’aurez pas à faire face aux retombées des attaques de logiciels malveillants..

Que sont les clés et les sels de sécurité WordPress?

Lorsqu’un utilisateur se connecte au site WordPress, un certain nombre de cookies sont créés sur l’ordinateur. Ils sont utilisés pour vérifier l’identité des utilisateurs connectés. Si un pirate informatique pénètre dans votre base de données ou trouve vos cookies, il peut être en mesure de lire votre mot de passe, ce qui rend votre site vulnérable aux attaques.

WordPress utilise des clés de sécurité et des sels pour vous donner une sortie cryptique qui est stockée dans la base de données ou le cookie, ajoutant une couche de sécurité à votre site Web.

Deux de ces cookies sont:

  • WordPress_ [hachage] utilisé uniquement sur la page d’administration ou le tableau de bord WordPress.
  • WordPress_logged_in_ [hachage] utilisé dans WordPress pour déterminer si vous êtes connecté ou non à WordPress.

Les détails d’authentification stockés dans ces cookies par WordPress sont hachés (valeurs cryptiques attribuées) en utilisant les modèles aléatoires qui sont spécifiés dans les clés de sécurité WordPress.

Clé de sécurité WordPress

Clé de sécurité WordPress est un mot de passe contenant un ensemble aléatoire, long et compliqué de variables qui améliorent le cryptage, ce qui rend presque impossible de casser votre mot de passe. La dernière version de WordPress utilise quatre clés de sécurité, chacune ayant un sel correspondant qui peut renforcer la sécurité de votre site Web propulsé par WordPress.

Ceux-ci sont:

  1. CLÉ D’AUTHENTIFICATION peut être utilisé pour apporter des modifications au site. Il vous aide à signer le cookie d’autorisation pour le non-SSL.
  2. SECURE_AUTH_KEY est utilisé pour signer le cookie d’autorisation pour l’administrateur SSL et est utilisé pour apporter des modifications au site Web.
  3. LOGGED_IN_KEY est utilisé pour créer un cookie pour un utilisateur connecté. Il ne peut pas être utilisé pour apporter des modifications au site.
  4. NONCE_KEY est utilisé pour signer le clé nonce. Cette clé protège les nonces d’être générés, protégeant ainsi votre site contre les attaques.

Vous trouverez ces clés d’authentification et ces sels dans le fichier wp-config.php, situé dans le dossier racine WordPress.

Sels WordPress sont des chaînes de données aléatoires qui hachent les clés de sécurité et ajoutent une couche de protection supplémentaire au site et à vos informations d’identification.

Sels WordPress

Comme vous pouvez le voir sur cette image, chaque clé de sécurité a un sel correspondant, à savoir AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT et NONCE_SALT.

Pourquoi utiliser les clés et les sels de sécurité WordPress?

WordPress utilise des cookies pour suivre l’identité des utilisateurs connectés à votre site Web. Ces cookies sont stockés sur le compte de tableau de bord de votre site, c’est-à-dire côté client. Pour un meilleur cryptage, les détails d’authentification (le nom d’utilisateur et le mot de passe) sont hachés à l’aide d’un ensemble de valeurs aléatoires spécifiées dans les clés de sécurité WordPress.

Ainsi, un mot de passe chiffré généré de manière aléatoire comme «65a3ds2873ba27us36sd89s0fc» est extrêmement difficile à déchiffrer par rapport à un mot de passe non chiffré. Par conséquent, les propriétaires de sites Web devraient utiliser les clés de sécurité WordPress pour sécuriser les cookies de leur site et empêcher les pirates malveillants d’accéder au site..

Comment changer les clés et les sels de WordPRess manuellement

Vous pouvez configurer les clés secrètes et les sels manuellement ou en utilisant un plugin de sécurité WordPress. Si vous avez un site WordPress auto-hébergé, vous devrez ajouter vous-même les clés de sécurité.

Remarque: nous vous recommandons de ne modifier manuellement les fichiers WordPress que si vous êtes développeur ou que vous êtes à l’aise avec le code à un niveau intermédiaire ou supérieur. Si vous êtes débutant, veuillez passer aux plugins recommandés ci-dessous.

Tout d’abord, utilisez le générateur aléatoire sur WordPress pour vous procurer une clé secrète unique.

Générer des clés

Connectez-vous ensuite au gestionnaire de fichiers de votre panneau de contrôle ou via FTP. De là, localisez le fichier wp-config.php pour le modifier.

Recherchez le fichier WP-Config

Ouvrez le fichier et faites défiler la page jusqu’à la section «Clés et sels uniques d’authentification». C’est ici que vous pouvez ajouter vos clés secrètes que vous avez générées précédemment.

Authentification Clés et sels uniques

Une fois le fichier enregistré, vous devrez vous reconnecter.

Utilisez un plugin pour mettre à jour les clés et les sels

Comme la plupart des choses dans WordPress, vous n’avez pas à le faire manuellement. Plusieurs plugins WordPress peuvent être utilisés pour automatiser le processus en votre nom. Ils constituent un moyen rapide et facile de modifier vos clés et sels WordPress. Voici deux que nous recommandons.

iThemes Security

iThemes Security for BuddyPress Freemium WordPress Plugin

Info et téléchargement

La présente version d’iThemes Security (Free v4.6 + ou iThemes Security Pro v1.14 +) est livrée avec une fonction de sécurité rapide qui met à jour facilement les clés de sécurité WordPress et les sels. Il propose un rappel de mise à jour tous les mois et évite de générer manuellement un nouveau jeu de clés ou de modifier votre fichier wp-config.php.

Pour mettre à jour les clés et les sels, accédez à la section «Sels WordPress» dans «l’onglet Avancé», cochez la case «Changer les sels WordPress» et enfin cliquez sur le bouton «Changer les sels WordPress».

iThemes WordPress Salts

IThemes Security Pro offre des fonctionnalités supplémentaires telles que l’authentification à deux facteurs, l’analyse programmée des logiciels malveillants et reCAPTCHA pour détecter les logiciels malveillants et ajouter une couche de sécurité supplémentaire à vos pages de connexion WordPress.

Salière

Plugin Salt Shaker

De même, Salt Shaker offre des fonctionnalités et des paramètres impressionnants comme les clés de sécurité WP manuelles et immédiates et la modification des sels pour améliorer votre sécurité WordPress.

Salt Shaker WordPress Keys & Salts

De plus, après avoir installé le plugin Salt Shaker, vous pouvez définir le travail planifié pour le changement de sel automatisé. Il vous suffit de cocher la case et de choisir le réglage quotidien, hebdomadaire ou mensuel.

Dans les deux cas, le plugin est programmé pour envoyer des rappels automatisés pour la mise à jour des clés WordPress. En conséquence, cela oblige également tous les utilisateurs connectés à recommencer le processus de connexion. Toutes ces fonctionnalités aident à protéger un site Web contre les attaques par force brute et autres tentatives de piratage.


Lorsqu’il s’agit de sécuriser votre site WordPress, la prévention est la voie à suivre. La combinaison percutante de clés de sécurité WordPress et de sels rend difficile pour les pirates de déchiffrer les mots de passe des sites Web. C’est ainsi que WordPress offre une sécurité améliorée pour les sessions utilisateur et sécurise les données.

Pour résumer, voici quelques éléments à garder à l’esprit lors de la mise à jour des clés de sécurité et des sels de WordPress.

  • Après avoir lancé votre site WordPress, changez les clés de sécurité et les sels.
  • Utilisez toujours le générateur de clés salées WordPress pour créer des clés de sécurité. Ne le faites pas vous-même. Alternativement, vous pouvez ou automatiser le processus à l’aide d’un plugin WordPress.
  • La mise à jour des clés de sécurité et des sels de WordPress invalidera tous les cookies existants, entraînant la déconnexion instantanée de tous les utilisateurs. Donc, lorsque vous les modifiez, n’oubliez pas que certains utilisateurs peuvent être en ligne.
  • Si vous voyez des signes d’attaque de votre site, mettez à jour les clés de sécurité WordPress et encouragez vos utilisateurs à changer leur mot de passe.

Avez-vous des questions sur les sels et les clés de sécurité? Ou des conseils à ajouter? Faites le nous savoir dans les commentaires!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me