Guide ultime pour les sels WordPress et les clés de sécurité

By | octobre 5, 2019

Expert WordPress

WordPress est l'un des systèmes de gestion de contenu les plus réputés et les plus populaires au monde. En conséquence, WordPress est une cible fréquente d’attaques de sécurité telles que les attaques par force brute, l’injection SQL, les logiciels malveillants, les scripts intersite et les attaques DDoS. En fait, récemment, une nouvelle variété de logiciels malveillants appelée Clipsa lance des attaques par force brute sur des sites WordPress, volant de la crypto-monnaie via le détournement du presse-papiers.

WordPress est aussi sécurisé que l’effort que vous déployez pour améliorer la sécurité de votre site. En tant que propriétaire de site Web, il vous incombe de rester vigilant et de mettre en œuvre une stratégie de sécurité proactive pour prévenir les attaques malveillantes. L'utilisation de mots de passe et de noms d'utilisateurs faibles, l'impossibilité de mettre à jour le noyau et les plug-ins WordPress et un hébergement de mauvaise qualité font partie des erreurs de sécurité courantes commises par les propriétaires de sites Web, facilitant ainsi l'accès aux pirates malveillants.

WordPress est un CMS hautement sécurisé à sa manière. Toutefois, pour protéger votre site Web de WordPress des cybercriminels, vous devez améliorer votre sécurité et votre crédibilité en ligne. Des étapes simples comme la mise à jour du cœur de WordPress, le choix d’un fournisseur d’hébergement sécurisé pour WordPress, l’attention portée à la sécurité des noms de domaine et l’utilisation d’un mot de passe sécurisé peuvent aider à bloquer les robots malveillants et les attaquants.

Dans cet article, nous allons nous concentrer sur les sels WordPress et les clés de sécurité et sur leur rôle pour vous assurer de ne pas avoir à faire face aux retombées des attaques de logiciels malveillants.

Que sont les clés et les sels de sécurité WordPress?

Lorsqu'un utilisateur se connecte au site WordPress, un certain nombre de cookies sont créés sur l'ordinateur. Ceux-ci sont utilisés pour vérifier l'identité des utilisateurs connectés. Si un pirate informatique accède à votre base de données ou trouve vos cookies, il pourra peut-être lire votre mot de passe, rendant ainsi votre site vulnérable aux attaques.

WordPress utilise des clés de sécurité et des sels pour vous donner une sortie cryptée stockée dans la base de données ou un cookie, ce qui ajoute une couche de sécurité à votre site Web.

Deux de ces cookies sont:

  • WordPress_[hash] utilisé uniquement sur la page d'administration ou sur le tableau de bord WordPress.
  • WordPress_logged_in_[hash] utilisé dans WordPress pour déterminer si vous êtes ou non connecté à WordPress.

Les informations d'authentification stockées dans ces cookies par WordPress sont hachées (valeurs cryptiques attribuées) en utilisant les modèles aléatoires spécifiés dans les clés de sécurité de WordPress.

Clé de sécurité WordPress

Clé de sécurité WordPress est un mot de passe contenant un ensemble de variables aléatoires, longues et compliquées qui améliorent le cryptage, rendant quasiment impossible la résolution de votre mot de passe. La dernière version de WordPress utilise quatre clés de sécurité, chacune ayant un sel correspondant qui peut renforcer la sécurité de votre site Web propulsé par WordPress.

Ceux-ci sont:

  1. CLÉ D'AUTHENTIFICATION peut être utilisé pour apporter des modifications au site. Il vous aide à signer le cookie d'autorisation pour le non-SSL.
  2. SECURE_AUTH_KEY est utilisé pour signer le cookie d'autorisation pour l'administrateur SSL et pour modifier le site Web.
  3. LOGGED_IN_KEY est utilisé pour créer un cookie pour un utilisateur connecté. Il ne peut pas être utilisé pour apporter des modifications au site.
  4. NONCE_KEY est utilisé pour signer la clé de nonce. Cette clé protège les nonces d'être générés, protégeant ainsi votre site contre les attaques.

Vous trouverez ces clés et sels d'authentification dans le fichier wp-config.php, situé dans le dossier racine de WordPress.

WordPress sels sont des chaînes de données aléatoires qui hachent les clés de sécurité et ajoutent une couche de protection supplémentaire au site et à vos informations d'identification.

WordPress Sels

Comme vous pouvez le voir sur cette image, chaque clé de sécurité a un sel correspondant, à savoir AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT et NONCE_SALT.

Pourquoi utiliser les clés de sécurité et les sels de WordPress?

WordPress utilise des cookies pour suivre l'identité des utilisateurs connectés à votre site Web. Ces cookies sont stockés sur le compte de tableau de bord de votre site, c’est-à-dire côté client. Pour un meilleur cryptage, les détails d'authentification (le nom d'utilisateur et le mot de passe) sont hachés à l'aide d'un ensemble de valeurs aléatoires spécifiées dans les clés de sécurité WordPress.

Ainsi, un mot de passe chiffré généré de manière aléatoire tel que «65a3ds2873ba27us36sd89s0fc» est extrêmement difficile à déchiffrer par rapport à un mot de passe non chiffré. Par conséquent, les propriétaires de sites Web doivent utiliser les clés de sécurité WordPress pour sécuriser les cookies de leur site et empêcher les pirates informatiques malveillants d’accéder au site.

Comment changer les clés et les sels de WordPRess manuellement

Vous pouvez configurer les clés secrètes et les sels manuellement ou à l'aide d'un plugin de sécurité WordPress. Si vous avez un site WordPress auto-hébergé, vous devrez ajouter les clés de sécurité vous-même.

Remarque: nous ne recommandons la modification manuelle des fichiers WordPress que si vous êtes un développeur ou êtes à l'aise avec le code de niveau intermédiaire ou supérieur. Si vous êtes débutant, veuillez vous rendre aux plugins recommandés ci-dessous.

Tout d’abord, utilisez le générateur aléatoire de WordPress pour vous procurer une clé secrète unique.

Générer des clés

Ensuite, connectez-vous au gestionnaire de fichiers de votre panneau de contrôle ou via FTP. À partir de là, localisez le fichier wp-config.php pour le modifier.

Localisez le fichier WP-Config

Ouvrez le fichier et faites défiler jusqu'à la section «Authentification des clés et des sels uniques». C'est ici que vous pouvez ajouter vos clés secrètes que vous avez générées précédemment.

Authentification Clés et sels uniques

Une fois le fichier sauvegardé, vous devrez vous reconnecter.

Utiliser un plugin pour mettre à jour les clés et les sels

Comme la plupart des choses dans WordPress, vous n'avez pas à le faire manuellement. Plusieurs plugins WordPress peuvent être utilisés pour automatiser le processus en votre nom. C'est un moyen rapide et facile de changer vos clés et sels WordPress. En voici deux que nous recommandons.

iThemes Sécurité

iThemes Security pour BuddyPress Freemium WordPress Plugin

La version actuelle de iThemes Security (Free v4.6 + ou iThemes Security Pro v1.14 +) comprend une fonction de sécurité qui permet de gagner du temps et met facilement à jour les clés de sécurité et les sels de WordPress. Il propose un rappel de mise à jour chaque mois et évite de générer manuellement un nouvel ensemble de clés ou de modifier votre fichier wp-config.php.

Pour mettre à jour les clés et les sels, accédez à la section "Sels WordPress" de l'onglet "Avancé", cochez la case en regard de "Modifier les sels WordPress", puis cliquez sur le bouton "Modifier les sels WordPress".

iThemes WordPress Sels

IThemes Security Pro offre des fonctionnalités supplémentaires telles que l'authentification à deux facteurs, l'analyse programmée des programmes malveillants et reCAPTCHA pour détecter les logiciels malveillants et ajouter une couche de sécurité supplémentaire à vos pages de connexion WordPress.

Salière

Salt Shaker plugin

De même, Salt Shaker offre des fonctionnalités et paramètres impressionnants, tels que des clés de sécurité manuelles et immédiates pour WP et la modification des sels pour améliorer la sécurité de votre site WordPress.

Salière Claviers WordPress & Sels

De plus, après avoir installé le plug-in Salt Shaker, vous pouvez définir le travail planifié pour le changement de sel automatisé. Tout ce que vous avez à faire est de cocher la case et de choisir le réglage quotidien, hebdomadaire ou mensuel.

Dans les deux cas, le plugin est programmé pour envoyer des rappels automatisés pour la mise à jour des clés WordPress. En conséquence, il oblige également tous les utilisateurs connectés à reprendre le processus de connexion. Toutes ces fonctionnalités permettent de protéger un site Web contre les attaques par force brute et autres tentatives de piratage.


En matière de sécurisation de votre site WordPress, la prévention est la voie à suivre. La combinaison percutante de clés de sécurité WordPress et de sels empêche les pirates informatiques de déchiffrer les mots de passe de sites Web. C’est ainsi que WordPress offre une sécurité améliorée pour les sessions utilisateur et sécurise les données.

En résumé, voici quelques points à prendre en compte lors de la mise à jour des clés de sécurité et des sels de WordPress.

  • Après avoir lancé votre site WordPress, modifiez les clés de sécurité et les sels.
  • Utilisez toujours le générateur de clé de sel WordPress pour créer des clés de sécurité. Ne le faites pas vous-même. Alternativement, vous pouvez ou automatiser le processus en utilisant un plugin WordPress.
  • La mise à jour des clés de sécurité et des sels de WordPress invalidera tous les cookies existants, ce qui entraînera la déconnexion immédiate de tous les utilisateurs. Ainsi, lors de leur modification, gardez à l'esprit que certains utilisateurs peuvent être en ligne.
  • Si vous voyez des signes d'attaque de votre site, mettez à jour les clés de sécurité de WordPress et encouragez vos utilisateurs à changer leur mot de passe.

Avez-vous des questions sur les sels et les clés de sécurité? Ou des conseils à ajouter? Faites le nous savoir dans les commentaires!