WordPress est l'un des systèmes de gestion de contenu les plus connus et les plus populaires au monde. Par conséquent, WordPress est une cible fréquente d'exploits de sécurité, tels que les attaques par force brute, l'injection SQL, les logiciels malveillants, les scripts intersites et les attaques DDoS. En fait, récemment, une nouvelle souche de malware appelée Clipsa lance des attaques par force brute sur les sites WordPress, volant la crypto-monnaie via le piratage du presse-papiers.

WordPress est aussi sûr que la quantité d'efforts que vous déployez pour améliorer la sécurité de votre site. En tant que propriétaire de site Web, il est de votre responsabilité de rester vigilant et de mettre en œuvre une stratégie de sécurité proactive pour prévenir les attaques malveillantes. L'utilisation de mots de passe et de noms d'utilisateur faibles, l'absence de mise à jour du noyau et des plugins WordPress et un hébergement de mauvaise qualité font partie des erreurs de sécurité courantes que commettent les propriétaires de sites Web, ce qui facilite l'accès aux pirates malveillants.

WordPress est un CMS hautement sécurisé à sa manière. Cependant, pour protéger votre site WordPress contre les cybercriminels, vous devez améliorer votre posture de sécurité et améliorer votre crédibilité en ligne. Des étapes simples comme mettre à jour le noyau WordPress, choisir un fournisseur d'hébergement WordPress sécurisé, prêter attention à nom de domaine sécurité, et l'utilisation d'un mot de passe sécurisé peut aider à bloquer les robots malveillants et les attaquants.

Dans cet article, nous nous concentrerons sur les sels WordPress et les clés de sécurité et leur rôle pour vous assurer que vous n'avez pas à faire face aux retombées des attaques de logiciels malveillants.

Que sont les clés de sécurité et les sels WordPress ?

Lorsqu'un utilisateur se connecte au site WordPress, un certain nombre de cookies sont créés sur l'ordinateur. Ceux-ci sont utilisés pour vérifier l'identité des utilisateurs connectés. Si un pirate pénètre dans votre base de données ou trouve vos cookies, il peut être en mesure de lire votre mot de passe, rendant ainsi votre site vulnérable aux attaques.

WordPress utilise des clés de sécurité et des sels pour vous donner une sortie cryptée qui est stockée dans la base de données ou le cookie, ajoutant une couche de sécurité à votre site Web.

Deux de ces cookies sont :

  • WordPress_[hash] utilisé uniquement sur la page d'administration ou le tableau de bord WordPress.
  • WordPress_logged_in_[hash] utilisé dans WordPress pour déterminer si vous êtes connecté ou non à WordPress.

Les détails d'authentification stockés dans ces cookies par WordPress sont hachés (valeurs cryptées attribuées) en utilisant les modèles aléatoires qui sont spécifiés dans les clés de sécurité WordPress.

Clé de sécurité WordPress

Clé de sécurité WordPress est un mot de passe contenant un ensemble aléatoire, long et compliqué de variables qui améliorent le cryptage, rendant presque impossible le déchiffrage de votre mot de passe. La dernière version de WordPress utilise quatre clés de sécurité, chacune ayant un sel correspondant qui peut renforcer la sécurité de votre site Web alimenté par WordPress.

Ceux-ci sont:

  1. CLÉ D'AUTHENTIFICATION peuvent être utilisés pour apporter des modifications au site. Il vous aide à signer le cookie d'autorisation pour le non-SSL.
  2. SECURE_AUTH_KEY est utilisé pour signer le cookie d'autorisation pour l'administrateur SSL et est utilisé pour apporter des modifications au site Web.
  3. LOGGED_IN_KEY est utilisé pour créer un cookie pour un utilisateur connecté. Il ne peut pas être utilisé pour apporter des modifications au site.
  4. NONCE_KEY sert à signer le clé nonce. Cette clé empêche les nonces d'être générés, protégeant ainsi votre site contre les attaques.

Vous trouverez ces clés d'authentification et sels dans le fichier wp-config.phpsitué dans le dossier racine de WordPress.

Sels WordPress sont des chaînes de données aléatoires qui hachent les clés de sécurité et ajoutent une couche de protection supplémentaire au site et à vos informations d'identification.

Sels WordPress

Comme vous pouvez le voir sur cette image, chaque clé de sécurité a un sel correspondant, à savoir AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT et NONCE_SALT.

Pourquoi utiliser les clés de sécurité et les sels WordPress ?

WordPress utilise des cookies pour suivre l'identité des utilisateurs connectés à votre site Web. Ces cookies sont stockés sur le compte du tableau de bord de votre site, c'est-à-dire côté client. Pour un meilleur cryptage, les détails d'authentification (à la fois le nom d'utilisateur et le mot de passe) sont hachés à l'aide d'un ensemble de valeurs aléatoires spécifiées dans les clés de sécurité WordPress.

Ainsi, un mot de passe crypté généré de manière aléatoire comme “65a3ds2873ba27us36sd89s0fc” est extrêmement difficile à déchiffrer par rapport à un mot de passe non crypté. Par conséquent, les propriétaires de sites Web doivent utiliser les clés de sécurité WordPress pour sécuriser les cookies de leur site et empêcher les pirates malveillants d'accéder au site.

Comment changer manuellement les clés et les sels WordPRess

Vous pouvez configurer les clés secrètes et les sels manuellement ou en utilisant un plugin de sécurité WordPress. Si vous avez un site WordPress auto-hébergé, vous devrez ajouter vous-même les clés de sécurité.

Remarque : nous vous recommandons de modifier manuellement les fichiers WordPress uniquement si vous êtes un développeur ou si vous êtes à l'aise avec le code à un niveau intermédiaire ou supérieur. Si vous êtes débutant, veuillez passer directement aux plugins recommandés ci-dessous.

Tout d'abord, utilisez le générateur aléatoire sur WordPress pour vous procurer une clé secrète unique.

Générer des clés

Ensuite, connectez-vous au gestionnaire de fichiers de votre panneau de contrôle ou via FTP. De là, localisez le fichier wp-config.php pour le modifier.

Localisez le fichier WP-Config

Ouvrez le fichier et faites défiler jusqu'à la section “Authentication Unique Keys and Salts”. C'est ici que vous pouvez ajouter vos clés secrètes que vous avez générées précédemment.

Clés et sels uniques d'authentification

Une fois le fichier enregistré, vous devrez vous reconnecter.

Utiliser un plugin pour mettre à jour les clés et les sels

Comme la plupart des choses dans WordPress, vous n'avez pas à le faire manuellement. Plusieurs plugins WordPress peuvent être utilisés pour automatiser le processus en votre nom. C'est un moyen rapide et facile de changer vos clés et sels WordPress. En voici deux que nous vous recommandons.

Sécurité iThèmes

iThemes Security pour BuddyPress Freemium Plugin WordPress

La version actuelle d'iThemes Security (Free v4.6+ ou iThemes Security Pro v1.14+) est livrée avec une fonction de sécurité qui permet de gagner du temps et de mettre à jour facilement les clés de sécurité et les sels WordPress. Il propose un rappel de mise à jour tous les mois et évite d'avoir à générer manuellement un nouveau jeu de clés ou à modifier votre fichier wp-config.php.

Pour mettre à jour les clés et les sels, accédez à la section “WordPress Salts” dans l'onglet “Avancé”, cochez la case en regard de “Modifier les sels WordPress” et enfin cliquez sur le bouton “Modifier les sels WordPress”.

Sels iThemes WordPress

iThemes Security Pro offre des fonctionnalités supplémentaires telles que l'authentification à deux facteurs, l'analyse planifiée des logiciels malveillants et reCAPTCHA pour détecter les logiciels malveillants et ajouter une couche de sécurité supplémentaire à vos pages de connexion WordPress.

Salière

Plugin Salière

De même, Salt Shaker offre des fonctionnalités et des paramètres impressionnants tels que les clés de sécurité WP manuelles et immédiates et le changement de sels pour améliorer votre sécurité WordPress.

Salt Shaker Clés et sels WordPress

De plus, après avoir installé le plug-in Salt Shaker, vous pouvez définir la tâche planifiée pour le changement de sel automatisé. Il vous suffit de cocher la case et de choisir le réglage quotidien, hebdomadaire ou mensuel.

Dans les deux cas, le plugin est programmé pour envoyer des rappels automatisés pour la mise à jour des clés WordPress. En conséquence, cela oblige également tous les utilisateurs connectés à recommencer le processus de connexion. Toutes ces fonctionnalités aident à protéger un site Web contre les attaques par force brute et autres tentatives de piratage.


Lorsqu'il s'agit de sécuriser votre site WordPress, la prévention est la voie à suivre. La combinaison percutante des clés de sécurité WordPress et des sels rend difficile pour les pirates de déchiffrer les mots de passe des sites Web. C'est ainsi que WordPress offre une sécurité améliorée pour les sessions utilisateur et sécurise les données.

Pour résumer, voici quelques éléments à garder à l'esprit lors de la mise à jour des clés de sécurité et des sels WordPress.

  • Après avoir lancé votre site WordPress, modifiez les clés de sécurité et les sels.
  • Utilisez toujours le générateur de clés de sel WordPress pour créer des clés de sécurité. Ne le faites pas vous-même. Alternativement, vous pouvez ou automatiser le processus à l'aide d'un plugin WordPress.
  • La mise à jour des clés de sécurité et des sels WordPress invalidera tous les cookies existants, entraînant la déconnexion instantanée de tous les utilisateurs. Ainsi, lorsque vous les modifiez, gardez à l'esprit que certains utilisateurs peuvent être en ligne.
  • Si vous voyez des signes d'attaque de votre site, mettez à jour les clés de sécurité WordPress et encouragez vos utilisateurs à changer leur mot de passe.

Avez-vous des questions sur les sels et les clés de sécurité ? Ou des conseils que vous ajouteriez ? Faites le nous savoir dans les commentaires!