Les clés de sécurité WordPress sont des protocoles de cryptage qui protègent vos identifiants de connexion. Elles rendent l’accès à votre site plus difficile pour les pirates. Bien que vous puissiez rendre votre site plus sûr en changeant régulièrement ces clés de sécurité, cela peut sembler délicat à faire.

Heureusement, il existe trois méthodes simples pour modifier vos clés de sécurité WordPress. Mieux encore, il y a une méthode pour chaque niveau d’utilisateur, du débutant WordPress à l’expert complet. En suivant ce tutoriel, vous pouvez rendre votre site plus résistant aux menaces de sécurité.

Dans cet article, nous allons examiner de plus près les clés de sécurité de WordPress. Nous allons également discuter des raisons pour lesquelles vous pourriez vouloir mettre à jour vos clés de sécurité et vous montrer trois façons faciles de le faire. C’est parti !

Une introduction aux clés de sécurité de WordPress

Les clés de sécurité WordPress sont des outils de cryptage qui protègent vos informations de connexion. Elles fonctionnent en verrouillant et déverrouillant vos mots de passe et autres détails. De cette façon, vos informations sont difficiles à décoder pour les pirates, ce qui vous aide à prévenir les fraudes et autres escroqueries sur votre site.

Lorsque vous vous connectez à votre site WordPress, les cookies stockent vos informations de connexion sur votre ordinateur. C’est pourquoi vous n’avez pas besoin de vous connecter chaque fois que vous rechargez la page ou revisitez votre site.

Toutes ces informations sont stockées sous une forme cryptée (générée par WordPress) en utilisant des chaînes de caractères aléatoires. Par conséquent, vos informations d’identification sont impossibles à distinguer des caractères, ce qui les rend difficiles à voler.

Les clés sont automatiquement générées par WordPress et stockées dans votre fichier wp-config.php. Il y a quatre clés de sécurité au total :

  • AUTH_KEY
  • SECURE_AUTH_KEY
  • CLÉ DE CONNEXION
  • NONE_KEY

Chaque clé de sécurité a un sel WordPress correspondant. Les sels ou sailts sont des outils cryptographiques qui aident à sécuriser les informations dans vos cookies. Comme les clés, les sels sont également stockés dans le fichier wp-config.php :

  • AUTH_SALT
  • SECURE_AUTH_SALT
  • LOGGED_IN_SALT
  • NONE_SALT

Ensemble, les clés de sécurité et les sels WordPress stockent vos informations en toute sécurité et authentifient les mots de passe sur votre site.

La différence entre les clés de sécurité et les sels de WordPress

Les clés de sécurité WordPress sont presque équivalentes aux mots de passe. Elles peuvent crypter un message en utilisant des caractères alphanumériques et spéciaux. Ensuite, vous utilisez la même clé pour désencoder l’information et la ramener en texte clair.

Un sel est ajouté au cryptage pour rendre le mot de passe plus difficile à désosser. Ils fournissent donc une couche supplémentaire de sécurité.

Globalement, les sels et les clés de sécurité WordPress sont similaires puisque les deux protocoles rendent votre site web moins vulnérable aux menaces de sécurité. Il n’est pas rare que les sites WordPress soient piratés, surtout lorsqu’on utilise des mots de passe ordinaires de difficulté moyenne. En revanche, une chaîne de caractères aléatoire est presque impossible à craquer.

Quand changer vos clés de sécurité WordPress

Comme les clés de sécurité WordPress sont générées par WordPress, vous n’avez généralement pas à vous en préoccuper. Cependant, il existe certains scénarios où il est judicieux de changer vos clés de sécurité :

  • Un acteur malveillant a pu consulter ou accéder au fichier wp-config.php de votre site (y compris une sauvegarde locale).
  • Votre site a été infecté par un logiciel malveillant.
  • Vous préférez changer régulièrement vos mots de passe pour qu’il soit plus difficile pour les pirates de s’introduire sur votre site. Vous pouvez choisir de le faire environ, tous les six mois.

Si vous trouvez un logiciel malveillant sur votre site web, la première étape consiste à analyser votre site pour éliminer le logiciel malveillant. Cependant, l’idéal serait de disposer d’un outil qui détecte et résout les problèmes avant qu’ils ne deviennent trop problématiques.

Kinsta APM est un outil de surveillance des performances conçu explicitement pour WordPress. Il vous permet d’identifier tous les problèmes sur votre site et de les résoudre rapidement :

Kinsta APM
Kinsta APM

Par exemple, vous obtiendrez des informations horodatées sur des problèmes tels que de longs appels API, des requêtes de base de données lentes et un code non optimisé. Mieux encore, Kinsta APM est fourni gratuitement avec tous nos plans d’hébergement.

Comment changer les clés de sécurité de WordPress (3 méthodes)

Maintenant que vous en savez plus sur les clés de sécurité WordPress, examinons trois méthodes simples pour les changer !

1. Utilisez un plugin dédié

La façon la plus simple de changer vos clés de sécurité WordPress est d’utiliser une extension de qualité. L’extension Salt Shaker a été conçue dans ce but précis :

Extension Salt Shaker
Extension Salt Shaker

De plus, vous pouvez utiliser Salt Shaker pour mettre en place des plannings automatisés pour les changements de clés et de sel. De plus, vous pouvez facilement définir et oublier les mots de passe, sachant que l’outil s’occupera du reste.

Pour commencer, tout ce que vous devez faire est d’installer et d’activer l’extension dans WordPress. Ensuite, allez vers Outils > Salt Shaker :

Réglages de l'extension Salt Shaker
Réglages de l’extension Salt Shaker

Ici, vous pouvez définir un planning pour changer régulièrement vos clés de sécurité et vos sels. Vous pouvez également cliquer sur Modifier maintenant pour mettre à jour les valeurs instantanément.

2. Utilisez un plugin de sécurité général

Les extensions sont utiles car elles automatisent généralement de nombreuses tâches de sécurité, telles que les sauvegardes et les mises à jour. Parallèlement, en fonction de votre fournisseur, vous pouvez généralement bénéficier de mesures de sécurité supplémentaires telles que des pare-feu et des analyses de logiciels malveillants.

Sucuri Security est un excellent choix, spécialisé dans la sécurité de WordPress. Il est gratuit et offre un ensemble de fonctions de sécurité, notamment la recherche de logiciels malveillants à distance, l’audit des activités de sécurité et les actions de sécurité post-hacking :

Extension Sucuri Security
Extension Sucuri Security

Une autre excellente option est Wordfence Security qui compte plus de quatre millions d’installations et se spécialise dans le pare-feu et la recherche de logiciels malveillants. Si vous n’êtes pas sûr de l’extension WordPress de sécurité à utiliser, vous pouvez consulter notre article : Sucuri vs. Wordfence.

Nous allons vous montrer comment changer vos clés de sécurité WordPress en utilisant Sucuri. Tout d’abord, installez et activez l’extension. Ensuite, allez dans Sucuri Security > Réglages et passez à l’onglet Post-Hack :

Extension Sucuri Security
Extension Sucuri Security

Ensuite, faites défiler vers le bas et cliquez sur Générer de nouvelles clés de sécurité :

Générer de nouvelles clés de sécurité
Générer de nouvelles clés de sécurité

Vous pouvez également définir un planning pour la mise à jour de vos clés. Utilisez simplement le menu déroulant pour sélectionner le planning le plus approprié pour votre site web. Ensuite, cliquez sur Envoyer

3. Modifiez manuellement vos clés de sécurité WordPress

Modifier vos clés de sécurité manuellement est possible. Cependant, cela nécessite d’accéder aux fichiers de votre site. Comme vous devrez modifier un important fichier central, il est important de vous sentir en confiance pour le faire. Les deux méthodes précédentes sont peut-être plus adaptées si vous êtes un débutant.

Pour utiliser cette méthode, vous devrez obtenir de nouvelles valeurs de clé de sécurité et de sel à partir du générateur de clés secrètes de WordPress :

Nouveau générateur de clé de sécurité WordPress
Nouveau générateur de clé de sécurité WordPress

Ensuite, sauvegardez votre site web au cas où quelque chose ne fonctionnerait pas. Il peut également être utile de mettre en place un environnement de staging. Vous pouvez le faire avec notre module d’environnements de staging premium. Cela crée essentiellement une réplique de votre site où vous pouvez tester de nouveaux logiciels et exécuter des mises à jour en toute sécurité sans craindre de casser votre site.

Ensuite, vous devez trouver et modifier le fichier wp-config.php . Vous pouvez télécharger le fichier via FTP pour le modifier et le re-téléverser sur WordPress. Vous pouvez également utiliser le gestionnaire de fichiers pour modifier le fichier directement.

Vous pouvez trouver le fichier dans votre dossier public_html. En bas de la capture d’écran, vous pouvez voir wp-config.php :

Localiser le fichier wp-config.php
Localiser le fichier wp-config.php

Ouvrez le fichier et faites défiler vers le bas jusqu’à ce que vous voyez Clés uniques d’authentification et salage :

Changer les clés de sécurité dans le fichier wp-config.php
Changer les clés de sécurité dans le fichier wp-config.php

Ensuite, il suffit de remplacer les sels et les clés par les nouveaux codes générés par WordPress. Une fois cette opération effectuée, tous les utilisateurs connectés devront se reconnecter à votre site. Cependant, leurs noms d’utilisateur et mots de passe resteront les mêmes.

Lorsque vous avez terminé, cliquez sur Enregistrer. Il n’est pas nécessaire de noter ces nouvelles valeurs puisque vous n’aurez plus besoin de les connaître.

6 autres façons de protéger vos logins WordPress

Bien que la modification de vos clés de sécurité WordPress soit un excellent moyen de renforcer la sécurité de votre site, il existe d’autres façons de protéger vos informations de connexion. Voici six de nos conseils essentiels !

1. Encouragez les mots de passe forts et uniques

C’est très bien de créer votre propre mot de passe sécurisé. Cependant, il est également essentiel de s’assurer que les autres utilisateurs de votre site respectent les mêmes normes.

En fait, seuls 4 % des gens utilisent un générateur de mots de passe pour créer des mots de passe d’entreprise, tandis que 76 % des gens choisissent eux-mêmes leurs mots de passe.

Cela peut se traduire par des mots de passe faibles, réutilisés et faciles à deviner. Aujourd’hui encore, les mots de passe les plus courants trouvés dans les fuites sont « password » et « 123456 x Par conséquent, pensez à créer des mots de passe uniques et forts pour sécuriser votre site web.

Si vous n’utilisez pas de gestionnaire de mots de passe, gardez à l’esprit que les mots de passe les plus sûrs sont composés de lettres minuscules et majuscules. En outre, pensez à utiliser des caractères spéciaux et des chiffres, et essayez de rendre les mots de passe aussi longs que possible. Nous vous recommandons d’éviter les mots du dictionnaire ou les mots de passe que vous avez déjà utilisés.

2. Utilisez l’authentification à deux facteurs

L’authentification à deux facteurs requiert deux méthodes d’authentification pour accéder à votre site. Généralement, la première clé est un mot de passe (comme vous l’utiliseriez normalement), et la seconde peut être un code en temps réel envoyé par message ou par e-mail. Comme les robots ne peuvent pas créer la deuxième clé, l’utilisation de l’authentification à deux facteurs est un excellent moyen d’améliorer la sécurité du cloud.

Vous pouvez configurer cette méthode d’authentification sur votre site à l’aide d’une extension telle que WP 2FA :

WP 2FA
WP 2FA

WP 2FA est un outil flexible qui prend en charge plusieurs méthodes d’authentification telles que l’OTP par e-mail, les liens par e-mail, les notifications push, l’authentification vocale, Whatsapp, et plus encore. Grâce à un processus d’installation simple, vous pouvez instantanément ativer cette fonctionnalité sur votre site, que vous gériez une boutique WooCommerce ou même un site web d’adhésion.

3. Limitez les tentatives de connexion

Même si les pirates ne connaissent pas vos mots de passe, ils peuvent utiliser des combinaisons connues de mot de passe et de nom d’utilisateur pour accéder à votre site web. Ces menaces sont connues sous le nom d’attaques par force brute, et elles sont de plus en plus populaires.

Par conséquent, l’installation d’une extension qui limite les tentatives de connexion est une bonne idée. Limit Login Attempts Reloaded est une excellente option :

Limit Login Attempts Reloaded
Limit Login Attempts Reloaded

Cette extension peut empêcher les attaques par force brute et optimiser les performances de votre site en limitant les tentatives de connexion sur WordPress, WooCommerce et les pages de connexion personnalisées. Pour une tranquillité d’esprit supplémentaire, vous pouvez également modifier votre page de connexion WordPress pour rendre plus difficile la prise de contrôle de votre site par les pirates.

4. Activez les déconnexions automatiques

En fonction de vos réglages, WordPress déconnectera automatiquement les utilisateurs de votre site après une certaine période (généralement entre 48 heures et 14 jours). Cependant, si vous laissez votre session ouverte dans un onglet, les pirates peuvent prendre le contrôle de votre site grâce aux cookies de votre navigateur.

C’est pourquoi il peut être utile d’installer une extension qui déconnecte les utilisateurs de votre site après une durée déterminée. Inactive Logout met automatiquement fin aux sessions des utilisateurs inactifs :

Inactive Logout
Inactive Logout

Vous pouvez déterminer le délai d’inactivité et activer un compte à rebours de dix secondes pour avertir les utilisateurs de la déconnexion. Vous pouvez également créer un message popup personnalisé pour avertir les utilisateurs ou les rediriger vers une page de déconnexion. Mieux encore, l’extension offre une interface utilisateur (IU) simple et est rapide et facile à configurer.

5. Vérifiez les rôles des utilisateurs

Il est important de s’assurer que les utilisateurs de votre site web ont les bons privilèges. Par exemple, il peut arriver que vous fassiez évoluer un éditeur vers un rôle d’administrateur dans un but précis. Toutefois, si vous oubliez d’annuler ce privilège, votre site est plus vulnérable aux attaques puisqu’un pirate peut tout accéder en s’introduisant dans le compte Administrateur.

Par conséquent, nous vous recommandons de révoquer les autorisations une fois les tâches terminées. Il peut également être judicieux de revoir régulièrement vos rôles d’utilisateur et de vérifier que les utilisateurs disposent des niveaux d’accès appropriés. Si vous constatez que certains comptes ont des privilèges indus, vous pouvez facilement les modifier en allant dans Comptes dans votre tableau de bord WordPress.

6. Désactivez XML-RPC

XML-RPC est une fonctionnalité de WordPress qui vous permet de publier du contenu à distance. Bien qu’il s’agisse d’une fonctionnalité sécurisée, elle peut également être utilisée par des pirates pour accéder à votre site par force brute.

Par conséquent, si vous n’avez pas besoin de cette fonctionnalité, il est préférable de désactiver XML-RPC pour rendre votre site plus sûr. Vous pouvez le faire avec une extension ou en modifiant votre fichier .htaccess.

Résumé

Changer vos clés de sécurité WordPress est un excellent moyen de protéger vos données de connexion. Heureusement, il est facile de le faire en utilisant une extension ou en modifiant les fichiers de votre site. Ensuite, vous pouvez rendre l’accès à votre site web presque impossible pour les pirates.

Le moyen le plus simple de modifier vos clés de sécurité est d’utiliser une extension dédiée comme Salt Shaker. Cependant, vous pouvez également utiliser une extension de sécurité générale comme Sucuri. Cet outil comprend d’autres fonctionnalités utiles, comme la recherche de logiciels malveillants et les pare-feu. Enfin, vous pouvez également modifier vos clés manuellement en éditant votre fichier wp-config.php.

Vous pouvez également améliorer la sécurité de votre site web en choisissant un hébergement WordPress sécurisé. Chez Kinsta, nous utilisons deux puissants pare-feu pour protéger votre site. De plus, nous fournissons un accès SSH gratuit, l’installation d’un certificat SSL en un clic, et une équipe dédiée aux logiciels malveillants. Consultez nos plans dès aujourd’hui pour commencer !