À un niveau élevé, les clés de sécurité (Salt) de WordPress sont un moyen pour assurer la sécurité de votre site WordPress en aidant à stocker et à authentifier en toute sécurité les mots de passe des utilisateurs de votre site.
Dans cet article, vous apprendrez ce que sont les sels WordPress, où les trouver et comment les changer.
Que sont les clés de sécurité Salt de WordPress ? Plus de détails
Les clés de sécurité SALT de WordPress sont un outil de cryptage qui aide à sécuriser la connexion de votre site WordPress.
Plus précisément, elles sécurisent l’information dans les cookies que WordPress utilise pour vous connecter.
Vous voyez, une fois que vous vous connectez à WordPress, vous avez la possibilité de rester connecté afin de ne pas avoir à saisir votre identifiant et votre mot de passe à chaque fois. Pour ce faire, WordPress enregistre vos informations de connexion dans des cookies, plutôt que d’utiliser des sessions PHP.
C’est très pratique pour les utilisateurs, mais cela ouvre aussi la possibilité d’un problème de sécurité si quelqu’un pouvait détourner les cookies de votre navigateur.
Pour éviter cela, WordPress utilise des sels et des clés de sécurité pour sécuriser vos informations de connexion afin que les personnes malveillantes ne puissent rien faire avec. Pensez à eux comme des mots de passe « supplémentaires » pour votre site qui sont presque impossibles à deviner pour un acteur malveillant.
En raison de leur importance, vous ne devriez jamais partager vos sels WordPress et vos clés de sécurité avec quiconque.
Où se trouvent les clés SALT WordPress ?
WordPress est livré avec ses propres clés de sécurité et SALT par défaut. Elles sont situées dans le fichier wp-config.php. Vous devriez voir huit clés au total :
- Les quatre premières entrées sont vos clés de sécurité.
- Les quatre dernières entrées sont vos SALT WordPress.
Comment fonctionnent les SALT WordPress ?
Disons que votre mot de passe pour votre site WordPress est « monmotdepasse » (c’est un mot de passe horrible mais qui correspond à nos objectifs).
Pour vous connecter, saisissez votre identifiant et votre mot de passe. Ensuite, WordPress stocke ces informations dans deux cookies de navigateur pour que vous restiez connecté (ces informations sont également stockées dans la base de données de votre site).
Cependant, si WordPress stocke votre mot de passe comme ça – « monmotdepasse » – alors il est juste là en plein air pour qu’un acteur malveillant puisse le voir. C’est ce qu’on appelle le stockage du mot de passe en texte clair, et c’est un grand non-non quand il s’agit de sécurité.
Les clés et les salt de sécurité évitent ce problème en travaillant ensemble pour crypter ce mot de passe en clair et le transformer en un mélange aléatoire de caractères impossibles à inverser sans avoir accès à vos clés et sels.
Ainsi, même si vous saisi « monmotdepasse » pour vous connecter, WordPress transformera votre mot de passe en quelque chose comme « hsd78q34%7832$4jkhkjkjsfd78782^^^429nsdf » pour le stocker.
À moins qu’une personne n’ait accès à vos Salt et clés de sécurité, il lui serait impossible de traduire ce mélange aléatoire de caractères en votre mot de passe réel.
Avez-vous besoin de changer vos Salt WordPress et vos clés de sécurité ?
Par défaut, les nouvelles installations WordPress sont livrées avec leur propre jeu de clés et de Salt, donc votre site WordPress est déjà sécurisé sans qu’aucune action de votre part ne soit nécessaire.
Cependant, il y a quelques raisons d’envisager de changer vos Salt et vos clés sur une base périodique.
Le concept de base est qu’en changeant périodiquement vos clés et vos sels, vous rendez encore plus difficile pour un acteur malveillant de mettre la main sur vos sels.
De plus, changer vos sels déconnectera automatiquement tous les utilisateurs connectés sur votre site et les forcera à se reconnecter, ce qui est un autre avantage potentiel. Par exemple, si vous vous êtes accidentellement connecté avec un ordinateur public et que vous avez oublié de vous déconnecter, cela vous permettrait de forcer la déconnexion de ce compte pour vous assurer que personne ne puisse y avoir accès.
Comment changer vos Salt WordPress (deux méthodes)
Si vous voulez changer les Salt dans WordPress, vous avez deux options principales :
Voici comment utiliser les deux approches :
Comment faire pour changer les Salt WordPress manuellement
Pour changer manuellement les sels de votre site, vous devrez vous connecter au serveur de votre site via FTP et modifier votre fichier wp-config.php. Si vous n’êtes pas sûr de la façon de le faire, consultez cet article sur comment utiliser le SFTP chez Kinsta.
Une fois que vous êtes connecté, dirigez-vous vers le générateur de Salt officiel de WordPress.org. Cette page générera au hasard des sels et des clés de sécurité pour vous, tout comme vous l’avez vu ci-dessus. Il devrait générer les quatre clés de sécurité plus quatre sels (huit au total) :
Ensuite, supprimez les clés existantes dans votre fichier wp-config.php et remplacez-les en collant les clés du générateur de sel WordPress.org :
Une fois que vous avez terminé, l’apparence devrait être exactement la même qu’avant – c’est juste que les chaînes de caractères aléatoires seront différentes.
Assurez-vous d’enregistrer vos modifications et de téléverser à nouveau votre fichier wp-config.php si nécessaire.
Comment modifier les Salt WordPress avec une extension
Comme alternative à la méthode manuelle ci-dessus, vous pouvez également utiliser une extension pour changer les sels de votre site.
L’extension Salt Shaker est une option gratuite populaire avec un avantage sur la méthode manuelle :
Vous pouvez la configurer pour changer automatiquement vos sels selon un horaire que vous définissez. Vous pouvez également l’utiliser pour changer manuellement les sels.
Une fois que vous avez installé et activé le plugin, allez sur Outils → Salt Shaker.
Si vous voulez changer manuellement vos sels tout de suite, cliquez simplement sur le bouton Modifier maintenant.
Vous pouvez également utiliser la fonction Changement planifié pour changer automatiquement vos sels sur l’un des programmes suivants :
- Quotidien
- Hebdomadaire
- Mensuel
- Trimestriel (tous les trois mois)
- Semestriel (tous les six mois)
Certaines extensions WordPress de sécurité, notamment iThemes Security, incluent également des fonctionnalités qui facilitent le changement de vos sels WordPress.
Résumé
Les clés Salt WordPress et les clés de sécurité aident à sécuriser le processus de connexion de votre site et les cookies que WordPress les utilisent pour authentifier les utilisateurs.
Votre site est livré avec son propre jeu de sels et de clés par défaut, vous n’avez donc pas besoin de configurer quoi que ce soit pour bénéficier des sels.
Cependant, il y a des avantages de sécurité à changer périodiquement vos sels pour rendre encore plus difficile l’accès des acteurs malveillants.
Pour changer vos Salt, vous pouvez utiliser le générateur de Salt de WordPress.org et modifier manuellement votre fichier wp-config.php ou vous pouvez utiliser une extension gratuite comme Salt Shaker.