D’après notre expérience, la sécurité de WordPress est l’une des choses les plus importantes à laquelle il faut penser lorsqu’on gère un site. Les clés de sécurité WordPress en sont un élément essentiel.
WordPress utilise des clés de sécurité pour protéger votre site contre les tentatives de piratage. Vous pouvez les utiliser plus efficacement pour améliorer la sécurité de WordPress.
Dans cet article, nous verrons ce que sont les clés de sécurité et les sels de WordPress et pourquoi vous devriez les utiliser.
Que sont les clés de sécurité WordPress et les SALT ?
Les clés de sécurité WordPress sont un outil de chiffrement qui protège les informations de connexion en les rendant plus difficiles à décoder.
Ces clés agissent comme de vraies clés et sont utilisées pour verrouiller et déverrouiller des informations chiffrées telles que les mots de passe, ce qui permet de sécuriser votre site WordPress.
Voici comment cela fonctionne.
En principe, lorsque vous vous connectez à un site WordPress, vos informations sont stockées dans les cookies de votre ordinateur. Cela vous permet de continuer à travailler sur votre site sans avoir à vous connecter à chaque fois qu’une page se charge.
Toutes les informations sont stockées sous forme chiffrée en les convertissant en une chaîne de caractères alphanumériques et spéciaux. Ces données chiffrées peuvent être traduites à l’aide des clés de sécurité WordPress. Sans ces clés, ces données sont pratiquement impossibles à déchiffrer.
Votre site WordPress génère automatiquement ces clés de sécurité et les stocke dans votre fichier de configuration WordPress (wp-config.php).
Il existe au total quatre clés de sécurité :
- AUTH_KEY
- CLÉ_AUTH_SÉCURISÉE
- CLÉ DE CONNEXION (LOGGED_IN_KEY)
- NONCE_KEY
Outre les clés de sécurité WordPress, vous trouverez également les SALT suivants.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Les sels ajoutent des informations supplémentaires à vos informations chiffrées, ce qui fournit une autre couche de sécurité pour vos données chiffrées.
Pourquoi utiliser les clés de sécurité de WordPress ?
Les clés de sécurité WordPress protègent votre site contre les tentatives de piratage en sécurisant vos mots de passe.
Par exemple, un mot de passe ordinaire de difficulté moyenne peut être facilement déchiffré à l’aide d’attaques par force brute.
En revanche, une chaîne de mots de passe telle que « 7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49 » prend des années à décrypter si l’on ne connaît pas les clés de sécurité.
C’est pourquoi vous ne devez jamais partager les clés de sécurité de WordPress avec qui que ce soit et les protéger comme vous protégez normalement les informations sensibles en ligne.
C’est pourquoi nous allons voir comment utiliser les clés de sécurité de WordPress pour protéger votre site.
Comment utiliser les clés de sécurité de WordPress ?
En général, vous n’avez rien à faire de plus puisque, dans la plupart des cas, WordPress génère et utilise automatiquement les clés de sécurité + les sels lors de chaque nouvelle installation de WordPress.
Vous pouvez consulter vos clés de sécurité et sels WordPress en utilisant un client FTP ou l’application Gestionnaire de fichiers dans le panneau de configuration de votre compte d’hébergement WordPress.
Il vous suffit de vous connecter à votre site et d’ouvrir le fichier wp-config.php. À l’intérieur de celui-ci, vous verrez vos clés de sécurité WordPress définies.
Toutefois, selon la manière dont vous avez installé WordPress à l’origine, il se peut que votre site n’ait pas du tout de clés de sécurité définies.
Si vos clés de sécurité sont vides, ne vous inquiétez pas. Vous pouvez facilement les ajouter manuellement en vous rendant sur la page du générateur de clés de sécurité WordPress pour générer un nouveau jeu de clés.
Ensuite, copiez et collez ces clés à l’intérieur de votre fichier wp-config.php, et vous avez terminé.
Vous pouvez utiliser la même méthode pour supprimer vos clés de sécurité WordPress actuelles et les remplacer par de nouvelles clés.
Remarque : lorsque vous remplacez les clés de sécurité, tous les utilisateurs sont obligés de se reconnecter, ce qui est très utile pour la sécurité.
Régénérer les clés de sécurité de WordPress à l’aide d’une extension
Si vous soupçonnez que votre site est modifié, vous devez régénérer les clés de sécurité de WordPress et changer vos mots de passe.
Vous pouvez copier et coller manuellement de nouvelles clés de sécurité, comme indiqué ci-dessus. Cependant, vous pouvez également utiliser une extension. Vous pouvez ainsi programmer la régénération automatique des clés de sécurité à intervalles réguliers.
Conseil d’expert : Vous pensez que votre site a été piraté ? Rétablissez votre tranquillité d’esprit grâce à notre service de réparation de sites piratés. Faites confiance à notre équipe expérimentée pour gérer les complexités techniques et remettre votre site en état de marche.
1. Mettre à jour les clés de sécurité de WordPress avec Sucuri
La façon la plus simple de régénérer automatiquement les clés de sécurité de WordPress est d’utiliser Sucuri. C’est l’une des meilleures extensions de sécurité WordPress sur le marché qui protège votre site WordPress contre les menaces courantes.
Pour commencer, la première chose à faire est d’installer et d’activer l’extension Sucuri Security. Pour plus de détails, consultez notre guide étape par étape sur l ‘installation d’une extension WordPress.
Après l’activation, vous devez vous rendre sur la page » Paramètres » de Sucuri Security et passer à l’onglet » Post-Hack « .
À partir de là, il suffit de cliquer sur le bouton « Générer de nouvelles clés de sécurité » dans la section « Mettre à jour les clés secrètes ».
Remarque : la régénération de nouvelles clés de sécurité vous déconnectera de la zone d’administration de WordPress et vous devrez vous connecter à nouveau.
Après cela, revenez sur la page Paramètres de Sucuri Security « et passez à nouveau à l’onglet ‘Post-Hack’.
Dans la section des clés de sécurité, activez l’option « Mise à jour automatique des clés secrètes » en choisissant une fréquence (quotidienne, hebdomadaire, mensuelle, annuelle). Cliquez ensuite sur le bouton « Soumettre ».
Sucuri va maintenant réinitialiser automatiquement vos clés de sécurité WordPress selon la fréquence que vous avez choisie.
2. Mettre à jour les clés de sécurité de WordPress à l’aide de Salt Shaker
Cette méthode est destinée aux utilisateurs qui n’utilisent pas Sucuri et qui ont besoin d’automatiser la régénération des clés de sécurité.
Tout d’abord, vous devez installer et activer l’extension Salt Shaker. Pour plus de détails, consultez notre guide étape par étape sur l’installation d’une extension WordPress.
Après l’activation, vous devrez vous rendre sur la page Outils » Salt Shaker pour configurer les paramètres de l’extension.
À partir de là, vous pouvez programmer la génération automatique des clés de sécurité. Vous pouvez également cliquer sur le bouton « Modifier maintenant » pour régénérer immédiatement les clés de sécurité.
Nous espérons que cet article vous a aidé à comprendre les clés de sécurité de WordPress et comment les utiliser. Vous pouvez également consulter notre guide sur la façon de corriger l’erreur de connexion sécurisée dans WordPress ou notre choix d’experts des meilleures extensions de pare-feu WordPress.
Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Jiří Vaněk
Regarding security keys, I encountered an issue when migrating the website to a new database. Even after changing the connection in the wp-config.php file, WordPress refused to connect to the new DB, reporting an ‘establishing error.’ Eventually, I had to delete the old wp-config.php, upload a new one from the installation package, re-enter the connection to the new database, and then everything worked fine. It seems that the keys in the wp-config.php file were the culprit.
Josh
How often do you recommend changing the keys? Quarterly as shown in the screenshot?
WPBeginner Support
We do not have a specific recommended refresh time at the moment other than after a hack on your site at a minimum.
Administrateur
Bjornen Nilsson
Hi,
QUESTION »
Will it affect anything besides « extreme » increased security if one has the web browser set to delete all history, temp, cookies etc. every time it is shut down AND if one changes the SALT in wp-config after logging out each time?
Thanks!
shanderman
Hi,
I have 2 url product,for 1 product.like this:
example.com/?product=product-name
example.com/product/product-name/
why? how should i fix it? please help me.
WPBeginner Support
Hi shanderman,
Please visit Settings » Permalinks page to make sure that your WordPress site is using SEO friendly URLs.
After that view your website’s source code and make sure that it is showing the URL format that you like.
The ugly URL structure will still work in WordPress if you typed it in the browser. However, your product’s canonical URL will be the one you choose on the permalinks settings page. This is the URLs that search engines will follow and index.
Administrateur
sam
I am a beginner to Wordpress , i have a doubt how those keys make the Wordpress secure ? i want to know the actual role and working of the keys ?
Kishan Dalsania
What is the actual benefit of these using the keys in config.php. Can you define how it will work to prevent the hackers?
sam
Hi , i have used this method and can not log onto my site at all. how do i fix it or remove the issues
WPBeginner Support
Please take a look at our tutorial on what to do when you are locked out of WordPress admin area.
Administrateur
kOoLiNuS
Just a quick question… Why do you suggest to:
Instead of the latter? Have you got some links that dig this approach?
Thank you in advance!
Nick
In wordpress 3.1 these keys are automatically generated.
MichealKennedy
Was just gonna ask « why don’t they just automatically generate these for you? » but you answered it
Riese F
Appreciate this information and quickly updated my files. My concern is the same as Ricks’ from April in that if my wp-config.php file is hacked then these keys are available to whomever is looking at them correct? But then I thought that if my wp file is hacked and someone other than me is looking at them I am already in trouble…
Any precaution is better than just hoping for the best though! Thank you for your work and efforts.
Keith Davis
Hi
Thanks for a short and informative post.
I notice that in your example there are four secret keys.
There appear to be more secret keys in Wordpress 3.0 – can these be added to previous versions of Wordpress?
Editorial Staff
Those keys become available with WordPress 3.0
Administrateur
Dave
You’ll need to use 3.0 to utilise all eight secret keys, rather than the former four. The new WordPress random key generator can be found at https://api.wordpress.org/secret-key/1.1/salt
Rick
Um, so does this change your admin password or what? I don’t understand what this does? Maybe that’s because I’m not a hacker. But, if this is just stored in your config.php file, wouldn’t it be way easier for a hacker just to hack into your ftp site and nab this security key out of the config file?
I want my WordPress sites to be more secure, but I just don’t understand what this is preventing?
Jack
Nicely said. The directions are pretty easy, but I think the security and safety is understated in the documentation. Thanks for spelling it out and making the web a safer place.
gabrielle
if you develop multiple wordpress sites do you create a security key for each one or use the same one on all of them?
Editorial Staff
Use a new one
Administrateur
Konstantin
While you’re adt it:
Why not define the salt constants and save yourself some database queries?!
It should look like this:
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
This article from Digging into Wordpress explains the advantages of this practice.
Tony
Thanks for sharing!
Editorial Staff
Good idea, didn’t even think of that.
Administrateur
maged
very handy and important thanks for sharing