Si vous gérez un site WordPress, vous vous êtes probablement demandé si vous en faisiez assez pour le sécuriser. Des mots de passe forts et des plugins à jour sont un excellent point de départ, mais il existe une autre couche de protection que de nombreux propriétaires de sites négligent.
Entrez les clés de sécurité WordPress.
Ces clés sont une fonctionnalité puissante qui peut instantanément renforcer les défenses de votre site. Elles aident à protéger contre les tentatives de piratage, en particulier autour de la connexion et de l'authentification.
En coulisses, elles brouillent les données sensibles pour empêcher les attaquants de détourner des sessions ou de s'introduire sur votre site.
Dans ce guide, nous vous expliquerons tout ce que vous devez savoir sur les clés de sécurité WordPress. De la compréhension de leur fonctionnement à leur application correcte sur votre site, nous vous aiderons à mieux dormir en sachant que votre site WordPress dispose de cette couche de sécurité. 🛡️
Que sont les clés de sécurité et les SALTs WordPress ?
En bref, les clés de sécurité WordPress sont des outils de chiffrement qui protègent vos informations de connexion en rendant leur décodage plus difficile. Les SALTs, quant à eux, ajoutent des données aléatoires à ces informations chiffrées, ajoutant une autre couche de sécurité à vos identifiants stockés.
Les clés de sécurité WordPress agissent comme de vraies clés et sont utilisées pour verrouiller et déverrouiller les informations chiffrées, telles que les mots de passe, afin de maintenir la sécurité de votre site WordPress.
Voici comment cela fonctionne.
Fondamentalement, lorsque vous vous connectez à un site Web WordPress, vos informations sont stockées dans les cookies de votre ordinateur. Cela vous permet de continuer à travailler sur votre site Web sans avoir à vous connecter chaque fois qu'une page se charge.
Toutes les informations sont stockées sous forme cryptée en les convertissant en une chaîne de caractères alphanumériques et spéciaux. Ces données cryptées peuvent être traduites à l'aide des clés de sécurité WordPress. Sans les clés, ces données sont quasiment impossibles à décrypter.
Votre site WordPress génère automatiquement ces clés de sécurité et les stocke dans votre fichier de configuration WordPress (wp-config.php).
Il existe un total de quatre clés de sécurité :
- AUTH_KEY
- SECURE_AUTH_KEY
- LOGGED_IN_KEY
- NONCE_KEY
En plus des clés de sécurité WordPress, vous trouverez également les SALTs suivants.
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONCE_SALT
Les SALTs ajoutent des informations supplémentaires à vos informations cryptées, ce qui offre une couche de sécurité supplémentaire pour vos données cryptées.
Pourquoi utiliser les clés de sécurité WordPress ?
Les clés de sécurité WordPress protègent votre site contre les tentatives de piratage en rendant vos mots de passe sécurisés.
Par exemple, un mot de passe ordinaire de difficulté moyenne peut être facilement décrypté à l'aide d'attaques par force brute.
D'autre part, une chaîne de mot de passe comme '7C17bd5b44d6c9c37c01468b20d89c35e576914c289f98685941accddf67bf32b49' prend des années à décrypter sans connaître les clés de sécurité.
C'est pourquoi vous ne devriez jamais partager les clés de sécurité WordPress avec qui que ce soit et les protéger comme vous protégez normalement les informations sensibles en ligne.
Dans cet esprit, nous allons examiner comment utiliser les clés de sécurité WordPress pour protéger votre site WordPress. Voici un aperçu rapide de tous les sujets que nous partagerons dans les sections suivantes :
- Comment utiliser les clés de sécurité WordPress ?
- Comment régénérer les clés de sécurité WordPress à l'aide d'un plugin ?
- Astuce bonus : Ajoutez une protection supplémentaire avec l'authentification à deux facteurs (2FA)
- Foire aux questions sur les clés de sécurité WordPress
- Ressources supplémentaires pour une sécurité renforcée de votre site WordPress
Plongeons dans le vif du sujet !
Comment utiliser les clés de sécurité WordPress ?
En général, vous n'avez rien de plus à faire car, dans la plupart des cas, WordPress générera et utilisera automatiquement des clés de sécurité + sels à chaque nouvelle installation WordPress.
Vous pouvez afficher vos clés de sécurité et sels WordPress en utilisant un client FTP ou l'application Gestionnaire de fichiers dans le panneau de contrôle de votre compte d'hébergement WordPress.
Connectez-vous simplement à votre site Web et ouvrez le fichier wp-config.php. À l'intérieur, vous verrez vos clés de sécurité WordPress définies.
Cependant, selon la façon dont vous avez initialement installé WordPress, votre site Web peut ne pas avoir de clés de sécurité définies du tout.
Si vos clés de sécurité sont vides, ne vous inquiétez pas. Vous pouvez facilement les ajouter manuellement en vous rendant sur la page Générateur de clés de sécurité WordPress pour générer un nouvel ensemble de clés.
Ensuite, copiez et collez ces clés dans votre fichier wp-config.php, et vous avez terminé.
Vous pouvez utiliser la même méthode pour supprimer vos clés de sécurité WordPress actuelles et les remplacer par de nouvelles clés.
📝 Note : Lorsque vous remplacez les clés de sécurité, tous les utilisateurs seront forcés de se reconnecter, ce qui est excellent pour la sécurité.
Comment régénérer les clés de sécurité WordPress à l'aide d'un plugin ?
Si vous soupçonnez que votre site Web est piraté, vous devez régénérer les clés de sécurité WordPress et changer vos mots de passe.
Vous pouvez copier et coller manuellement de nouvelles clés de sécurité, comme mentionné ci-dessus. Cependant, vous pouvez également utiliser un plugin. De cette façon, vous pouvez définir un calendrier pour régénérer automatiquement les clés de sécurité régulièrement, également.
1. Mettre à jour les clés de sécurité WordPress à l'aide de Sucuri
La façon la plus simple de régénérer automatiquement les clés de sécurité WordPress est d'utiliser Sucuri. C'est l'un des meilleurs plugins de sécurité WordPress du marché qui protège votre site WordPress contre les menaces courantes.
Pour plus d'informations sur l'outil, vous pouvez consulter notre revue complète de Sucuri.
Pour commencer, la première chose à faire est d'installer et d'activer le plugin Sucuri Security. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.
Après l'activation, vous devrez visiter la page Sucuri Security » Paramètres et passer à l'onglet « Post-Hack ».
À partir de là, cliquez simplement sur le bouton « Générer de nouvelles clés de sécurité » dans la section « Mettre à jour les clés secrètes ».
📝 Remarque : La régénération de nouvelles clés de sécurité vous déconnectera de la zone d'administration WordPress, et vous devrez vous reconnecter.
Après cela, revisitez la page Sucuri Security » Paramètres et passez à nouveau à l'onglet « Post-Hack ».
Dans la section des clés de sécurité, activez le « Mise à jour automatique des clés secrètes » en choisissant une fréquence (quotidienne, hebdomadaire, mensuelle, annuelle).
Ensuite, cliquez sur le bouton « Soumettre ».
Sucuri réinitialisera automatiquement vos clés de sécurité WordPress en fonction de la fréquence choisie.
2. Mettre à jour les clés de sécurité WordPress avec Salt Shaker
Cette méthode s'adresse aux utilisateurs qui n'utilisent pas Sucuri et qui ont besoin d'automatiser la régénération des clés de sécurité.
Tout d'abord, vous devez installer et activer le plugin Salt Shaker. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.
Après activation, vous devrez visiter la page Outils » Salt Shaker pour configurer les paramètres du plugin.
À partir de là, vous pouvez définir un calendrier pour générer automatiquement les clés de sécurité. Vous pouvez également simplement cliquer sur le bouton « Changer maintenant » pour régénérer les clés de sécurité immédiatement.
Astuce bonus : Ajoutez une protection supplémentaire avec l'authentification à deux facteurs (2FA)
L'ajout de l'authentification à deux facteurs (2FA) en plus de vos clés de sécurité WordPress peut rendre votre site encore plus sûr.
Même si quelqu'un parvient à obtenir l'une de vos clés de sécurité, il aura toujours besoin d'une deuxième étape de vérification pour se connecter. Cela rend beaucoup plus difficile pour les pirates d'accéder à votre site.
La configuration de la 2FA sur WordPress est simple avec des plugins comme Google Authenticator ou Authy.
Généralement, tout ce que vous avez à faire est d'installer et d'activer votre authentificateur choisi, puis de suivre le processus de configuration pour le lier à votre compte. Une fois configuré, activez la 2FA pour vous-même et les autres utilisateurs afin d'ajouter une couche de sécurité supplémentaire lors de la connexion.
Pour des instructions détaillées étape par étape, lisez notre guide sur l'ajout de l'authentification à deux facteurs dans WordPress.
Foire aux questions sur les clés de sécurité WordPress
Vous avez des questions sur les clés de sécurité WordPress ? Voici quelques-unes des plus courantes, avec leurs réponses.
Que se passe-t-il si mon fichier wp-config.php n'a pas de clés de sécurité ?
Si votre fichier wp-config.php ne contient pas de clés de sécurité, WordPress les créera automatiquement pour la session en cours.
Cependant, cette méthode n'est pas aussi sûre. Sans clés permanentes définies dans votre fichier, le chiffrement qui protège vos cookies de connexion est plus faible. Cela rend votre site web plus vulnérable aux attaques.
À quelle fréquence dois-je changer mes clés de sécurité WordPress ?
Pour la plupart des sites web, il n'est pas nécessaire de changer vos clés selon un calendrier régulier.
Cependant, si vous suspectez que votre site a été piraté ou compromis, vous devriez le mettre à jour immédiatement. Lorsque vous changez vos clés, tous les utilisateurs sont automatiquement déconnectés. Cela permet de sécuriser votre site en coupant tout accès non autorisé qui aurait pu se produire.
Changer mes clés de sécurité est-il suffisant après le piratage de mon site ?
Non, la modification de vos clés de sécurité n'est qu'une étape importante. Vous devriez également changer tous les mots de passe des utilisateurs, analyser votre site à la recherche de logiciels malveillants, supprimer tous les comptes d'utilisateurs suspects et envisager de restaurer à partir d'une sauvegarde propre.
Ressources supplémentaires pour une sécurité renforcée de votre site WordPress
Nous espérons que cet article vous a aidé à comprendre les clés de sécurité WordPress et comment les utiliser. Ensuite, vous voudrez peut-être aussi consulter nos guides sur :
- Les meilleurs plugins de pare-feu WordPress comparés
- Comment effectuer un audit de sécurité WordPress
- Guide pour débutants sur les rôles et permissions d'utilisateur WordPress
- Comment obtenir un certificat SSL gratuit pour votre site WordPress
- Comment corriger l'erreur de connexion sécurisée dans WordPress
- Comparaison des meilleurs plugins de sauvegarde WordPress (avantages et inconvénients)
- Guide ultime pour sauvegarder votre site WordPress
- Le guide ultime de la sécurité WordPress – Étape par étape
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Samuel
Wow !, merci beaucoup pour cet article, j'ai toujours vu ces clés dans le fichier wp-config mais je ne savais pas quelle fonction elles remplissaient. Cet article éclaire leur utilisation. Cependant, j'aimerais poser une question. Si je change ces clés de sécurité sans changer mon mot de passe, cela affectera-t-il le mot de passe ? Je suis juste curieux.
Support WPBeginner
Les clés de sécurité n'affectent pas directement vos mots de passe utilisateur, il ne devrait donc y avoir aucun changement à votre mot de passe.
Admin
Samuel
Merci beaucoup d'avoir clarifié cette question. Je pensais initialement que cela pourrait affecter les mots de passe.
Mrteesurez
J'entends juste 'SALT' ici dans ce post, quelle est la différence entre SALT et KEY ?
Puis-je simplement mettre à jour ces clés même si je ne suspecte aucune tentative de piratage ?
Si oui, à quelle fréquence devrais-je les changer ?? Merci.
Support WPBeginner
Cela dépend de vos préférences personnelles, mais elles peuvent être changées aussi souvent que chaque semaine ou une fois par trimestre, selon la fréquence à laquelle vous souhaitez vous concentrer sur leur modification.
Admin
Jiří Vaněk
Concernant les clés de sécurité, j'ai rencontré un problème lors de la migration du site web vers une nouvelle base de données. Même après avoir modifié la connexion dans le fichier wp-config.php, WordPress a refusé de se connecter à la nouvelle base de données, signalant une 'erreur d'établissement'. Finalement, j'ai dû supprimer l'ancien wp-config.php, en télécharger un nouveau à partir du package d'installation, ré-entrer la connexion à la nouvelle base de données, et ensuite tout a fonctionné correctement. Il semble que les clés dans le fichier wp-config.php étaient le coupable.
Josh
À quelle fréquence recommandez-vous de changer les clés ? Trimestriellement comme indiqué dans la capture d'écran ?
Support WPBeginner
Nous n'avons pas de délai de rafraîchissement spécifique recommandé pour le moment, autre qu'après un piratage de votre site, au minimum.
Admin
Bjornen Nilsson
Bonjour,
QUESTION »
Est-ce que cela affectera quoi que ce soit d'autre qu'une sécurité accrue « extrême » si l'on règle le navigateur Web pour supprimer tout l'historique, les fichiers temporaires, les cookies, etc. à chaque fermeture ET si l'on change le SALT dans wp-config après chaque déconnexion ?
Merci !
shanderman
Bonjour,
J'ai 2 URL de produits, pour 1 produit. Comme ceci :
example.com/?product=product-name
example.com/product/product-name/
Pourquoi ? Comment dois-je corriger cela ? S'il vous plaît, aidez-moi.
Support WPBeginner
Salut shanderman,
Veuillez visiter la page Paramètres » Permaliens pour vous assurer que votre site WordPress utilise des URL conviviales pour le référencement.
Après cela, visualisez le code source de votre site web et assurez-vous qu'il affiche le format d'URL que vous souhaitez.
La structure d'URL laide fonctionnera toujours dans WordPress si vous la tapez dans le navigateur. Cependant, l'URL canonique de votre produit sera celle que vous choisirez dans la page des paramètres des permaliens. Ce sont les URL que les moteurs de recherche suivront et indexeront.
Admin
sam
Je suis débutant sur Wordpress, j'ai un doute sur la façon dont ces clés rendent Wordpress sécurisé ? Je veux connaître le rôle et le fonctionnement réels des clés ?
Kishan Dalsania
Quel est l'avantage réel de l'utilisation de ces clés dans config.php ? Pouvez-vous définir comment cela fonctionnera pour empêcher les pirates ?
sam
Salut, j'ai utilisé cette méthode et je ne peux plus me connecter à mon site du tout. Comment puis-je corriger ou supprimer les problèmes ?
Support WPBeginner
Veuillez consulter notre tutoriel sur que faire lorsque vous êtes bloqué hors de l'espace d'administration WordPress.
Admin
kOoLiNuS
Juste une question rapide... Pourquoi suggérez-vous de :
Au lieu de ce dernier ? Avez-vous des liens qui étayent cette approche ?
Merci d'avance !
Nick
Dans WordPress 3.1, ces clés sont générées automatiquement.
MichealKennedy
Was just gonna ask “why don’t they just automatically generate these for you?” but you answered it
Riese F
J'apprécie cette information et j'ai rapidement mis à jour mes fichiers. Ma préoccupation est la même que celle de Rick en avril, à savoir que si mon fichier wp-config.php est piraté, ces clés sont alors disponibles pour quiconque les regarde, n'est-ce pas ? Mais alors j'ai pensé que si mon fichier wp est piraté et que quelqu'un d'autre que moi les regarde, je suis déjà en difficulté…
Toute précaution vaut mieux que de simplement espérer le meilleur ! Merci pour votre travail et vos efforts.
Keith Davis
Bonjour
Merci pour cette publication courte et informative.
Je remarque que dans votre exemple, il y a quatre clés secrètes.
Il semble y avoir plus de clés secrètes dans Wordpress 3.0 – peuvent-elles être ajoutées aux versions précédentes de Wordpress ?
Personnel éditorial
Ces clés sont disponibles avec WordPress 3.0
Admin
Dave
Vous devrez utiliser la version 3.0 pour utiliser les huit clés secrètes, plutôt que les quatre précédentes. Le nouveau générateur de clés aléatoires de WordPress se trouve sur https://api.wordpress.org/secret-key/1.1/salt
Rick
Euh, donc cela change votre mot de passe administrateur ou quoi ? Je ne comprends pas ce que cela fait ? Peut-être parce que je ne suis pas un hacker. Mais, si cela est simplement stocké dans votre fichier config.php, ne serait-il pas beaucoup plus facile pour un hacker de pirater votre site ftp et de voler cette clé de sécurité dans le fichier de configuration ?
Je veux que mes sites WordPress soient plus sécurisés, mais je ne comprends pas ce que cela empêche ?
Jack
Bien dit. Les instructions sont assez faciles, mais je pense que la sécurité et la sûreté sont sous-estimées dans la documentation. Merci de l'avoir expliqué et de rendre le web un endroit plus sûr.
gabrielle
si vous développez plusieurs sites WordPress, créez-vous une clé de sécurité pour chacun ou utilisez-vous la même pour tous ?
Personnel éditorial
Use a new one
Admin
Konstantin
Pendant que vous y êtes :
Pourquoi ne pas définir les constantes de sel et vous épargner quelques requêtes à la base de données ?!
Cela devrait ressembler à ceci :
define('AUTH_SALT', 'mettez votre phrase unique ici');
define('SECURE_AUTH_SALT', 'mettez votre phrase unique ici');
define('LOGGED_IN_SALT', 'mettez votre phrase unique ici');
define('NONCE_SALT', 'mettez votre phrase unique ici');
Cet article de Digging into Wordpress explique les avantages de cette pratique.
Tony
Merci de partager !
Personnel éditorial
Bonne idée, je n'y avais même pas pensé.
Admin
maged
très pratique et important merci de partager