Plus de 30% de tous les sites Web dans le monde sont alimentés par WordPress, ce qui en fait de loin le CMS le plus populaire. Même ainsi, les gens s’interrogent toujours à juste titre sur la sécurité de WordPress. La protection d’un site Web est une priorité absolue dans le monde d’aujourd’hui, car les pirates savent comment contourner les mesures de sécurité les plus complexes. Heureusement, les pirates ne se fixent pas d’objectifs clairs, à moins qu’ils n’aient vraiment une raison de le faire. Dans la plupart des situations, ils recherchent le maillon le plus faible et prennent le contrôle de sites Web ou de produits logiciels vulnérables.
Avant tout, les sites Web WordPress doivent être protégés par des informations d’identification solides, mais il existe d’autres facteurs qui comptent tout autant qu’un mot de passe sécurisé. Pour vous assurer qu’il est très peu probable que des attaquants pénètrent dans votre site Web, vous devez vous renseigner sur ces mesures supplémentaires et les appliquer.
Cet article créé par notre équipe de wpDataTables présentera les faits sur les clés de sel WordPress. Les clés «Salt » sont destinées à protéger les mots de passe de votre site Web à tout moment. Avec des clés de sel fortes, les attaquants ne pourront pas voir ou utiliser vos informations d’identification, même s’ils pourraient mettre la main sur la base de données de votre site Web. Vous trouverez ici des détails sur ce que sont les sels WordPress et comment vous pouvez changer le vôtre en utilisant le plugin Salt Shaker ou manuellement, alors continuez à lire.
Comprendre les clés de sel WordPress
Les sels WordPress sont des éléments cryptographiques destinés à sécuriser les données par un processus appelé hachage. La plupart des plates-formes qui s’appuient uniquement sur les informations d’identification pour la sécurité de leurs utilisateurs et du contenu qu’elles hébergent via la plate-forme utilisent des clés de sel pour protéger les données sensibles contre les pirates. Le processus de hachage crypte les mots de passe chaque fois qu’ils sont saisis dans le formulaire de connexion et enregistrés dans la base de données. De plus, les cookies tiers de votre navigateur sont également hachés avec des clés de sel pour empêcher les attaquants de se faire passer pour vous après avoir volé vos cookies.
Lorsque vous utilisez les clés de sel WordPress, vous pouvez être assuré que votre zone de connexion est beaucoup plus difficile à pénétrer. Il en va de même pour les informations stockées dans les cookies d’un navigateur, ce qui peut être assez dangereux si vous ne fournissez pas de sels pour les hacher. Heureusement, WordPress est livré avec un support intégré pour ajouter vos propres sels. Ceux-ci peuvent être trouvés dans le fichier wp-config.php, situé dans le dossier public_html. Ils ressemblent normalement à ceci :
Types de sels WordPress
Si vous avez la version actuelle de WordPress, les clés de sécurité sont de quatre types et elles sont utilisées chaque fois que vous vous connectez à votre site. Pour chaque clé de sécurité, vous devez avoir une clé de sel WordPress correspondante. Par défaut, ils sont générés automatiquement par WordPress, vous n’avez donc pas besoin de les ajouter à la main. Les types de sels WordPress sont :
LOGGED_IN_KEY – Ceci est utilisé pour générer des cookies pour un utilisateur qui se connecte. Ces cookies ne peuvent pas être utilisés pour apporter des modifications sur le site.
SECURE_AUTH_KEY – Ceci est utilisé par l’administrateur SSL pour générer un cookie d’autorisation. Ces cookies peuvent être utilisés pour apporter des modifications au site.
AUTH_KEY – Ceci est utilisé par l’administrateur non-SSL pour générer un cookie d’autorisation. Ces cookies peuvent être utilisés pour effectuer des modifications sur le site.
NONCE_KEY – Ceci est utilisé pour signer la clé nonce qui protège les nonces générés. C’est le type de sel WordPress qui protège votre site Web contre plusieurs formes de cyberattaques.
Comment fonctionnent les sels WordPress ?
Il existe des plates-formes de sites Web qui s’appuient sur des sessions PHP afin de suivre les utilisateurs et leurs sessions de connexion. Pas WordPress. Sur WordPress, la vérification de tous les utilisateurs, allant des administrateurs aux commentateurs, se fait en analysant les cookies ou les informations stockées dans l’historique d’un navigateur. Chaque fois qu’une personne se connecte au tableau de bord WordPress, certains cookies sont créés instantanément puis enregistrés, avec l’acceptation de l’utilisateur. Les cookies créés ressemblent à ceci :
wordpress_[hash]La fonction des sels WordPress est très facile à comprendre. Disons que votre mot de passe est "demo-password". Il s’agit d’un mot de passe très simple qui peut être deviné ou piraté assez rapidement. Les clés représentent des variables aléatoires qui sont ajoutées à votre mot de passe existant pour le chiffrer. Chaque fois que vous vous connectez, le Le mot de passe est stocké dans les fichiers de cookies de votre navigateur afin que vous n’ayez pas besoin de saisir vos informations d’identification chaque fois que vous visitez le site Web. C’est là que les clés de sel interviennent. Le mot de passe stocké devient très difficile à déchiffrer une fois que vous l’avez crypté, et cela ne peut se produire qu’avec l’aide de sels WordPress.
Comment pouvez-vous changer les sels WordPress ?
Dans certains cas, vous devrez peut-être générer vous-même des sels WordPress. Dans d’autres cas, les clés de sécurité sont prédéfinies. Voyez quel est votre cas et, si les clés de sel sont manquantes, suivez ces étapes très simples pour les configurer :
Manuellement
Pour le faire manuellement, vous devrez générer une clé secrète. Vous pouvez le faire directement dans WordPress, en utilisant le générateur de clé aléatoire proposé par la plateforme. Au lieu de créer vous-même une clé secrète, utilisez cette méthode, car les caractères sont plus difficiles à déchiffrer. Cela ne vous prendra que quelques secondes pour le faire, ce n’est donc certainement pas une perte de temps.
Ensuite, accédez à https://api.wordpress.org/secret-key/1.1/salt/ et consultez la liste qui apparaît. Il s’agit d’une liste de clés de remplacement et de clés de sel. Ça devrait ressembler à ça:
La prochaine étape consiste à copier ces sels WordPress et à ouvrir votre client FTP. Accédez au dossier racine de votre site et cliquez avec le bouton droit sur le fichier wp-config.php pour le modifier. Recherchez la ligne "Authentication Unique Keys and Salts" et remplacez tout ce que vous trouvez dans cette section par les sels WordPress que vous venez de copier. N’oubliez pas d’enregistrer les modifications et de télécharger le fichier sur le serveur. Faire cela tous les trois à six mois est le meilleur moyen de sécuriser votre site. Utilisez toujours le service de clé secrète de WordPress.org pour générer vos clés.
Utilisation d’un plugin
Si vous trouvez les étapes ci-dessus trop compliquées, vous pouvez recourir à la méthode la plus simple qui utilise un plugin. Salt Shaker est un plugin gratuit qui automatise toutes les étapes que vous avez lues ci-dessus. Il vous suffit de le télécharger et de l’activer. L’utilisation d’un plug-in vous offre une fonctionnalité supplémentaire que vous ne pouvez pas définir lorsque vous effectuez les modifications manuellement. Avec Salt Shaker, vous pouvez programmer quand vous voulez que vos sels WordPress soient changés, vous libérant ainsi de certaines responsabilités. Gardez à l’esprit que vous et toute autre personne qui utilise votre site Web devrez vous reconnecter à l’aide de la page de connexion WordPress après chaque modification des sels WordPress.
Les avantages des clés de sécurité WordPress
Lorsqu’un site est piraté, la plupart des données qu’il contient, sinon toutes, sont compromises. Au lieu de paniquer, vous devez déterminer la prochaine étape à suivre. La modification des sels WordPress et des clés uniques que vous avez utilisées invalidera tous les utilisateurs connectés, y compris les pirates. Cela devrait vous faire gagner du temps pour sauver votre site Web d’une corruption complète. En plus d’utiliser les clés de sel WordPress, n’oubliez pas d’obtenir un certificat SSL, d’imposer l’utilisation de clients FTP sécurisés, de masquer tous les fichiers vitaux et d’en réduire l’accès, etc. Les clés de sécurité WordPress ne sont qu’une couche de protection. N’oubliez pas que vous devez tous les couvrir.
Emballer
Assurer la sécurité de votre site WordPress n’est pas un processus facile, mais cela en vaut la peine. L’utilisation de sels WordPress pour sécuriser le processus d’authentification et sauvegarder vos données dans l’éventualité d’une cyberattaque est l’une des actions que vous ne pouvez pas ignorer. Assurez-vous d’appliquer tout ce que vous avez appris dans cet article pour une protection supplémentaire.
Si vous avez aimé lire cet article sur les sels et les clés WordPress, vous devriez consulter celui-ci sur le plugin WordPress SSL.
Nous avons également écrit sur quelques sujets connexes tels que les plugins de scanner de logiciels malveillants et la sécurité de WordPress.