WordPress est l’un des systèmes de gestion de contenu les plus connus et les plus populaires au monde. Par conséquent, WordPress est une cible fréquente d’exploits de sécurité, tels que les attaques par force brute, l’injection SQL, les logiciels malveillants, les scripts intersites et les attaques DDoS. En fait, récemment, une nouvelle souche de malware appelée Clipsa lance des attaques par force brute dans les sites WordPress, volant de la crypto-monnaie via le détournement de presse-papiers.
WordPress est aussi sûr que les efforts que vous déployez pour améliorer la sécurité de votre site. En tant que propriétaire de site Web, il est de votre responsabilité de rester vigilant et de mettre en œuvre une stratégie de sécurité proactive pour empêcher les attaques malveillantes. L’utilisation de mots de passe et de noms d’utilisateur faibles, l’échec de la mise à jour du noyau et des plugins WordPress et un hébergement de mauvaise qualité font partie des erreurs de sécurité courantes commises par les propriétaires de sites Web, permettant un accès facile aux pirates malveillants.
WordPress est un CMS hautement sécurisé à sa manière. Cependant, pour protéger votre site WordPress des cybercriminels, vous devez améliorer votre sécurité et votre crédibilité en ligne. Des étapes simples comme la mise à jour du noyau WordPress, le choix d’un fournisseur d’hébergement WordPress sécurisé, en prêtant attention à nom de domaine sécurité et l’utilisation d’un mot de passe sécurisé peut aider à bloquer les robots malveillants et les attaquants.
Dans cet article, nous nous concentrerons sur les sels WordPress et les clés de sécurité et leur rôle pour garantir que vous n’avez pas à faire face aux retombées des attaques de logiciels malveillants.
Que sont les clés de sécurité et les sels WordPress ?
Lorsqu’un utilisateur se connecte au site WordPress, un certain nombre de cookies sont créés sur l’ordinateur. Ceux-ci sont utilisés pour vérifier l’identité des utilisateurs connectés. Si un pirate informatique pénètre dans votre base de données ou trouve vos cookies, il peut être en mesure de lire votre mot de passe, rendant ainsi votre site vulnérable aux attaques.
WordPress utilise des clés de sécurité et des sels pour vous donner une sortie cryptée qui est stockée dans la base de données ou le cookie, ajoutant une couche de sécurité à votre site Web.
Deux de ces cookies sont :
- WordPress_[hash] utilisé uniquement sur la page d’administration ou le tableau de bord WordPress.
- WordPress_connecté_dans_[hash] utilisé dans WordPress pour déterminer si vous êtes connecté ou non à WordPress.
Les détails d’authentification stockés dans ces cookies par WordPress sont hachés (valeurs cryptiques attribuées) à l’aide des modèles aléatoires spécifiés dans les clés de sécurité WordPress.
Clé de sécurité WordPress est un mot de passe contenant un ensemble de variables aléatoires, longues et compliquées qui améliorent le cryptage, ce qui rend presque impossible de déchiffrer votre mot de passe. La dernière version de WordPress utilise quatre clés de sécurité, chacune ayant un sel correspondant qui peut renforcer la sécurité de votre site Web WordPress.
Ceux-ci sont:
- CLÉ D’AUTHENTIFICATION peut être utilisé pour apporter des modifications au site. Il vous aide à signer le cookie d’autorisation pour le non-SSL.
- SECURE_AUTH_KEY est utilisé pour signer le cookie d’autorisation pour l’administrateur SSL et est utilisé pour apporter des modifications au site Web.
- LOGGED_IN_KEY est utilisé pour créer un cookie pour un utilisateur connecté. Il ne peut pas être utilisé pour apporter des modifications au site.
- CLÉ_NONCE est utilisé pour signer le clé nonce. Cette clé protège les nonces d’être générés, protégeant ainsi votre site d’être attaqué.
Vous trouverez ces clés d’authentification et sels dans le fichier wp-config.php, situé dans le dossier racine de WordPress.
Sels WordPress sont des chaînes de données aléatoires qui hachent les clés de sécurité et ajoutent une couche de protection supplémentaire au site et à vos informations d’identification.
Comme vous pouvez le voir sur cette image, chaque clé de sécurité a un sel correspondant, à savoir AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT et NONCE_SALT.
Pourquoi utiliser les clés de sécurité et les sels WordPress ?
WordPress utilise des cookies pour suivre l’identité des utilisateurs connectés à votre site Web. Ces cookies sont stockés sur le compte du tableau de bord de votre site, c’est-à-dire côté client. Pour un meilleur cryptage, les détails d’authentification (à la fois le nom d’utilisateur et le mot de passe) sont hachés à l’aide d’un ensemble de valeurs aléatoires spécifiées dans les clés de sécurité WordPress.
Ainsi, un mot de passe crypté généré de manière aléatoire comme « 65a3ds2873ba27us36sd89s0fc » est extrêmement difficile à déchiffrer par rapport à un mot de passe non crypté. Par conséquent, les propriétaires de sites Web doivent utiliser les clés de sécurité WordPress pour sécuriser les cookies de leur site et empêcher les pirates malveillants d’accéder au site.
Comment modifier manuellement les clés et les sels de WordPRess
Vous pouvez configurer les clés secrètes et les sels soit manuellement, soit en utilisant un plugin de sécurité WordPress. Si vous avez un site WordPress auto-hébergé, vous devrez ajouter vous-même les clés de sécurité.
Remarque : nous ne recommandons de modifier manuellement les fichiers WordPress que si vous êtes un développeur ou si vous êtes à l’aise avec le code à un niveau intermédiaire ou supérieur. Si vous êtes débutant, veuillez passer directement aux plugins recommandés ci-dessous.
Tout d’abord, utilisez le générateur aléatoire sur WordPress pour obtenir une clé secrète unique.
Ensuite, connectez-vous au gestionnaire de fichiers de votre panneau de contrôle ou via FTP. De là, localisez le fichier wp-config.php pour le modifier.
Ouvrez le fichier et faites défiler jusqu’à la section « Authentification Clés et sels uniques ». C’est ici que vous pouvez ajouter vos clés secrètes que vous avez générées précédemment.
Une fois le fichier enregistré, vous devrez vous reconnecter.
Utiliser un plugin pour mettre à jour les clés et les sels
Comme la plupart des choses dans WordPress, vous n’avez pas à le faire manuellement. Plusieurs plugins WordPress peuvent être utilisés pour automatiser le processus en votre nom. C’est un moyen rapide et facile de changer vos clés et sels WordPress. En voici deux que nous vous recommandons.
Sécurité des iThèmes
La version actuelle d’iThemes Security (Free v4.6+ ou iThemes Security Pro v1.14+) est livrée avec une fonction de sécurité permettant de gagner du temps et de mettre à jour facilement les clés de sécurité et les sels WordPress. Il propose un rappel de mise à jour tous les mois et évite de générer manuellement un nouveau jeu de clés ou de modifier votre fichier wp-config.php.
Pour mettre à jour les clés et les sels, accédez à la section « WordPress Salts » dans l’onglet « Avancé », cochez la case en regard de « Modifier les sels WordPress » et enfin cliquez sur le bouton « Modifier les sels WordPress ».
iThemes Security Pro offre des fonctionnalités supplémentaires telles que l’authentification à deux facteurs, l’analyse programmée des logiciels malveillants et reCAPTCHA pour détecter les logiciels malveillants et ajouter une couche de sécurité supplémentaire à vos pages de connexion WordPress.
Salière
De même, Salt Shaker offre des fonctionnalités et des paramètres impressionnants tels que des clés de sécurité WP manuelles et immédiates et des changements de sels pour améliorer votre sécurité WordPress.
De plus, après avoir installé le plugin Salt Shaker, vous pouvez définir la tâche planifiée pour le changement de sel automatisé. Il vous suffit de cocher la case et de choisir le réglage quotidien, hebdomadaire ou mensuel.
Dans les deux cas, le plugin est programmé pour envoyer des rappels automatisés pour la mise à jour des clés WordPress. Par conséquent, cela oblige également tous les utilisateurs connectés à recommencer le processus de connexion. Toutes ces fonctionnalités aident à protéger un site Web contre les attaques par force brute et autres tentatives de piratage.
Lorsqu’il s’agit de sécuriser votre site WordPress, la prévention est la voie à suivre. La combinaison percutante de clés de sécurité WordPress et de sels rend difficile pour les pirates de déchiffrer les mots de passe des sites Web. C’est ainsi que WordPress offre une sécurité améliorée pour les sessions utilisateur et sécurise les données.
Pour résumer, voici quelques points à garder à l’esprit lors de la mise à jour des clés de sécurité et des sels WordPress.
- Après avoir lancé votre site WordPress, changez les clés de sécurité et les sels.
- Utilisez toujours le générateur de clé de sel WordPress pour créer des clés de sécurité. Ne le faites pas vous-même. Alternativement, vous pouvez ou automatiser le processus à l’aide d’un plugin WordPress.
- La mise à jour des clés de sécurité et des sels WordPress invalidera tous les cookies existants, entraînant la déconnexion instantanée de tous les utilisateurs. Ainsi, lorsque vous les modifiez, gardez à l’esprit que certains utilisateurs peuvent être en ligne.
- Si vous voyez des signes d’attaque sur votre site, mettez à jour les clés de sécurité WordPress et encouragez vos utilisateurs à changer leur mot de passe.
Vous avez des questions sur les sels et les clés de sécurité ? Ou des conseils que vous ajouteriez ? Faites le nous savoir dans les commentaires!