Lorsqu’il s’agit de protéger votre site Web WordPress, l’écran de connexion est une ligne de défense importante. Pour cela, il faut s’assurer que votre mot de passe est sécurisé, ce qui rend beaucoup moins probable la possibilité pour les attaquants de le craquer et d’obtenir un accès.
WordPress utilise des clés dites « salées » pour protéger vos mots de passe. Grâce à ces clés, votre mot de passe est conservé en sécurité, de sorte que les attaquants ne peuvent pas l’utiliser même s’ils ont accès à vos données. Dans cet article, nous allons vous expliquer ce que sont les clés de sel et comment WordPress les utilise. Nous vous apprendrons ensuite deux façons de modifier les vôtres, notamment en utilisant le plugin Salt Shaker.
Mettons-nous au travail !
Ce que sont les clés salées (et comment elles fonctionnent dans WordPress)
Lesclés salines sont des éléments cryptographiques utilisés pour « hacher » desdonnées afin de les sécuriser. En fait, la plupart des plateformes et systèmes sérieux utilisent des mécanismes similaires pour protéger les données sensibles. Le processus fonctionne en utilisant les clés de sel pour crypter votre mot de passe lorsque vous l’enregistrez dans WordPress. Ainsi, les attaquants ne peuvent pas voir vos mots de passe en clair, même s’ils parviennent à accéder à votre base de données.
Les clés salées sont également utilisées pour signer les cookies de votre site Web. Cela empêche les acteurs malveillants de pouvoir accéder à votre site, même s’ils parviennent à prendre le contrôle de vos cookies. Tout cela se passe en arrière-plan, et il n’y a aucune raison pour que vous ayez besoin de partager vos clés salées WordPress avec un tiers. Si quelqu’un mettait la main dessus, il pourrait l’utiliser pour accéder à vos mots de passe et pirater votre site Web.
C’est pourquoi nous vous recommandons de changer vos clés de sécurité WordPress de temps en temps pour limiter les risques. Cependant, WordPress n’inclut aucune fonction permettant de le faire directement, ce qui signifie que vous devez savoir comment le faire vous-même. Voyons comment vous pouvez le faire maintenant.
Comment changer vos clés de sécurité WordPress (et pourquoi vous devriez le faire)
La fréquence à laquelle vous changez vos clés salines WordPress dépend de vous. Une ou deux fois par an devrait être plus que suffisant pour assurer la sécurité. Cependant, si vous voulez être très prudent, vous pouvez changer vos clés tous les deux mois. Il est important de noter que chaque fois que vos clés de sel sont changées, tous les comptes d’utilisateur seront déconnectés, y compris le vôtre. Cela peut être un petit inconvénient, mais cela vous protège au cas où un compte aurait été compromis à cause des cookies.
Nous allons maintenant vous montrer deux méthodes que vous pouvez utiliser pour mettre à jour vos clés de sel. Vous pouvez soit le faire manuellement en modifiant un fichier central de WordPress, soit utiliser un plugin pour automatiser le processus. Dans tous les cas, nous vous recommandons de créer une sauvegarde de votre site au préalable, juste au cas où.
Modifiez vos clés Salt manuellement
WordPress stocke vos clés de sécurité sous forme de chaînes de chiffres, de lettres et de symboles dans le fichier wp-config.php . Pour les modifier manuellement, vous devez les mettre à jour dans ce fichier. Pour ce faire, vous devez vous connecter à votre site Web via FTP, en utilisant un client tel que FileZilla. Une fois connecté, accédez au dossier racine de WordPress, qui porte généralement le nom de public_html, www, ou le même nom que votre site Web :
Dans ce dossier, vous trouverez le fichier wp-config.php . Faites un clic droit dessus et choisissez l’option Afficher/Modifier. Vous pourrez ainsi télécharger une copie du fichier sur votre ordinateur et l’ouvrir à l’aide de votre éditeur de texte par défaut. Utilisez la fonction de recherche de votre éditeur de texte pour localiser la ligne intitulée « Authentication Unique Keys and Salts », comme indiqué ci-dessous :
Il y a quelques instructions sous forme de commentaires sur la façon de mettre à jour vos clés en haut. Juste en dessous, vous trouverez huit lignes comprenant toutes vos clés et sels de sécurité. Pour les remplacer, vous devrez générer un nouveau jeu de clés, ce que vous pouvez faire via l’API de WordPress. Il suffit de visiter ce lien et la plateforme générera un nouveau jeu de clés uniques que vous pourrez utiliser, comme ceci :
Tout ce que vous avez à faire maintenant est de prendre vos nouvelles clés et de remplacer celles existantes dans le fichier wp-config.php . Vous pouvez soit copier et coller les clés une par une, soit remplacer la section entière. Si vous faites cela correctement, la fonctionnalité de votre site Web ne sera pas affectée par ce changement. Le seul changement que vous remarquerez est que vous devrez vous reconnecter à votre compte après avoir mis à jour vos sels, comme tous vos utilisateurs.
Une fois que vous avez remplacé vos clés, enregistrez les modifications dans le fichier wp-config.php et fermez-le. FileZilla va maintenant vous demander si vous voulez remplacer votre fichier wp-config.php existant par la version que vous venez de modifier. Choisissez l’option Oui , après quoi vous pourrez vous reconnecter à votre site Web.
Utilisez le plugin Salt Shaker
Le plugin Salt Shaker peut vous aider à simplifier encore plus le processus. Avec ce plugin, vous pouvez automatiser l’ensemble du processus de changement de vos clés de sel. En outre, le plugin vous permet même de programmer des changements automatiques de vos clés de sel sur une base régulière.
Pour utiliser le plugin, vous devez d’abord l’installer et l’activer. Une fois que c’est fait, une nouvelle option Salière apparaîtra dans votre tableau de bord sous l’onglet Paramètres . Vous y trouverez deux options. La première vous permet de programmer les changements de vos clés de sel WordPress. Vous pouvez choisir de les changer tous les jours, toutes les semaines ou tous les mois :
Dans la plupart des cas, les changements quotidiens sont excessifs puisque vous obligeriez tous vos utilisateurs à se déconnecter. En tant que tel, nous ne recommandons des changements quotidiens que si votre site Web n’est pas ouvert à l’enregistrement et que vous voulez qu’il soit aussi sécurisé que possible. Pour les scénarios réguliers, nous pensons que les changements mensuels sont la meilleure option.
Une fois que vous avez défini votre calendrier, le plugin mettra automatiquement à jour vos clés de sel à l’intervalle défini. Si vous ne souhaitez pas automatiser le processus, ou si vous voulez les modifier immédiatement, vous pouvez cliquer sur le bouton Modifier maintenant .
Cela modifiera immédiatement vos clés de sécurité, après quoi WordPress vous demandera de vous reconnecter. Comme avec la méthode manuelle, vous ne remarquerez aucune différence après avoir effectué cette opération et vous pourrez utiliser votre tableau de bord comme d’habitude.
Conclusion
Le stockage des mots de passe en clair est toujours une mauvaise idée, et c’est là que les clés salines entrent en jeu. WordPress utilise des clés salées uniques pour sécuriser vos mots de passe, ce qui empêche les attaquants d’accéder à vos mots de passe même s’ils parviennent à accéder à votre base de données. Vous pouvez vous assurer que vos mots de passe sont encore plus sûrs en les changeant régulièrement.
Il existe deux façons de modifier vos clés salines WordPress :
- Changez vos clés manuellement en modifiant votre fichier wp-config.php .
- Utilisez le plugin Salt Shaker.
Vous avez des questions sur la façon de mettre à jour vos clés de sécurité WordPress ? Parlons-en dans la section des commentaires ci-dessous !