Sécurité WordPress

Les clés de sécurité WordPress: Utiles ou pas?

27 mars 2015

Les clés de sécurité WordPress: Utiles ou pas?

L’utilisation des clés de sécurité WordPress est une étape importante de la sécurisation de votre site WordPress. Ces clés sont utilisées par WordPress pour assurer un meilleure cryptage des informations stockées dans les cookies des utilisateurs lorsqu’ils  sont connectéq à un site WordPress, ainsi qu’une meilleure sécurisation lors de la visite du tableau de bord WordPress avec le protocole SSL.

clés de sécurité WordPress

Cet article va vous expliquer ce que sont les clés de sécurité WordPress, comment elles fonctionnent et comment les configurer.

Comment sont utilisées les Clés de sécurité WordPress?

Comme avec n’importe quel autre application Web, lorsque vous vous connectez à WordPress, celui-ci crée deux cookies sur votre ordinateur:

  • wordpress_ [hash]
  • wordpress_logged_in_ [hash]

Le premier cookie n’est utilisé que dans les pages d’administration (tableau de bord WordPress) tandis que le second cookie est utilisé tout au long de l’utilisation de WordPress, pour déterminer si vous êtes connecté à WordPress ou non.

Remarque: [hash] est une valeur hachée aléatoire généralement attribuée à votre session, donc en réalité le nom du cookie serait quelque chose comme wordpress_ffc02f68bc9926448e9222893b6c29a9.

WordPress stocke vos informations d’authentification (par exemple votre nom d’utilisateur et votre mot de passe WordPress) dans les deux cookies mentionnés ci-dessus. Les informations d’authentification sont hachées, ainsi il est presque impossible pour quiconque d’inverser le hachage et deviner votre mot de passe, via un cookie, en cas de vol.

Par presque impossible, on entends qu’avec les ordinateurs d’aujourd’hui, il est pratiquement impossible de le faire.

Les détails d’authentification stockés dans les cookies sont hachés en utilisant le modèle aléatoire spécifié dans les clés de sécurité.

Les clés de sécurité WordPress, comment ça marche?

Les clés de sécurité WordPress sont constituées de quatre clés d’authentification et de quatre salages (données aléatoires) qui lorsqu’elles sont utilisées ensembles ajoutent une couche de sécurité supplémentaire pour les cookies et les mots de passe.

Voici une capture d’écran de clés de sécurité déjà configurées dans le fichier wp-config.php (n’utilisez l’exemple ci-dessous dans votre installation):

exemple de clés de sécurité
Si les clés de sécurité ne sont pas encore configurées, elles ressemblent au code ci-dessous dans le fichier wp-config.php:

/**#@+
 * Clefs uniques d'authentification et salage.
 *
 * Remplacez les valeurs par défaut par des phrases uniques !
 * Vous pouvez générer des phrases aléatoires en utilisant 
 * {@link https://api.wordpress.org/secret-key/1.1/salt/ le service de clefs secrètes de WordPress.org}.
 * Vous pouvez modifier ces phrases à n'importe quel moment, afin d'invalider tous les cookies existants.
 * Cela forcera également tous les utilisateurs à se reconnecter.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here'); 
define('SECURE_AUTH_KEY',  'put your unique phrase here'); 
define('LOGGED_IN_KEY',    'put your unique phrase here'); 
define('NONCE_KEY',        'put your unique phrase here'); 
define('AUTH_SALT',        'put your unique phrase here'); 
define('SECURE_AUTH_SALT', 'put your unique phrase here'); 
define('LOGGED_IN_SALT',   'put your unique phrase here'); 
define('NONCE_SALT',       'put your unique phrase here'); 
/**#@-*/

L’histoire des clés de sécurité WordPress

Il y a huit clés de sécurité WordPress, mais elles n’ont pas toutes été créées en même temps. Voici une liste qui explique quand chacune des clés et le salage ont été introduit:

  • WordPress 2.6: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY
  • WordPress 2.7: NONCE_KEY
  • WordPress 3.0: AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, NONCE_SALT

Comment configurer les clés de sécurité WordPress

Pour configurer les clés de sécurité dans le fichier wp-config.php, suivez la procédure ci-dessous:

  • Ouvrez le fichier wp-config.php
  • Rechercher Clefs uniques d’authentification et salage. Cette section doit se trouver juste après les informations d’identification de la base de données, sauf si vous avez déplacé ces informations dans votre fichier wp-config.php .
  • Spécifiez une valeur aléatoire de plus de 60 caractères uniques pour chaque clé et pour le salage en remplacement de put your unique phrase here. Vous pouvez également utiliser le générateur de clés de sécurité en ligne pour la génération automatique des clés.
  • Si vous utilisez le générateur de clé de sécurité en ligne, il suffit de copier l’intégralité du bloc de code et de remplacer les huit valeurs par défaut dans votre fichier wp-config.php.
  • Enregistrez le fichier wp-config.php.

Remarques sur les clés de sécurité WordPress

  1. Vous n’avez pas besoin de mémoriser les valeurs des clés de sécurité. Vous ne les configurez qu’une fois dans le fichier wp-config.php et pouvez les oublier.
  2. Tout les utilisateurs connectés devraient se déconnecter de WordPress si les clés de sécurité sont modifiées alors qu’ils sont connectés.
  3. Ne divulguez jamais vos clés de sécurité à personne, et ne les postez jamais en ligne.
  4. Les clés de sécurité WordPress peuvent être modifiées à tout moment.
  5. Le fichier wp-config.php n’est pas modifié lors de la mise à jour de WordPress, par conséquent, vous pourriez avoir moins de clés de sécurité et de salage dans votre fichier wp-config.php. Si cela devait être le cas, vous pouvez spécifier en toute sécurité huit nouvelles clés. Utilisez le fichier wp-config-sample.php comme référence.

Amélioration de la sécurité de WordPress

La configuration des clés de sécurité est une étape très importante de la sécurisation de votre site WordPress. Aussi n’oubliez jamais que les cookies de votre site peuvent être volés ou votre session détournée. Pensez à modifier les clés de sécurité WordPress pour qu’en cas d’attaque les cookies de l’attaquant soient invalidés et ne peuvent ainsi être utilisés pour pirater votre compte.

Conclusion

Il est fort probable que beaucoup d’utilisateurs de WordPress ne savent pas que les clés de sécurité WordPress ne sont pas une option, mais une nécessité. Parlez en autour de vous, afin qu’aucun site ne puisse être attaqué parce que les clés de sécurité n’ont pas été mises en place.

Utilisez les clés de sécurité sur votre site? Si vous ne les utilisez pas, êtes vous convaincus après avoir lu cet article, qu’il faut les utiliser?


Si cet article vous a été utile, Partagez le, Merci!

4 commentaires
  1. Li-An

    Bonjour, Julio Potier, grand spécialiste de la sécurité WP n'est pas super convaincu de l'intérêt des clefs en question - ou un autre spécialiste croisé sur le Web. Je serai incapable de développer leurs arguments mais voilà.

  2. Hubert

    Je ne viendrai pas contredire des spécialistes, toutefois il a été prouvé que cela aidait à améliorer la sécurité des sites, maintenant chacun est libre de penser :)

  3. Li-An

    J'ai moi-même mis des clefs sur mes installations WP, ça ne mange pas de pain.

  4. Hubert

    Au moins on est deux :)

Laisser un commentaire

You have to agree to the comment policy.

-25% sur ElegantThemes.com Maintenant !Cliquez-ici !
+