WordPress Salt : Le guide du débutant

Cet article a été mis à jour le 26 mars 2023

Que sont les salts WordPress ? Voici la réponse courte : ils peuvent aider à protéger votre site WordPress en stockant les mots de passe des utilisateurs et en les authentifiant en toute sécurité. Mais qu’en est-il de la réponse longue ?

Dans ce guide sur les salts WordPress, vous trouverez :

  • Une présentation détaillée des salts WordPress
  • Où trouver les salts WordPress
  • Des informations sur la fréquence à laquelle vous devez mettre à jour les salts et les clés (key) de sécurité de WordPress
  • Deux techniques pour modifier les salts de WordPress

À la fin de ce guide, vous aurez toutes les informations nécessaires pour commencer à utiliser les salts WordPress et en tirer le meilleur parti.

Zoom sur les salts WordPress

Les salts WordPress, et les clés (key) de sécurité qui leur sont associées, sont un outil cryptographique conçu pour assurer la sécurité de la connexion à votre site WordPress. Plus précisément, ils stockent des informations dans les cookies utilisés par WordPress pour vous connecter à votre compte.

Lorsque vous vous connectez à WordPress, vous pouvez choisir de rester connecté si vous préférez ne pas avoir à saisir votre nom d’utilisateur et votre password à chaque fois. WordPress stocke vos données de connexion dans ses cookies au lieu d’utiliser les sessions PHP. Cette méthode est incroyablement pratique pour l’utilisateur, mais elle crée des problèmes de sécurité, un pirate pourrait utiliser ses compétences pour prendre le contrôle des cookies dans votre navigateur.

A lire aussi :  Comment activer GZIP sur votre site WordPress

Ainsi, pour protéger vos informations de connexion contre les utilisateurs non autorisés, WordPress les sécurise à l’aide de salts et de clés (key) de sécurité. Essentiellement, les salts WordPress fonctionnent comme des mots de passe supplémentaires pour votre site web que tout pirate potentiel trouverait pratiquement impossible à deviner.

Les salts et les clés (key) de sécurité de WordPress sont si importants qu’il ne faut jamais les partager avec qui que ce soit.

password generator key api

Où peut-on trouver les salts WordPress ?

Par défaut, WordPress est équipé de ses propres salts et clés (key) de sécurité, stockés dans le fichier wp-config.php de votre site web. Il y a huit clés (key) : les quatre premières sont vos clés (key) de sécurité, et les quatre dernières sont vos salts WordPress. Chaque entrée se termine par « KEY » ou « SALT », ce qui permet de les identifier facilement.

Fonctionnement des salts WordPress

Dans cette section, nous utiliserons un exemple de password basique, PasswordX, pour vous expliquer comment fonctionnent les salts WordPress.

Pour commencer, connectez-vous avec votre nom d’utilisateur et votre password (assurez-vous que le vôtre est plus sûr que PasswordX). WordPress stocke ces données dans deux cookies distincts pour vous permettre de rester connecté. La base de données de votre site web stocke également ces informations.

Si votre password est stocké par WordPress sous la forme d’un simple « PasswordX », un utilisateur non autorisé pourrait facilement le repérer. Cette méthode est connue sous le nom de « stockage en clair », ce qui constitue un grave manquement à la sécurité.

Comment les salts et les clés (key) de sécurité permettent-ils d’éviter ce problème ? Ils collaborent à la transformation cryptographique des mots de passe en clair en combinaisons aléatoires de caractères. Il est impossible pour un acteur malveillant de désosser votre password sans avoir accès à vos salts ou à vos clés (key) de sécurité.

A lire aussi :  Firewall WordPress : Pourquoi en avez-vous besoin ?

Par exemple, même si vous choisissez PasswordX comme password, WordPress le transformera en quelque chose de beaucoup plus complexe pour le stocker en toute sécurité. Sans avoir accès à vos clés (key) de sécurité et à vos salts, un utilisateur non autorisé n’aurait aucun moyen de transformer une chaîne de caractères aléatoires en votre véritable password.

Est-il nécessaire de mettre à jour les salts et les clés (key) de sécurité de WordPress ?

Les salts et les clés (key) de sécurité sont inclus par défaut dans toutes les nouvelles installations de WordPress. Cela signifie que vous n’avez rien à faire pour sécuriser votre site WordPress dès le départ. Cependant, il est utile de mettre à jour régulièrement les salts et les clés (key) de sécurité de WordPress.

Pourquoi ? Parce que l’utilisation de nouveaux salts et de nouvelles clés (key) rend leur accès plus difficile pour les pirates. De plus, lorsque vous modifiez vos salts, tous les utilisateurs connectés à votre site sont automatiquement déconnectés. C’est idéal si vous vous connectez sur un ordinateur public mais que vous oubliez de vous déconnecter accidentellement, ce compte sera déconnecté et personne d’autre ne pourra y accéder à nouveau.

Deux façons de mettre à jour vos salts WordPress

Vous avez deux possibilités pour modifier les salts de WordPress :

  • Modifier votre fichier wp-config.php pour changer les salts manuellement.
  • Utiliser un plugin gratuit pour le faire à votre place.

Examinons ces deux options en détail.

Modifier manuellement les salts de WordPress

Avec cette méthode, vous mettrez vous-même à jour votre fichier wp-config.php. Commencez par vous connecter au serveur de votre site web via FTP, puis rendez-vous sur le générateur (generator) de salts officiel de WordPress. Des salts et des clés (key) de sécurité aléatoires sont générés pour vous sur cette page, avec quatre de chaque.

A lire aussi :  Permalien : Définition et exemples

L’étape suivante consiste à supprimer les clés (key) qui se trouvent actuellement dans votre fichier wp-config.php et à les remplacer par les clés (key) trouvées dans le générateur (generator) de salts. Il vous suffit de les copier et de les coller.

Lorsque vous aurez terminé ce processus, le fichier ressemblera à ce qu’il était auparavant, mais avec des chaînes de caractères aléatoires différentes, ce qui vous donnera la sécurité solide dont vous avez besoin pour rester en sécurité en ligne. Enregistrez les modifications et, si nécessaire, rechargez votre fichier wp-config.php.

Utilisation d’un plugin pour modifier les salts de WordPress

Vous pouvez modifier les salts de votre site web à l’aide d’un plugin au lieu de le faire manuellement. L’une des options gratuites les plus populaires est le plugin Salt Shaker, qui présente un avantage clé par rapport à l’alternative manuelle : vous pouvez configurer le plugin pour qu’il modifie vos salts automatiquement en fonction de votre propre programmation, et vous pouvez également modifier les salts manuellement avec ce plugin.

Installez le plugin, activez-le, puis allez dans Outils et cliquez sur Salt Shaker. Cliquez sur Change Now (Changer maintenant) si vous voulez changer manuellement vos salts immédiatement. Mais si vous le souhaitez, vous pouvez profiter de la fonction pratique de changement programmé.

Conclusion

Lorsque vous utilisez WordPress, les salts et les clés (key) de sécurité sécurisent votre processus de connexion et protègent les cookies utilisés par WordPress pour vérifier les utilisateurs. Votre site WordPress est équipé par défaut de salts et de clés (key) de sécurité uniques, vous n’avez donc pas besoin de configurer quoi que ce soit pour les mettre en place.

Cependant, il est bénéfique pour la sécurité de votre site de mettre régulièrement à jour vos salts afin d’empêcher les utilisateurs non autorisés d’y avoir accès. Vous pouvez utiliser le générateur (generator) de salts de WordPress.org pour éditer manuellement votre fichier wp-config.php ou utiliser l’un des plugins gratuits.

Abdellah
Abdellah

Je m'appelle Abdellah. Au cours des 8 dernières années, j'ai aidé des freelances, startups et entreprises à maximiser leurs revenus grâce à des stratégies rentables.

WEB MENTOR : Consultant et formateur
Logo
Mon panier