Si vous lisez ces lignes, vous faites sans doute partie des quarante millions de personnes possédant un site WordPress, ou bien vous songez à en faire partie. Simple d’utilisation et peu coûteux, ce CMS a su séduire un large public et sa popularité n’a fait que croître de manière exponentielle depuis sa première version de 2003. Cependant, un aspect à ne surtout pas négliger lorsque l’on possède un site web sur lequel des informations sensibles peuvent transiter, telles que des données bancaires si vous possédez un site e-commerce par exemple, c’est la sécurité !
Et pour cela, un des meilleurs conseils qu’Axinonyx Web Agency puisse vous donner, c’est de régulièrement changer vos clés de sécurité. Oui, mais comment faire me direz-vous ? On va vous l’expliquer ici.
Pourquoi changer ses clés de sécurité sur WordPress ?
Régulièrement modifier les clés de sécurité dans WordPress est une pratique recommandée afin de renforcer la sécurité de votre site. Mais les clés de sécurité, qu’est ce que c’est exactement ? Ce sont des chaînes aléatoires utilisées pour chiffrer les informations sensibles stockées dans les cookies de session et les données d’authentification des utilisateurs de votre site.
Changer régulièrement ses clés de sécurité, c’est un important moyen de prévention des attaques par force brute, qui sont des tentatives répétées de deviner le nom d’utilisateur et le mot de passe pour accéder à un site. En modifiant régulièrement vos clés de sécurité, vous limitez la durée de validité des anciennes clés, rendant ainsi plus difficile pour les attaquants de réussir une attaque par force brute.
C’est également une bonne façon de vous protéger contre les attaques par session volée. Dans cette méthode de piratage, les clés de sécurité sont utilisées pour chiffrer les cookies de session, qui sont utilisés pour maintenir la connexion d’un utilisateur sur un site WordPress. Si un attaquant parvient à voler une session valide, il peut ensuite accéder au compte de l’utilisateur sans avoir besoin de nom d’utilisateur et de mot de passe ! C’est pourquoi, si vous modifiez régulièrement les clés de sécurité, vous réduirez drastiquement les risques d’attaques par session volée.
C’est aussi une manière pour vous de renforcer la protection des données utilisateur, car en effet, les clés de sécurité sont également utilisées pour chiffrer les mots de passe des utilisateurs dans la base de données WordPress. Si un pirate accède à votre base de données, il sera plus difficile de déchiffrer les mots de passe si les clés de sécurité sont rmodifiées régulièrement.
On peut aussi souligner que la modification régulière des clés de sécurité est une bonne pratique de sécurité générale, en préventif, afin d’éviter la compromission de votre site. Les pirates informatiques sont constamment à la recherche de failles de sécurité et de moyens d’exploiter les sites Web.
Comment changer ses clés de sécurité WordPress ?
Tout d’abord, voici une petite introduction un peu plus technique aux clés de sécurité . Il en existe quatre, automatiquement générées par WordPress et stockées dans votre fchier wp-config.php :
- AUTH_KEY
- SECURE_AUTH_KEY
- CLÉ DE CONNEXION
- NONE_KEY
Chacune de ces clés de sécurité est associée à un « sel » WordPress correspondant. Les sels sont des outils, également stockés dans le fichier wp-config.php, qui aident à sécuriser les informations dans vos cookies. Tout comme les clés, les sels sont également stockés dans le fichier wp-config.php :
- AUTH_SALT
- SECURE_AUTH_SALT
- LOGGED_IN_SALT
- NONE_SALT
Ensemble, les clés de sécurité et les sels WordPress stockent vos informations et servent à authentifier les mots de passe sur votre site.
Si vous ne voulez pas trop vous prendre la tête pour le changement de vos clés de sécurité, vous pouvez tout simplement utiliser un plugin fait pour cela, tel que Salt Shaker : https://wordpress.org/plugins/salt-shaker/
Ce plugin a l’avantage de pouvoir carrément mettre en place des plannings de changement de clés/sels, et vous pourrez aisément définir/oublier des mots de passe, ce plugin s’occupe du reste !
Un peu plus complexe, vous pouvez également tenter de vous attaquer au changement manuel de vos clés de sécurité, et voici comment faire :
- Pour commencer, connectez-vous à votre tableau de bord WordPress en utilisant vos identifiants d’administrateur.
- Dans le menu de gauche, cliquez sur « Apparence », puis sur « Éditeur ».
- Ensuite, dans la section « Modèles » de l’éditeur de thème, cliquez sur « functions.php ».
- Puis recherchez le code suivant :
define(‘AUTH_KEY’, ‘votre_clé’);
define(‘SECURE_AUTH_KEY’, ‘votre_clé’);
define(‘LOGGED_IN_KEY’, ‘votre_clé’);
define(‘NONCE_KEY’, ‘votre_clé’);
Important à savoir : les clés de sécurité peuvent être nommées différemment selon les versions de WordPress.
Vous trouverez le générateur de clés de sécurité WordPress à l’adresse https://api.wordpress.org/secret-key/1.1/salt/.
Copiez les nouvelles clés générées à partir du site et remplacez les anciennes clés dans le code du fichier functions.php. Assurez-vous de ne pas modifier autre chose que les clés.
Pour finir, cliquez sur le bouton « Mettre à jour le fichier » pour enregistrer les modifications.
Une fois ces étapes terminées, vos clés de sécurité WordPress seront mises à jour. Cela générera de nouvelles clés uniques, qui seront une aide précieuse afin de renforcer la sécurité de votre site.