SécuritéTutorielWordPress

Les Sels WordPress : Qu’est-ce que c’est et pourquoi c’est vital ?

tswan
By tswan
6 Min Read

Au cœur de chaque installation WordPress se trouve un fichier de configuration, wp-config.php, qui contient les clés du royaume : les identifiants de votre base de données. Mais juste en dessous de ces informations critiques se cache un bloc de code qui semble cryptique et qui est souvent ignoré : les clés de sécurité et les sels (Salts). Ces huit lignes de texte aléatoire ne sont pas là pour faire joli. En effet, elles constituent l’une des couches de sécurité les plus fondamentales de votre site, agissant comme un ingrédient secret qui protège l’une de vos données les plus précieuses : vos sessions de connexion. Comprendre ce qu’elles sont, comment elles fonctionnent et pourquoi vous devriez les changer est une étape essentielle pour passer d’un simple utilisateur à un administrateur WordPress averti et sécurisé.

Contents
Que sont les "Sels" WordPress ? L’ingrédient secret de votre sécuritéÀ quoi servent-ils concrètement ? La protection des cookiesLe "Bouton Panique" : Pourquoi vous devez savoir les changerComment générer et mettre à jour vos sels WordPress

Que sont les "Sels" WordPress ? L’ingrédient secret de votre sécurité

Imaginez que votre mot de passe est une recette de base. Si quelqu’un la connaît, il peut reproduire votre plat. Maintenant, imaginez que vous ajoutiez à cette recette un ingrédient secret, unique et complexe, que vous seul connaissez. Même si quelqu’un vole la recette de base, il lui sera impossible de recréer le plat sans cet ingrédient secret.

Les sels WordPress sont cet ingrédient secret. Ce sont des chaînes de caractères longues et aléatoires qui sont ajoutées à vos mots de passe avant qu’ils ne soient stockés et vérifiés. Ce processus, appelé "salage" et "hachage", transforme un mot de passe simple comme "monmotdepasse" en une chaîne de caractères complexe et illisible comme a8f5f167f44f4964e6c998dee827110c.

Ces sels se trouvent dans votre fichier wp-config.php et ressemblent à ceci :

define( 'AUTH_KEY',         'mettez votre phrase unique ici' );
define( 'SECURE_AUTH_KEY',  'mettez votre phrase unique ici' );
define( 'LOGGED_IN_KEY',    'mettez votre phrase unique ici' );
define( 'NONCE_KEY',        'mettez votre phrase unique ici' );
define( 'AUTH_SALT',        'mettez votre phrase unique ici' );
define( 'SECURE_AUTH_SALT', 'mettez votre phrase unique ici' );
define( 'LOGGED_IN_SALT',   'mettez votre phrase unique ici' );
define( 'NONCE_SALT',       'mettez votre phrase unique ici' );

À quoi servent-ils concrètement ? La protection des cookies

La principale fonction des sels est de sécuriser les cookies de connexion. Lorsque vous vous connectez à WordPress et cochez la case "Se souvenir de moi", WordPress stocke un cookie dans votre navigateur pour vous maintenir connecté. Sans les sels, les informations de ce cookie seraient beaucoup plus faciles à déchiffrer pour un pirate qui parviendrait à le voler (une attaque de type "session hijacking").

Grâce aux sels, les informations stockées dans le cookie sont fortement cryptées. Même si un pirate met la main dessus, il lui sera extrêmement difficile de l’utiliser pour se connecter à votre compte.

Infographie montrant un mot de passe et un "sel" entrant dans un mixeur "WordPress" pour en sortir un cookie crypté et sécurisé.

Le "Bouton Panique" : Pourquoi vous devez savoir les changer

L’une des fonctionnalités de sécurité les plus puissantes des sels est souvent méconnue. Changer les sels WordPress déconnecte instantanément tous les utilisateurs connectés au site.

Cela transforme les sels en un "bouton panique" extrêmement efficace. Si vous pensez que votre site a été compromis, ou si vous voyez une session utilisateur suspecte, la première chose à faire est de changer vos sels. Cela invalidera tous les cookies de connexion existants, expulsant tout le monde — y compris les éventuels pirates — et forçant chaque utilisateur à se reconnecter avec son mot de passe.

Comment générer et mettre à jour vos sels WordPress

Il est recommandé de changer vos sels périodiquement, et obligatoirement après tout soupçon de faille de sécurité. Le processus est simple et ne prend que deux minutes.

  1. Générez de nouveaux sels : Rendez-vous sur le générateur de clés de sécurité officiel de WordPress : https://api.wordpress.org/secret-key/1.1/salt/. Cette page vous fournira un nouveau bloc de huit clés entièrement aléatoires.
  2. Copiez le nouveau bloc : Sélectionnez et copiez l’intégralité du code généré.
  3. Accédez à votre wp-config.php : Connectez-vous à votre site via FTP ou le Gestionnaire de fichiers de votre panneau d’hébergement (fourni par votre hébergeur comme Tswan Hosting).
  4. Ouvrez et modifiez le fichier : Trouvez et ouvrez le fichier wp-config.php qui se trouve à la racine de votre installation WordPress.
  5. Remplacez les anciens sels : Repérez le bloc de définitions AUTH_KEY, SECURE_AUTH_KEY, etc., et remplacez-le entièrement par le nouveau bloc que vous venez de copier.
  6. Enregistrez le fichier.

C’est tout ! Tous les utilisateurs seront déconnectés, et votre site sera désormais sécurisé par un nouvel ensemble de clés.

En conclusion, les sels WordPress sont un mécanisme de sécurité simple mais vital. Ils renforcent considérablement la protection de vos comptes utilisateurs contre les attaques courantes. Apprendre à les gérer est une preuve de bonne hygiène de sécurité, une pratique que les hébergeurs sérieux comme Tswan Hosting et les agences de développement professionnelles comme Tswan Softwares considèrent comme non négociable.

Bannière publicitaire pour l'hébergement WordPress sécurisé de Tswan

TAGGED:
Share This Article
Previous Article Les Codes d’état HTTP
Next Article MariaDB vs. MySQL
Aucun commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commencer l'aventure

Découvrez les hébergements web de Tswan Hosting
Commencer
Most Popular

You Might Also Like