À un haut niveau, les sels WordPress sont un moyen de garder votre site WordPress sécurisé en aidant à stocker et à authentifier en toute sécurité les mots de passe des utilisateurs de votre site.

Dans cet article, vous apprendrez :

Que sont les sels WordPress ? Plus de détails

Les sels WordPress, ainsi que les clés de sécurité qui les accompagnent, sont un outil cryptographique qui aide à sécuriser la connexion de votre site WordPress.

Spécifiquement, les sels et les clés de sécurité sécurisent les informations dans les cookies que WordPress utilise pour vous connecter.

Voyez, une fois que vous vous connectez à WordPress, vous avez la possibilité de rester connecté afin de ne pas avoir à saisir votre nom d’utilisateur et votre mot de passe à chaque fois. Pour ce faire, WordPress enregistre vos informations de connexion dans des cookies, plutôt que d’utiliser des sessions PHP.

C’est super pratique pour les utilisateurs, mais cela ouvre également la possibilité d’un problème de sécurité si quelqu’un était capable de détourner les cookies de votre navigateur.

Pour éviter cela, WordPress utilise des sels et des clés de sécurité pour sécuriser vos informations de connexion afin que les sujets malveillants ne puissent rien en faire. Pensez-y en quelque sorte comme des mots de passe  » supplémentaires  » pour votre site qui sont presque impossibles à deviner pour un acteur malveillant.

En raison de leur importance, vous ne devez jamais partager vos sels et clés de sécurité WordPress avec qui que ce soit.

Où se trouvent les sels WordPress ?

WordPress est livré avec ses propres sels et clés de sécurité par défaut. Ils sont situés dans le fichier wp-config.php de votre site. Vous devriez voir huit clés au total :

• Les quatre premières entrées sont vos clés de sécurité.
• Les quatre dernières entrées sont vos sels WordPress.

Comment fonctionnent les sels WordPress ?

Disons que votre mot de passe pour votre site WordPress est « mypassword » (c’est un mot de passe horrible mais il correspond à nos besoins).

Pour vous connecter, vous entrez votre nom d’utilisateur et votre mot de passe. Ensuite, WordPress stocke ces informations dans deux cookies de navigateur afin que vous restiez connecté (ces informations sont également stockées dans la base de données de votre site).

Cependant, si WordPress stocke votre mot de passe juste comme ça – « mypassword » – alors il est là, au grand jour, pour qu’un acteur malveillant puisse le voir. C’est ce qu’on appelle stocker le mot de passe en clair, et c’est un gros non-non quand il s’agit de sécurité.

Les clés de sécurité et les sels évitent ce problème en travaillant ensemble pour transformer cryptographiquement ce mot de passe en clair en un enchevêtrement aléatoire de caractères qui sont impossibles pour quelqu’un de faire de l’ingénierie inverse sans avoir accès à vos clés et sels.

Donc, même si vous avez entré « mypassword » pour vous connecter, WordPress transformera votre mot de passe en quelque chose comme « hsd78q34%7832$4jkhkjsfd78782^^429nsdf » pour le stockage.

Sans qu’une personne ait accès à vos sels et clés de sécurité, il lui serait impossible de traduire cet enchevêtrement aléatoire de caractères en votre mot de passe réel.

Vous devez changer vos sels et clés de sécurité WordPress ?

Par défaut, les nouvelles installations de WordPress sont livrées avec leur propre jeu de clés et de sels, de sorte que votre site WordPress est déjà sécurisé sans nécessiter aucune action de votre part.

Cependant, il y a quelques raisons d’envisager de changer vos sels et clés sur une base périodique.

Le concept de base est qu’en changeant périodiquement vos clés et vos sels, vous rendez encore plus difficile pour un acteur malveillant de mettre la main sur vos sels.

En outre, le changement de vos sels déconnectera automatiquement tous les utilisateurs connectés sur votre site et les obligera à se connecter à nouveau, ce qui est un autre avantage potentiel. Par exemple, si vous vous êtes accidentellement connecté sur un ordinateur public et que vous avez oublié de vous déconnecter, cela vous permettrait de forcer la déconnexion de ce compte pour vous assurer que personne ne peut y avoir accès.

Comment changer vos sels WordPress (deux méthodes)

Si vous voulez changer les sels dans WordPress, vous avez deux options principales :

• Manuellement, en modifiant votre wp-config.php
• Avec un plugin gratuit

Voici comment utiliser les deux approches :

Comment modifier manuellement les sels de WordPress

Pour modifier manuellement les sels de votre site, vous devrez vous connecter au serveur de votre site via FTP et modifier votre fichier wp-config.php. Si vous n’êtes pas sûr de savoir comment faire, consultez cet article sur la façon d’utiliser SFTP chez Kinsta.

Une fois que vous êtes connecté, rendez-vous sur le générateur de sels officiel de WordPress.org. Cette page va générer aléatoirement des sels et des clés de sécurité pour vous, comme vous l’avez vu ci-dessus. Elle devrait générer les quatre clés de sécurité plus quatre sels (huit au total):

Puis, supprimez les clés existantes dans votre fichier wp-config.php et remplacez-les en collant les clés du générateur de sels de WordPress.org:

Une fois que vous avez terminé, il devrait ressembler exactement à ce qu’il était avant – c’est juste que les chaînes de caractères aléatoires seront différentes.

Assurez-vous de sauvegarder vos modifications et de recharger votre fichier wp-config.php si nécessaire.

Comment changer les sels WordPress avec un plugin

Comme alternative à la méthode manuelle ci-dessus, vous pouvez également utiliser un plugin pour changer les sels de votre site.

Le plugin Salt Shaker est une option gratuite populaire avec un avantage sur la méthode manuelle:

Vous pouvez le configurer pour changer automatiquement vos sels selon un calendrier que vous définissez. Ou, vous pouvez aussi simplement l’utiliser pour changer manuellement les sels.

Une fois que vous avez installé et activé le plugin, allez dans Outils → Salière.

Si vous voulez changer manuellement vos sels tout de suite, cliquez simplement sur le bouton Changer maintenant.

Ou, vous pouvez également utiliser la fonction de changement programmé pour changer automatiquement vos sels selon l’un des horaires suivants :

• Journalier
• Semainier
• Mensuel
• Trimestriel (tous les trois mois)
• Biannuel (tous les six mois)

Certains plugins de sécurité WordPress, notamment iThemes Security, incluent également des fonctionnalités qui permettent de changer facilement vos sels WordPress.

La sécurité n’est jamais suffisante ! Découvrez ce que sont les sels WordPress et comment ils peuvent empêcher les méchants de s’en prendre à votre site. 😈🔐Click to Tweet

Summary

Les sels et les clés de sécurité de WordPress aident à sécuriser le processus de connexion de votre site et les cookies que WordPress utilise pour authentifier les utilisateurs.

Votre site est livré avec son propre ensemble de sels et de clés par défaut, vous n’avez donc pas besoin de configurer quoi que ce soit pour bénéficier des sels.

Cependant, il y a des avantages de sécurité à changer périodiquement vos sels pour rendre l’accès encore plus difficile aux acteurs malveillants.

Pour changer vos sels, vous pouvez utiliser le générateur de sels de WordPress.org et modifier manuellement votre fichier wp-config.php ou vous pouvez utiliser un plugin gratuit comme Salt Shaker.