Share
Si vous avez déjà consulté le fichier de configuration principal (wp-config.php) pour un site WordPress, vous aurez probablement remarqué une section définissant huit constantes WordPress relatives aux clés de sécurité et aux sels:
Accentsconagua
CLÉ D'AUTHENTIFICATIONSECURE_AUTH_KEYLOGGED_IN_KEYNONCE_KEYAUTH_SALTSECURE_AUTH_SALTLOGGED_IN_SALTNONCE_SALTRemarque: wp-config.php se trouve dans le dossier racine de votre installation WordPress par défaut.
Ces constantes contiennent des clés de sécurité et des sels qui sont utilisés en interne par WordPress pour ajouter une couche supplémentaire d'authentification et améliorer la sécurité..
WordPress utilise des cookies (plutôt que des sessions PHP) pour garder la trace des personnes actuellement connectées. Ces informations sont stockées dans des cookies dans votre navigateur.
Pour vous assurer que les détails de l'authentification sont aussi sécurisés que possible, des clés et des sels uniques sont utilisés pour augmenter le niveau de cryptage des cookies. Il est recommandé d’utiliser des chaînes longues (généralement de 64 caractères) de caractères alphanumériques et de symboles aléatoires..
le CLÉ D'AUTHENTIFICATION, SECURE_AUTH_KEY, et LOGGED_IN_KEY Des constantes de clé de sécurité ont été ajoutées à WordPress 2.6, qui remplace une clé unique tout-en-un introduite pour la première fois dans WordPress 2.5..
NONCE_KEY a été ajouté peu après, dans WordPress 2.7. Sels correspondants AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, et NONCE_SALT ont été ajoutés avec chaque clé de sécurité, mais ce n’est qu’à WordPress 3.0 qu’ils ont été ajoutés à wp-config.php.
Avant WordPress 3.0, vous pouvez éventuellement ajouter vos propres définitions de constante de sel à wp-config.php, sinon, ils seraient générés par WordPress et stockés dans la base de données.
Alors que les quatre constantes de clé de sécurité sont requises, si vous supprimez les constantes du sel dans le fichier de configuration WordPress, si vous les laissez à leurs valeurs par défaut, ou si tout sel est considéré comme un doublon d'un autre, WordPress récupère alors le sel de la base de données..
Pour les nouveaux sites WordPress, les sels seront générés et stockés dans la base de données.
Lors de l'installation, WordPress ne génère pas de clés / sels de sécurité uniques wp-config.php. Au lieu de cela, le même message par défaut est entré pour chaque constante.
Si vous venez d'installer WordPress sur un serveur distant, il est recommandé de modifier le message par défaut pour chaque clé de sécurité / constante de protection en une valeur unique et appropriée..
Parfois, votre hôte le fera pour vous si vous installez WordPress via un script personnalisé. Néanmoins, pour plus de tranquillité d'esprit, vous voudrez peut-être mettre à jour les clés de sécurité / sels peu de temps après la fin de l'installation..
Même une fois les clés de sécurité et les sels définis, il est judicieux de les mettre à jour régulièrement. Tout ce que vous pouvez faire pour rendre votre site plus sécurisé est généralement une bonne idée..
Et même s'il est très improbable que vos mots de passe (ainsi que les clés de sécurité / sels) soient brisés, leur mise à jour périodique a du sens, car elle protège contre les imprévus, tels que les sauvegardes de votre site interceptées par des tiers non souhaités, etc..
Alors, comment mettez-vous à jour vos clés de sécurité et vos sels? Regardons quelques méthodes différentes.
Vous pouvez créer manuellement de nouvelles valeurs pour chaque constante, mais cela est plutôt fastidieux, surtout si vous avez plusieurs sites WordPress à mettre à jour! En outre, chaque clé / sel pourrait ne pas être aussi sécurisé qu'il pourrait l'être.
Heureusement, les gentils collaborateurs de WordPress ont rendu ce processus très simple en fournissant une API permettant de générer automatiquement les valeurs clé / sel pour vous. Tout ce que vous avez à faire est de visiter une URL de clé secrète:
https://api.wordpress.org/secret-key/1.1/salt/
Lorsque la page est chargée, des chaînes uniques pour chaque constante vous sont présentées, comme indiqué ci-dessous:
Comme vous pouvez le constater, chaque clé / sel WordPress généré est une séquence aléatoire de 64 caractères. Essayez d'actualiser la page plusieurs fois pour vous assurer que l'URL génère à chaque fois des clés / sels complètement aléatoires..
Si vous développez votre site WordPress localement, vous pouvez simplement copier et coller les clés / sels générés directement dans wp-config.php pour remplacer les entrées existantes.
Conseil: Je vous recommande de toujours utiliser l'URL ci-dessus, qui utilise le protocole HTTP sécurisé..
Cela éliminera effectivement le risque que quiconque intercepte les clés / sels générés quand ils vous sont retournés avant d'être affichés dans le navigateur..
Si votre site est hébergé sur un serveur distant, pour mettre à jour les clés / sels, vous devez soit accéder aux wp-config.php via le panneau de commande de votre serveur ou via un client FTP qui permet la modification de fichiers distants, tels que FileZilla (gratuit).
Si l'idée de modifier manuellement les fichiers d'un serveur distant vous fait tourner la tête, vous voudrez peut-être envisager d'utiliser un plugin à la place. Ceci est un moyen très facile de mettre à jour vos clés de sécurité / sels en un clic de bouton.
Il existe différents plugins disponibles pour générer et mettre à jour vos clés de sécurité et vos sels. Salt Shaker, un plug-in relativement récent, publié en octobre 2016, est une solution légère avec l'avantage supplémentaire que vous pouvez programmer des mises à jour automatiques des clés / sels à apparaître quand vous le souhaitez. Et le meilleur de tous, c'est gratuit. Voyons comment l'utiliser.
Téléchargez Salt Shaker à partir du référentiel WordPress ou installez-le directement à partir de votre administrateur WordPress de la manière habituelle. Aller à Plugins> Ajouter un nouveau et commencez à taper Salière dans le Rechercher des plugins… zone de texte. Lorsque le plugin apparaît dans la liste, cliquez sur Installer maintenant.
Une fois le plugin installé, un Activer bouton apparaîtra. Cliquez ici pour terminer la configuration.
Maintenant que le plugin est actif, nous pouvons le tester. Pour accéder aux paramètres du plugin, allez à Outils> Salière dans l'admin WordPress.
Ici, nous pouvons mettre à jour les clés de sécurité / sels immédiatement avec un simple clic de souris. Aussi tôt que le Change maintenant Cliquez sur le bouton, une icône en rotation apparaît à droite pour indiquer que le plug-in est mis à jour. wp-config.php. Dès que l'icône disparaît, vous savez que les clés / sels de sécurité ont été mis à jour.
Globalement, le plugin fonctionne très bien et peut potentiellement vous faire gagner beaucoup de temps, surtout si vous avez plusieurs sites Web WordPress. J'aimerais peut-être voir quelques options supplémentaires pour choisir les intervalles de temps, tels que trois mois et six mois, pour augmenter la flexibilité du plugin..
De plus, un message indiquant clairement quand les clés / sels ont été mis à jour serait utile - de même qu'une option de plug-in supplémentaire pour rediriger automatiquement vers la page de connexion après la mise à jour des clés / sels.
Alternativement, nous pouvons vérifier la Changer les clés et les sels WP boîte et choisissez quand le wp-config.php les constantes sont mises à jour. C’est une fonctionnalité vraiment intéressante qui permet essentiellement d’oublier la nécessité de mettre à jour les clés de sécurité / sels. Laissez le plugin faire tout pour vous!
Rappelez-vous cependant que chaque fois que les clés de sécurité / sels sont mis à jour, vous devrez vous reconnecter. En effet, les cookies liés aux connexions sont invalidés et les utilisateurs doivent se reconnecter pour mettre à jour le cookie..
Par conséquent, avant de modifier vos clés de sécurité / sels, il est judicieux de disposer de vos informations de connexion afin de ne pas être bloqué accidentellement sur votre site..
Si vous ne souhaitez pas utiliser de plug-in et que vous avez beaucoup de sites WordPress distants, vous pouvez envisager d'utiliser un script pour mettre à jour directement les clés de sécurité / sels..
L'inconvénient est que vous devez maîtriser les scripts. Cependant, il existe plusieurs solutions toutes faites, vous n’avez donc pas à coder votre propre.
Un de ces scripts, appelé WP-Salts-Update-CLI par Ahmad Awais, met à jour les clés de sécurité / sels sur votre ordinateur local ou votre serveur distant..
Pour installer ce script sur votre ordinateur (macOS uniquement), ouvrez une fenêtre de terminal et entrez les informations suivantes:
sudo wget -qO wpsucli https://git.io/vykgu && sudo chmod + x ./wpsucli && sudo install ./wpsucli / usr / local / bin / wpsucli
Cela rendra un script exécutable globalement disponible via le wpsucli commander. Vous pouvez l'exécuter sur votre ordinateur local pour rechercher activement toutes les instances de fichiers de configuration WordPress et remplacer les clés de sécurité / sels par de nouvelles valeurs directement à partir de l'URL de l'API clé secrète de WordPress..
Lorsque vous exécutez le script sur un serveur distant, il est recommandé de le faire à partir du dossier racine, c.-à-d.. cd /, puis courir wpsucli. Pour plus de détails sur le script, voir la page d'informations principale..
Dans ce didacticiel, nous avons expliqué ce que sont les clés / sels de sécurité WordPress et pourquoi il est important de les mettre à jour périodiquement. Nous avons également examiné différentes manières de les mettre à jour, du copier / coller manuellement (si vous avez un accès direct à wp-config.php) à utiliser un plugin pour automatiser complètement le processus. Si vous connaissez la ligne de commande, vous pouvez également utiliser un script personnalisé pour mettre à jour assez facilement les sites locaux / distants..
L'inconvénient est que vous devez toujours exécuter manuellement des scripts qui peuvent être facilement oubliés. Par conséquent, plutôt que de devoir planifier cela dans votre flux de travail, il peut être préférable d'utiliser un plugin pour automatiser le processus..
Quelle que soit la méthode que vous choisissez, l'important est de vous rappeler que vous ajoutez un autre niveau de sécurité à votre (vos) site (s) WordPress, et tout ce que vous pouvez faire pour y parvenir avec un minimum d'effort ne peut être qu'une bonne chose.!
Et si vous recherchez d'autres utilitaires pour vous aider à développer votre ensemble croissant d'outils pour WordPress ou pour que le code soit étudié et devienne plus familier dans WordPress, n'oubliez pas de voir ce que nous avons disponible dans Envato Market..
