Configurer les clés de sécurité secrètes dans le wp-config.php

Depuis WordPress 2.6, il est possible d'améliorer grandement la sécurité de votre blog en ajoutant 4 clés de sécurité générées aléatoirement dans le fichier wp-config.php - fichier qui relie l'installation de WordPress sur le FTP à la base de données MySQL.

Ces clés secrètes auront pour effet de crypter les cookies utilisateur et de renforcer ainsi le niveau de sécurité de votre mot de passe.

Voici la définition officielle fournie par le codex WordPress :

In simple terms, a secret key is a password with elements that make it harder to generate enough options to break through your security barriers. A password like « password » or « test » is simple and easily broken. A random, unpredictable password such as « 88a7da62429ba6ad3cb3c76a09641fc » takes years to come up with the right combination.

En français :

En termes simples, une clé secrète est un mot de passe avec des éléments qui le rendent plus dur pour traverser vos barrières de sécurité. Un mot de passe comme « mot de passe » ou le « essai » est simple et facile à casser. Un combinaison imprévisible tel « 88a7da62429ba6ad3cb3c76a09641fc » que prend plusieurs années pour le cracker.

Ces fameuses clés secrètes peuvent générées aléatoirement à partir de cette URL : https://api.wordpress.org/secret-key/1.1/salt/

Il n’est absolument pas nécessaire de les retenir. Copiez-les simplement dans le fichier wp-config.php présent à la racine de votre serveur FTP – par défaut, en recherchant les lignes de code suivante :

Vous l’aurez compris, il s’agit là d’un point crucial en termes de sécurité lequel est malheureusement très peu connu des blogueurs sous WordPress.

27 commentaires

Jonas Il y a 9 années
En quoi est-ce que ça améliore la sécurité ? Je n’arrive pas à saisir le fonctionnement des clés — »
Thierry Benquey Il y a 9 années
Ma foi que dire si ce n’est merci. Je ne savais rien de cette nouvelle possibilité concernant la sécurité, mon config.php étant en place depuis mars 2008
Continue avec ou sans la force de WordPress. Sourire.
Amitié et respect pour le boulot.
Thierry
Doc Il y a 9 années
Merci, ça faisait un moment que je me disais qu’il faudrait que je me penche là dessus sans trop prendre le temps.
Mr Xhark Il y a 9 années
Petite correction : ces clés ne servent pas à crypter le mot de passe mais à chiffrer le cookie associé à l’authentification d’un compte utilisateur WordPress (c’est écrit mais il me semble que dans la vidéo cette notion est floue).
Bonne continuation pour ces « how to »
Aurélien Denis Il y a 9 années
@Jonas : je pense que le commentaire de Mr Xhark devrait t’en dire plus.
@Thierry Benquey : mon éternel fan a parlé !
@Doc : oui, c’est méconnue comme astuce.
@Mr Xhark : c’est tout à fait ça. Dans la vidéo, je suis resté vague parce que c’est pas évident de faire la capture et en même temps être précis sur ce sujet, d’autant plus que ça allonge les temps morts où rien ne se passe à l’écran.
Et merci de ton soutien !
Lionel Il y a 8 années
WordPress 3.03, je l’ai installé hier, ces clés sont mise automatiquement.
1. Aurélien Denis auteur de l’article Il y a 8 années
  Oui les dernières versions les ajoutent automatiquement.
2. Nicolas TAFFOREAU Il y a 8 années
  Petit conseil amical, passe vite à la 3.0.4 car elle contient justement une mise à jour de sécurité importante.
  Cordialement.
Vincent Il y a 7 années
Une seule chose à dire : merci et bravo !
1. Aurélien Denis auteur de l’article Il y a 7 années
  Merci bien !
annicht Il y a 7 années
J’ai passé l’aprem à optimiser mon blog grâce à tes vidéos ! Merci bien pour toutes ces petites astuces Merci Aurelien !
Dorian Il y a 7 années
Bonjour,
J’ai fait comme indiqué et j’ai une erreur.
Warning: session_start() [function.session-start]: Cannot send session cache limiter – headers already sent (output started at /homez.335/emeboule/www/wp-config.php:1) in /homez.335/emeboule/www/wp-content/plugins/easy-contact/econtact.php on line 112
la ligne est celle-ci :session_start();
// Tracks the session for (potential) form submission
function ec_session_referer($unused) {
if ( !isset( $_SESSION ) ) {
session_start();
un avis sur la question ?
En vous remerciant.
RahXen Legacy Il y a 6 années
Merci beaucoup, c’est sur que ça va bien m’aider
dimitri Il y a 6 années
Avec les nouvelles versions, il y a une nouvelle url :
https://api.wordpress.org/secret-key/1.1/salt/
1. Aurélien Denis auteur de l’article Il y a 6 années
  C’est corrigé, merci !
Anais Il y a 5 années
Avec la version 3.5.1 de WordPress, ces clés aléatoires semblent implémentées par défaut. Pas besoin de les changer donc ?
1. Aurélien Denis auteur de l’article Il y a 5 années
  Oui c’est même le cas depuis longtemps maintenant mais cela n’empêche de vérifier cela notamment si l’installation était ancienne.
sam ventura Il y a 5 années
je comprend pas comment fait ton pour ouvrir le fichier avec filezilla ?
oneiros Il y a 5 années
j’ai changé les 4 clés de mon fichier wp-config et j’ai sauvegardé en écrasant l’ancien,
du coup je n’arrive plus à me connecter à mon interface wordpress
J’ai suivi exactement le tuto sur la video!!
1. Aurélien Denis auteur de l’article Il y a 5 années
  Videz les cookies de votre navigateur et essayez de nouveau.
  1. lo Il y a 5 années
    Bonjour,
    j’ai le même problème que oneiros.
    Après changement des clés de sécurité je n’arrive plus à me connecter. Même après avoir vidé les cookies du navigateur.
    (wp 3.8.1)
    Merci d’avance pour votre aide.
LokiiyLuxe Il y a 3 années
Dans la version Worpress 4.2.1 Ont retrouve cela :
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);
Est t’il toujours nécessaire de le modifier pour plus de sécurité ??
Est ce toujours d’actualité ?
1. Aurélien Denis auteur de l’article Il y a 3 années
  Les clés de salage sont normalement remplis lors de l’installation ce qui n’était pas le cas à l’époque du tutoriel.
  1. LokiiyLuxe Il y a 3 années
    Donc plus besoin d’ajouter les clefs aléatoire à la place de : ‘put your unique phrase here’ c’est ca ??
    1. Aurélien Denis auteur de l’article Il y a 3 années
      Bien sûr que si mais WordPress le fait dorénavant à l’installation. Il faut donc s’assurer que c’est bien le cas.
      1. LokiiyLuxe Il y a 3 années
        Ben comme indiqué dans mon post 15 un peu plus haut … WordPress n’a généré aucune clé apparemment puisque j’ai à la place :
        define(‘AUTH_KEY’, ‘put your unique phrase here’);
        define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
        define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
        define(‘NONCE_KEY’, ‘put your unique phrase here’);
        define(‘AUTH_SALT’, ‘put your unique phrase here’);
        define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
        define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
        define(‘NONCE_SALT’, ‘put your unique phrase here’);
        Donc je suppose que à la place de : ‘put your unique phrase here’
        Je devrais avoir : ‘}HQ.E#|3PY~j’);
        C’est bien ça ?
        Et pourquoi dans les mise à jour des dernière version de worpress cela ne se fait pas automatiquement ?
Aurélien Denis auteur de l’article Il y a 3 années
Il convient de cliquer sur le lien dans l’article pour les générer en ligne comme indiqué.

Les commentaires sont fermés.