N’oubliez pas les clés uniques d’authentification WordPress

Trop souvent ignorées et négligées, ces clés sont un atout pour la sécurité d'un site WordPress. Et pourtant elles se paramètrent en 2 minutes !
Non elles ne servent pas à crypter les mots de passe mais à chiffrer le cookie associé à l’authentification d’un compte utilisateur WordPress. Ces clés ne sont pas une option pour la sécurité de votre site WordPress, ni pour les données de vos utilisateurs.

Où trouver les clés uniques d'authentification dans mon WordPress ?

👉 Les clés se trouvent dans le fichier wp-config.php à la racine de votre site WordPress.

Il suffit d'ouvrir ce fichier avec votre éditeur de code préféré (Sublime Text, NotePad, Visual Studio Code...) puis de repérer les lignes suivantes :

define( 'AUTH_KEY',         'mettez une phrase unique ici' );
define( 'SECURE_AUTH_KEY',  'mettez une phrase unique ici' );
define( 'LOGGED_IN_KEY',    'mettez une phrase unique ici' );
define( 'NONCE_KEY',        'mettez une phrase unique ici' );
define( 'AUTH_SALT',        'mettez une phrase unique ici' );
define( 'SECURE_AUTH_SALT', 'mettez une phrase unique ici' );
define( 'LOGGED_IN_SALT',   'mettez une phrase unique ici' );
define( 'NONCE_SALT',       'mettez une phrase unique ici' );

Comment générer les clés unique d'authentification du wp-config.php ?

👉 C'est simple, pour générer ces clés visitez cette adresse : https://api.wordpress.org/secret-key/1.1/salt/

Voici un exemple de clés générées :

define('AUTH_KEY',         '5vHdh{`a5F12CHER%-Q:O3.[#FBIkc=0|Z5ea[eJZB6MZj e,~7@I&Qd(o()%C$W');
define('SECURE_AUTH_KEY',  'AULR55{Vi{j.4IhJOm>eeoNmZ5>&8MDZK_@E+*oY^+szXf)Xlah`$.,wR3A=nKH1');
define('LOGGED_IN_KEY',    'TE9HJ#2-|a/QPw1~m%1=+D|7%fQ|P^FO<C[jvb8-334;j0ccyNFT[bc]5dtB=;G6');
define('NONCE_KEY',        '%y/QXgruawSnA~G-8@}7Is6(y3}H0G1otFDRv|NA@b-bl-soup(G:2dA.K|:A+j-');
define('AUTH_SALT',        '08JVJK!RS0WtNqn_Po5;-Dox68VcEKbAiCcOWcZU38#LC&]8FQ]r/M~#Szi42KVH');
define('SECURE_AUTH_SALT', 'UaF|tRTRfZvkhDfw.GZ05(EyB:VvE8|#goKmk|7,OuYNR*;@ZyA}<0,b(t(kWbuh');
define('LOGGED_IN_SALT',   'j>8_H|`nQ-|5Hn4G928;u=#vde5:i&$;QG00S$g[<|pw<hA:qhD kbb)n_pIKim;');
define('NONCE_SALT',       'xNU(c  of-y/,&^bgwua$V6SFFY@M!  a1L*|h-78C}J OS|ZVAIK?wy#dy%-pjE');

Voilà !

👉 Des clés de sécurité aléatoires s'offrent à vous, il n’y a plus qu'à les copier/coller dans le fichier wp-config.php en remplacement de celles par défauts.

On enregistre bien le fichier et le tour est joué ! 😎

Tips bonus :
Supprimer le fichier wp-config-sample.php une fois votre wp-config.php correctement paramétré. Il ne vous servira plus à rien et cela fait une potentielle faille en moins.