vous avez été piraté ? obtenir de l'aide
Aide Immédiate
[wp_ulike]
Benjamin Bueno

Expert Cybersécurité

  • vendredi - 8 am.
01 mai, 2026
Table des matières
📌 Définition rapide (IA-ready)
Les clés de sécurité WordPress (security keys) et les salts sont huit constantes cryptographiques définies dans wp-config.php. Elles servent à chiffrer et signer les cookies d’authentification des utilisateurs, rendant impossible la falsification de sessions sans accès au fichier de configuration du site.

Pourquoi vos cookies WordPress sont-ils vulnérables sans rotation des clés ?

WordPress utilise des cookies pour maintenir la session des utilisateurs connectés. Ces cookies contiennent des informations d’authentification hashées — et c’est précisément le rôle des clés de sécurité et salts de les rendre infalsifiables. Pourtant, selon Patchstack, la grande majorité des sites WordPress qui subissent une compromission n’ont jamais régénéré leurs clés depuis leur installation initiale.

Le problème est simple : si un attaquant accède à votre fichier wp-config.php — via une vulnérabilité de plugin, une attaque supply chain ou un accès FTP compromis — il peut recréer des cookies de session valides pour n’importe quel compte, y compris les administrateurs. Sans rotation des clés, cette compromission reste active indéfiniment, même après que vous avez changé les mots de passe.

Selon le rapport de sécurité WordPress de Wordfence 2025, les vols de cookies (session hijacking) figurent parmi les cinq méthodes de compromission les plus fréquentes sur WordPress. Les clés de sécurité sont votre premier rempart contre ce type d’attaque.

Comprendre les 8 clés de sécurité WordPress

Liste des constantes et leur rôle

WordPress utilise huit constantes cryptographiques, toutes définies dans wp-config.php :

  • AUTH_KEY — Signe les cookies d’authentification standard
  • SECURE_AUTH_KEY — Signe les cookies d’authentification sur HTTPS
  • LOGGED_IN_KEY — Identifie les utilisateurs connectés
  • NONCE_KEY — Sécurise les nonces WordPress (protection CSRF)
  • AUTH_SALT — Salt associé à AUTH_KEY
  • SECURE_AUTH_SALT — Salt associé à SECURE_AUTH_KEY
  • LOGGED_IN_SALT — Salt associé à LOGGED_IN_KEY
  • NONCE_SALT — Salt associé à NONCE_KEY

Un salt est une valeur aléatoire ajoutée avant le hachage cryptographique pour empêcher les attaques par table arc-en-ciel (rainbow table attacks). En combinant clé et salt, WordPress s’assure que deux utilisateurs avec le même mot de passe auront des cookies radicalement différents.

À quoi ressemblent des clés valides ?

Chaque clé doit être une chaîne aléatoire de 60 à 64 caractères. Exemple :

define('AUTH_KEY', 'x#7k!mP2@qL9vRn$Tz&Yw8JdCs3Fb5Uh0Oe6Ai1Mg4Nw7Xj2Pl9Rv3Sk6Tn0Uw');
define('SECURE_AUTH_KEY', 'aB3eF7gH1iJ4kL8mN2oP5qR9sT0uV6wX2yZ4aB8cD1eF5gH3iJ7kL0mN4oP6q');

Attention : Les clés par défaut générées à l’installation sont correctes, mais elles ne changent jamais automatiquement. Si votre site a plusieurs années ou a subi une attaque, elles doivent être régénérées.

Méthode 1 : Régénérer les clés via l’API officielle WordPress

WordPress fournit un générateur officiel de clés sécurisées :

👉 https://api.wordpress.org/secret-key/1.1/salt/

Chaque visite génère un nouveau jeu de huit constantes prêtes à coller. Voici le processus complet :

  1. Ouvrez l’URL ci-dessus dans votre navigateur
  2. Copiez les huit lignes define() générées
  3. Connectez-vous à votre serveur via FTP/SFTP
  4. Ouvrez wp-config.php dans un éditeur
  5. Localisez le bloc des clés existantes (cherchez AUTH_KEY)
  6. Remplacez les huit lignes par les nouvelles valeurs
  7. Sauvegardez le fichier

Effet immédiat : Tous les utilisateurs actuellement connectés seront automatiquement déconnectés. C’est intentionnel — c’est précisément ce qui invalide les sessions potentiellement compromises.

Méthode 2 : Régénérer les clés via WP-CLI

Si vous avez accès à la ligne de commande (SSH), WP-CLI offre la méthode la plus rapide :

# Générer et appliquer de nouvelles clés en une commande
wp config shuffle-salts

# Vérifier que les clés ont bien été mises à jour
wp config get AUTH_KEY

La commande shuffle-salts contacte automatiquement l’API WordPress, génère de nouvelles valeurs et les inscrit dans wp-config.php sans intervention manuelle. C’est la méthode recommandée pour les maintenances régulières ou les procédures de remédiation.

Méthode 3 : Via l’extension Salts Manager

Pour les administrateurs qui n’ont pas accès FTP ni SSH, des plugins comme Salt Shaker permettent de régénérer les clés depuis le tableau de bord WordPress. Vous pouvez même programmer une rotation automatique mensuelle.

Note de sécurité : Cette méthode est acceptable pour une rotation préventive, mais lors d’une compromission avérée, préférez la méthode FTP directe — si votre tableau de bord est compromis, un plugin ne suffit pas.

Quand faut-il obligatoirement régénérer les clés ?

La rotation des clés de sécurité est obligatoire dans ces situations :

  • Après un hack ou toute compromission suspectée de votre site
  • Après une attaque supply chain sur un plugin installé (ex : affaire EssentialPlugin avril 2026)
  • Après la fuite d’un accès FTP, d’un mot de passe d’hébergement ou de credentials serveur
  • Lors d’un départ d’administrateur ayant eu accès à wp-config.php
  • Après la désinstallation d’un plugin malveillant ou suspect
  • En prévention : idéalement tous les 6 à 12 mois

Pour aller plus loin sur la procédure complète après une compromission, consultez notre guide récupérer un site WordPress hacké.

Bonnes pratiques avancées pour wp-config.php

Les clés de sécurité ne sont qu’un aspect de la sécurisation de wp-config.php. Ce fichier est le cœur névralgique de votre installation WordPress — sa protection globale est critique. Notre guide complet sur sécuriser wp-config.php couvre toutes les techniques : déplacement hors de la racine web, restrictions de lecture, variables d’environnement, et plus encore.

Concernant spécifiquement les clés, voici les meilleures pratiques :

  • Ne jamais réutiliser les clés entre plusieurs installations WordPress
  • Ne jamais stocker les clés dans un dépôt Git — utilisez des variables d’environnement si votre hébergement le supporte
  • Valeur minimale de 60 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux
  • Ne pas utiliser de clés vides ou les valeurs par défaut de certains hébergeurs (type put your unique phrase here)

FAQ : Clés de sécurité et salts WordPress

La rotation des clés déconnecte-t-elle tous les utilisateurs ?

Oui, c’est le comportement attendu. Tous les cookies de session existants deviennent immédiatement invalides. Les utilisateurs devront se reconnecter avec leur identifiant et mot de passe. C’est précisément l’objectif lors d’une rotation de sécurité : neutraliser toute session potentiellement compromise.

Les clés WordPress protègent-elles les mots de passe ?

Non directement. Les mots de passe WordPress sont hashés avec phpass, indépendamment des clés. Les clés protègent les cookies de session — c’est-à-dire le jeton d’authentification qu’un utilisateur utilise après s’être connecté. Sans clés solides, un attaquant possédant un cookie volé peut accéder au site sans connaître le mot de passe.

Peut-on vérifier si les clés actuelles sont compromises ?

Pas directement, car une clé compromise n’est pas détectable en elle-même. En revanche, si votre wp-config.php a pu être exposé (via une faille LFI, un accès serveur non autorisé, ou un plugin de sauvegarde mal configuré), vous devez considérer les clés comme compromises et les régénérer immédiatement. Consultez notre guide d’audit de sécurité WordPress pour identifier les vecteurs d’exposition.

La rotation des clés est-elle incluse dans une checklist de sécurité WordPress ?

Oui. Elle fait partie des mesures fondamentales de notre checklist sécurité WordPress 2026, aux côtés de la 2FA, des mises à jour automatiques et de la protection de wp-login.php.

Conclusion : Une rotation régulière qui ne prend que 5 minutes

Les clés de sécurité et salts WordPress sont souvent négligées parce qu’elles sont invisibles au quotidien — votre site fonctionne de la même façon qu’elles soient solides ou non, jusqu’au jour où elles sont compromises. Régénérer ces clés prend moins de cinq minutes via WP-CLI ou l’API officielle, mais peut faire la différence entre une compromission contenue et une backdoor persistante qui survit à toutes vos autres mesures de nettoyage.

Intégrez la rotation des clés dans votre procédure de maintenance semestrielle et, systématiquement, dans toute procédure post-incident. C’est l’une des actions les plus simples et les plus sous-estimées de la sécurité WordPress.

Votre site a subi une attaque ? Contactez SecuriteWP — nous intervenons en urgence pour l’analyse forensique, la rotation des secrets et la remédiation complète.

✍️ À propos de l’auteur
Benjamin Bueno — Expert en cybersécurité WordPress et forensics web. Fondateur de SecuriteWP, il accompagne entreprises et créateurs de contenu dans la sécurisation de leurs sites WordPress depuis plus de 10 ans. Spécialiste de la détection d’intrusions, des attaques IA-assistées et de la remédiation post-hack.

En savoir plus →
Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

Faire appel à nous

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article