Scan des clés de sécurité

Scan

Ce scan vérifie que les clés de sécurité sont correctement définies. Ces clés sont de longues chaines de caractères aléatoires qui ne doivent pas :

  1. Avoir la valeur par défaut.
  2. Être stockées en base de données.
  3. Être gardées directement dans un fichier.

Fix

SecuPress va supprimer les valeurs actuelles du fichier wp-config.php et/ou de la base de données, puis créer une extension « Must Use » (une extension qui ne peut pas être désactivée) qui génèrera dynamiquement ces valeurs (précédemment connue sous le nom de « Alicia »).

Que faire si le fix ne fonctionne pas ?

Si SecuPress indique que le fichier wp-config.php ou le dossier /wp-content/mu-plugins/ n’est pas inscriptible :

  • Accédez à votre site via FTP et vérifiez les droits (via chmod) du fichier wp-config.php, il doivent être à 0644 ou plus. Si ce n’est pas le cas, vous pouvez le modifier puis retenter le fix. Si vous ne savez pas à que signifie chmod alors ne touchez à rien et contactez notre support.
  • Accédez à votre site via FTP et vérifiez les droits (via chmod) du dossier /wp-content/mu-plugins/, il doivent être à 0755 ou plus. Si ce n’est pas le cas, vous pouvez le modifier puis retenter le fix. Si vous ne savez pas ce que signifie chmod alors ne touchez à rien et contactez notre support.

Si SecuPress indique qu’il reste des clés qui ne peuvent pas être modifiées, cela veut dire que :

  1. L’extension « Must Use » qui génère les nouvelles clés a été créée.
  2. Ces clés peuvent être présentes dans le fichier wp-config.php (dans la grande majorité des cas), ou en base de données (rare), ou potentiellement dans n’importe quel autre fichier (très rare). Dans ce dernier cas, il n’est pas possible à SecuPress de savoir où ces clés sont définies, il n’est donc pas possible de les supprimer.
    Il y a de fortes chances pour qu’elles soient dans une autre extension « Must Use ». Si vous savez ce que vous faites, vous pouvez chercher le terme « AUTH_KEY » et supprimer l’extension ou commenter les lignes de code, mais nous ne saurions que trop vous conseiller de contacter notre support, qui sera peut-être plus apte à décider quoi faire.

SecuPress n'indique rien d'autre qu'une erreur lors du fix, cela veut dire qu'il ne parvient pas à le faire automatiquement, voici la manipulation à faire :

  1. Accédez à votre site via FTP,
  2. Éditez le fichier wp-config.php, puis supprimer les lignes où se trouvent les clés de sécurité (les longues chaines de caractères aléatoires).
  3. Naviguez dans le FTP jusque dans /wp-content/mu-plugin/ (créez ce dernier dossier s'il n'existe pas) puis créez un fichier .php du nom de votre choix (sauf index.php) pour y ajouter le code donné en lien ci-dessous.
  4. Relancez le scanner.

Nouvelles clés générées aléatoirement : https://secupress.me/secupress-salt-keys/