Scan des clés de sécurité
Scan
Ce scan vérifie que les clés de sécurité sont correctement définies. Ces clés sont de longues chaines de caractères aléatoires qui ne doivent pas :
- Avoir la valeur par défaut.
- Être stockées en base de données.
- Être gardées directement dans un fichier.
Fix
SecuPress va supprimer les valeurs actuelles du fichier wp-config.php
et/ou de la base de données, puis créer une extension « Must Use » (une extension qui ne peut pas être désactivée) qui génèrera dynamiquement ces valeurs (précédemment connue sous le nom de « Alicia »).
Que faire si le fix ne fonctionne pas ?
Si SecuPress indique que le fichier wp-config.php
ou le dossier /wp-content/mu-plugin/
n’est pas inscriptible :
- Accédez à votre site via FTP et vérifiez les droits (via chmod) du fichier
wp-config.php
, il doivent être à0644
ou plus. Si ce n’est pas le cas, vous pouvez le modifier puis retenter le fix. Si vous ne savez pas à que signifie chmod alors ne touchez à rien et contactez notre support. - Accédez à votre site via FTP et vérifiez les droits (via chmod) du dossier
/wp-content/mu-plugin/
, il doivent être à0755
ou plus. Si ce n’est pas le cas, vous pouvez le modifier puis retenter le fix. Si vous ne savez pas à que signifie chmod alors ne touchez à rien et contactez notre support.
Si SecuPress indique qu’il reste des clés qui ne peuvent pas être modifiées, cela veut dire que :
- L’extension « Must Use » qui génère les nouvelles clés a été créée.
- Ces clés peuvent être présentes dans le fichier
wp-config.php
(dans la grande majorité des cas), ou en base de données (rare), ou potentiellement dans n’importe quel autre fichier (très rare). Dans ce dernier cas, il n’est pas possible à SecuPress de savoir où ces clés sont définies, il n’est donc pas possible de les supprimer.
Il y a de fortes chances pour qu’elles soient dans une autre extension « Must Use ». Si vous savez ce que vous faites, vous pouvez chercher le terme « AUTH_KEY » et supprimer l’extension ou commenter les lignes de code, mais nous ne saurions que trop vous conseiller de contacter notre support, qui sera peut-être plus apte à décider quoi faire.
SecuPress n'indique rien d'autre qu'une erreur lors du fix, cela veut dire qu'il ne parvient pas à le faire automatiquement, voici la manipulation à faire :
- Accédez à votre site via FTP,
- Éditez le fichier
wp-config.php
, puisr supprimer les lignes où se trouvent les clés de sécurité (les longues chaines de caractères aléatoires). - Naviguez dans le FTP jusque dans /wp-content/mu-plugin/ (créez ce dernier dossier s'il n'existe pas) puis créez un fichier .php du nom de votre choix (sauf index.php) pour y ajouter le code donné en lien ci-dessous.
- Relancez le scanner.
Nouvelles clés générées aléatoirement : https://secupress.me/secupress-salt-keys/