web-dev-qa-db-fra.com

WordPress sels définis dans la configuration et la base de données

J'ai rencontré le code suivant sur un nouveau site Web existant d'un client dans wp-config.php

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

J'ai cherché en ligne et trouvé un article qui suggère que si les clés et les sels sont dupliqués dans la configuration, WordPress générera de nouveaux sels et les conservera dans la base de données. Cela semble être vrai, car il y a des enregistrements dans la table wp_options avec les noms et les valeurs de sel.

Question principale: "WordPress conserver les sels dans la base de données" constitue-t-il un risque pour la sécurité?

Attention à expliquer: Y at-il une raison pour laquelle ils sont principalement dans le fichier de configuration et dois-je remplacer les valeurs du fichier de configuration par celles de la base de données et supprimer les valeurs de la base de données?

securityconfiguration
3
Studio NEC

Depuis le WordPress Codex :

La clé secrète est située à deux endroits: la base de données si la clé secrète n'est pas définie à la deuxième place, qui se trouve dans le fichier wp-config.php. Si vous souhaitez définir la clé secrète, vous devez le faire dans le fichier wp-config.php.

La clé secrète dans la base de données est générée de manière aléatoire et sera ajoutée à la clé secrète qui se trouve dans le fichier wp-config.php dans certains cas. Il est important que la clé secrète soit définie ou modifiée dans le fichier wp-config.php.

Si vous avez installé WordPress 2.5 ou une version ultérieure, le SECRET_KEY sera déjà défini dans le fichier wp-config.php. Vous voudrez changer la valeur car les pirates sauront ce que c'est. Si vous avez mis à niveau vers WordPress 2.5 ou une version ultérieure une version antérieure à WordPress 2.5, vous devez ajouter la constante à votre fichier wp-config.php.

Le salage des mots de passe est utile contre les outils qui ont stocké les valeurs hachées des chaînes de dictionnaire courantes. Les valeurs ajoutées rendent le craquage plus difficile si la chaîne de sel n'est pas faible.

Vous devez définir les sels dans le fichier wp-config.php, car le fait de les conserver uniquement dans la base de données constitue un risque pour la sécurité. Il est plus probable qu'une personne néfaste puisse saisir tout le sel s'il est stocké uniquement dans la base de données, alors que si vous stockez le sel dans le wp-config.php et le complétez avec le sel dans la base de données, il sera beaucoup plus difficile à saisir le sel entier. Vous pouvez générer ces sels de manière aléatoire avec le générateur online . Une fois qu’ils apparaissent dans le fichier wp-config.php, les sels de base de données ne seront plus valides par eux-mêmes et ne présenteront plus de risque pour la sécurité.

4
michaelrmcneill