Alicia : Just Superwoman Keys for your Security

Alicia : Just Superwoman Keys for your Security

Alicia

Alicia est un fichier de plugin WordPress qui se pose dans le dossier /wp-content/mu-plugins/, c’est donc un Must Use Plugin. Plugin de sécurité qui vous demandera un peu plus de manipulation que d’habitude, je vous l’avoue, mais on n’a rien sans rien !

Ceux qui ont lu mon ebook sur les constantes WordPress connaissent déjà depuis mars ce plugin, je vous le donne maintenant ici.

Alicia In The Land

Pour l’utiliser :

  • Vous devez d’abord la renommer, elle n’accepte ni le nom alicia.php ni index.php. Elle aime être discrète et originale.
  • Ensuite visitez le site GetAlicia.com dans lequel il vous suffit de copier/coller le mu-plugin.
  • Pour finir, n’oubliez pas de commenter ou supprimer vos clés de sécurité actuelles déjà présentes dans le fichier wp-config.php !

A quoi sert Alicia :

  1. Elle sert à cacher ses clés de sécurité au mieux car personne ne sait que vous connaissez Alicia, et s’ils le devinent, le nom de fichier ayant été laissé libre à votre imagination, je doute qu’il soit devinable,
  2. Cela change le hash par défaut de la constante COOKIEHASH,
  3. Sur une installation MultiSite, chaque site aura des clés différentes,
  4. Les clés changent automatiquement tous les mois (Vous pouvez changer date('Ym') en date('Ymk') pour les changer toutes les semaines),
  5. Aucun accès à la base de données,
  6. Aucune perte de performances,
  7. Vous pouvez à tout moment supprimer ce fichier et remettre des clés dans wp-config.php,
  8. 7 raisons sont suffisantes, non ?

Alicia, Go Yonder

Pourquoi utiliser Alicia ? Les jetons de sécurité sont là pour empêcher que des pirates n’utilisent vos droits administrateur pour modifier/poster, bref intervenir sur le site à votre place. J’ai déjà réalisé un plugin permettant d’éviter la faille CSRF pour les plugins mal codés et j’ai aussi fait un plugin permettant de renforcer les nonces (jetons de sécurité) tout en évitant un hack HTTPS nommé BREACH Attack.

Ici Alicia va modifier les clés secrètes de WordPress et ainsi forcer la reconnexion des utilisateurs tous les mois et renouveller les tokens avec de nouvelles clés aléatoires. Ces clés ne sont donc plus lisibles en clair dans un fichier et ne sont pas non plus contenu dans le base de données. Le fichier devant être renommé, on ne peut même pas y accéder !

Bref, si vous savez modifier le fichier wp-config.php et ajouter un fichier php dans /mu-plugins/, utilisez Alicia pour renforcer votre sécurité !

Vous aimez ? Partagez !


Réagir à cet article

220 caractères maximum