Si je modifie tous les hachages cookie & salt dans wp-config, tous les mots de passe actuellement stockés doivent-ils être réinitialisés?
define('AUTH_KEY', '9YF,b]b:G5,!@Z||G.r*lI`?yl+u_-=2SO@# :Y8f1ZW=qP)U^w+(V=i:NTZ|v/N');
define('SECURE_AUTH_KEY', '@AoU9+`<IztB@~49`PB#+YBqiz%{xRZ<_Yp+-3$h2T|{v-cJKi^of+uK..+[41nS');
define('LOGGED_IN_KEY', '+Xnu<OsPjg]#](HJ)j|`hCaMU5M7bv<Nk]t|r#P|Ln(G}+8+_.yqz,+U!Z+~@b4F');
define('NONCE_KEY', '8MTF|G,yw>nNK/Ne*I4__kr~Ab.o4@WRAh03^Yy*nep|->FJ-%;&dSF80>hqb1GK');
define('AUTH_SALT', 'y2qJ|e|ug%yz]z1uQPYnyxgY|izrnVq8{N]~d)K5*,psJzazLE{ed~xo2&`nncKO');
define('SECURE_AUTH_SALT', 'rswSqKj#l(F&3Sh&nA.:eob32Gg11hcNH68_+WAi4/n|V_+X~4{zxShr_srf]N2d');
define('LOGGED_IN_SALT', '%(0jiu`GI&{r9`&ZwO?AG7xve]4g?uYD2?-,4h#A{t7N*hWL6N,#hr{&UB;|^{#L');
define('NONCE_SALT', 'Z|EL[9mU=-5WIWpa}-=T@Aj9xR3q}9|[*<gMk1fx*U[8>1zy*yiG}R7E9;.<?j}+');
Clause de non-responsabilité: not real keys - https://api.wordpress.org/secret-key/1.1/salt/
Je sais que le sel est stocké à la fois dans la base de données ET dans wp-config et sont souvent utilisés ensemble pour créer le hachage. Toutefois, le hachage "à sens unique" des mots de passe (plutôt que le cryptage) est destiné à ajouter un niveau d'entropie non inversable. ..
Donc, si le sel est modifié, toutes les tentatives ultérieures pour faire correspondre le hash du mot de passe échoueront-elles?
Je suis juste dérouté car certains endroits vous demandent de changer ces clés régulièrement (d'une fois par mois à tous les 6 mois)
Non, les mots de passe ne seront pas cassés (ceux-ci sont dans la base de données et ne sont pas modifiés en changeant le sel). Cependant, tous les utilisateurs connectés devront se reconnecter.
Remarque: la mise à jour de vos clés et sels obligera tous les utilisateurs connectés à se reconnecter, car leur modification invalide automatiquement la connexion de tout utilisateur connecté au site. Par exemple, si vous soupçonnez un piratage, la mise à jour de vos clés de sécurité et de vos sels forcera la déconnexion et la réauthentification de tous les utilisateurs connectés.
Et une très bonne explication, bien plus technique ici .
Le sel donne à vos identifiants une couche de sécurité supplémentaire, car ils sont ajoutés au cookie que l'utilisateur reçoit lorsqu'il se connecte. Sans l'identifiant, le nom d'utilisateur et le mot de passe sont beaucoup plus faciles à déchiffrer/deviner/pirater.
N'hésitez pas à changer les sels souvent, certains disent tous les 30 jours pour plus de sécurité, bien que personnellement je ne les change pas aussi souvent.