Lexique

Définition WordPress : Nonce

Par Nicolas Mercatili , on 14 juillet 2021 , mis à jour le 2 septembre 2021 - 3 minutes de lecture

Le nonce est un élément primordial pour l’optimisation de la sécurité d’un site WordPress. Grâce aux nonces, les URLs sont protégés des éventuelles tentatives de piratage.

Nonce : Qu’est-ce que c’est ?

Le nonce est un acronyme qui désigne « number used once ». Ainsi, il s’agit d’un numéro ou d’une clé utilisée une seule fois. Les nonces assurent la protection des formulaires et des URLs contre toute tentative abusive de piratage. Ainsi, avant de réaliser un traitement donné, le nonce va s’assurer que le clic sur un lien ou l’envoi d’un formulaire qui a engendré l’action ne provient pas d’un lien malicieux ou d’un script. En effet, il va s’assurer que ceci provient de votre site web de manière légitime.

Je tiens à souligner que le nonce est une sorte de clé à usage unique. Son utilisation :

  • Concerne une opération précise.
  • Ne peut être faite que par un individu donné.
  • Ne peut se faire qu’une seule fois.

Ainsi, dans le cas où un utilisateur malicieux vole le nonce, il ne pourra pas s’en servir. J’aimerais également préciser que les nonces sont destinés aux opérations faites par un usager authentifié. Vous n’aurez pas à en utiliser pour un lien ou un formulaire ouvert au grand public.

La composition d’un nonce

La clé nonce est composée de :

  • L’heure de l’action.
  • Caractères qui identifient l’action.
  • L’identifiant de l’utilisateur authentifié.
  • Jeton assurant l’identification de la session.

Le nonce sur WordPress

Sur WordPress, une vérification a lieu lorsqu’il y a exécution d’une URL dotée d’une clé nonce. S’il y a échec de la vérification, WordPress vous renvoie un message d’erreur ainsi que la réponse « 403 Forbidden ». Le fameux message  » Êtes-vous certain de vouloir le faire ? » va apparaître sur votre écran.

En général, cette erreur est causée par un mauvais codage d’un thème ou d’un plugin, c’est pourquoi ce dernier n’assure pas la vérification du nonce. Afin de résoudre ce problème, je vous conseille de désactiver tous les plugins. Puis, activez-les un à un pour que vous puissiez lequel engendre l’erreur.

J’aimerais souligner que grâce au nonce, les fonctionnalités et les fonctions WordPress utilisant des requêtes dans l’URL pour réaliser certaines actions auront accès à un système de sécurité. Pour la génération de nonces uniques, WordPress utilise notamment NONCE_KEY et NONCE_SALT. Avec d’autres clés uniques, ces clés nonce de WordPress sont stockées dans le fichier wp-config.php. Et sachez que chaque site web sur WordPress a sa propre clé nonce.

Nicolas Mercatili

Dans le web et SEO depuis le début des années 2000, je me suis rapidement orienté vers le référencement naturel pour offrir un maximum de visibilité Google aux sites que je mettais en place. Je vous en dis plus ici : nicolas.mercatili.fr