Nonce

Un nonce (contraction de « number used once ») est un jeton de sécurité unique et temporaire utilisé par WordPress pour protéger les actions sensibles contre les attaques de type CSRF (Cross-Site Request Forgery). Concrètement, il empêche qu’un utilisateur malveillant déclenche une action à la place d’un autre utilisateur authentifié.

WordPress génère automatiquement des nonces pour sécuriser les formulaires, les liens d’action dans le tableau de bord et les requêtes AJAX. Chaque nonce est lié à une action précise, à un utilisateur donné et possède une durée de vie limitée (24 heures par défaut). Si le nonce transmis ne correspond pas à celui attendu par le serveur, WordPress bloque la requête.

Les développeurs de thèmes et de plugins manipulent régulièrement les nonces via des fonctions dédiées comme wp_create_nonce(), wp_nonce_field() ou encore wp_verify_nonce(). Ces fonctions permettent de créer, insérer dans un formulaire et vérifier un nonce de manière simple et fiable. Si vous personnalisez votre site ou développez des extensions, implémenter correctement les nonces reste une bonne pratique essentielle pour garantir la sécurité de votre installation WordPress.

💡 Bon à savoir : Contrairement à ce que son nom suggère, le nonce WordPress n’est pas strictement à usage unique — il reste valide pendant toute sa durée de vie, ce qui signifie qu’une même valeur peut être réutilisée dans cet intervalle.