Saviez-vous qu’un compte administrateur WordPress avec le login « admin » est une porte ouverte aux pirates informatiques ? En conservant cet identifiant par défaut, les hackers qui ont recours aux attaques par force brute n’ont plus qu’à trouver votre mot de passe.
Outre le fait qu’il est essentiel d’avoir une TMA WordPress, il est indispensable de changer d’identifiant, supprimer ce compte n’est pas la meilleure solution en termes de sécurité. Aujourd’hui, WP Trigone vous explique pourquoi il ne vaut mieux pas supprimer le compte administrateur natif de WordPress, et ce qu’il faut faire pour le sécuriser.
Modifier un identifiant « admin », une étape indispensable pour sécuriser son site WordPress
Il est indispensable de définir un identifiant WordPress difficile à deviner pour protéger votre site des attaques par force brute. Ces attaques consistent à générer artificiellement des milliers de combinaisons de mots de passe et d’identifiants pour forcer l’accès à l’interface d’administration de votre site. En sécurisant votre login, vous réduisez considérablement les risques de piratage et protégez votre travail, ainsi que la réputation de votre entreprise.
Avant de modifier votre compte admin, choisissez un identifiant fort : l’idéal est de générer une suite aléatoire de lettres et de chiffres.
Modifier son identifiant d’admin WordPress avec une extension…
Vous pouvez modifier facilement votre identifiant de connexion avec l’extension Username Changer. Il suffit d’ouvrir votre tableau d’administration WordPress, puis de cliquer sur « Extensions » > « Ajouter », de taper « Username Changer », cliquer sur « Installer » > « Activer ».
Ouvrez ensuite la section « Compte », cliquez sur votre identifiant puis sur « Change Username ». Définissez un nouvel identifiant sécurisé et sauvegardez. Reconnectez-vous alors avec votre nouvel identifiant.
Il faudra ensuite passer à l’étape suivante, pour rendre l’identifiant « admin » inutilisable.
Toutefois, nous ne préconisons pas cette technique car le compte Admin natif de WordPress a comme ID “1” et est potentiellement une faille de sécurité.
… ou créer un nouveau compte administrateur
Vous pouvez également procéder autrement, sans installer d’extension. Pour cela, il faudra créer un nouveau compte administrateur WordPress avec un identifiant sécurisé, puis réattribuer tous les contenus à ce nouvel utilisateur, avant de passer à l’étape suivante.
- Connectez-vous à l’administration WordPress. Cliquez sur « Comptes » > « Ajouter ».
- Choisissez un identifiant robuste, définissez une adresse email valide et un mot de passe fort et unique (en respectant les préconisations de l’indicateur de sécurité).
- Dans la section « Rôle », choisissez « Administrateur ».
- Validez en cliquant sur « Ajouter un compte ».
- Cliquez sur « Articles » et sélectionnez tous les articles. Dans la section « Actions groupées », sélectionnez « Modifier ». Dans la section « Auteur », sélectionnez votre nouveau compte d’administrateur. Procédez de la même façon pour les pages et médias.
Veiller à rendre l’identifiant « admin » inutilisable sur WordPress
Que vous ayez modifié votre ancien compte « admin » ou que vous l’ayez supprimé et remplacé par un autre compte, il est indispensable de rendre l’identifiant « admin » inutilisable.
Si cet identifiant est inutilisé, le risque est qu’un utilisateur ou un robot crée un compte d’abonné avec l’identifiant « admin ». Cela faciliterait le piratage de ce compte, qui pourrait tout de même permettre d’accéder à certaines données de votre site, et pourrait également créer de la confusion parmi les utilisateurs du site. Peut-être que les inscriptions ne sont pas ouvertes sur votre site, mais cela pourrait évoluer (espace membres, client, etc.), alors autant anticiper !
Deux possibilités s’offrent à vous pour bloquer cet identifiant.
- Si vous avez préalablement modifié votre compte « admin » avec un nouveau login, créez un nouveau compte Abonné en utilisant l’identifiant « admin ».
- Si vous avez créé un nouveau compte avec un login fort, conservez l’ancien compte « admin » et attribuez-lui un compte Abonné, ou supprimez simplement son rôle en conservant le compte.
Définissez une fausse adresse email et un mot de passe particulièrement robuste (par exemple, cent caractères aléatoires ou plus). Reconnectez-vous avec votre compte d’administrateur (avec votre nouveau login sécurisé). Cliquez sur « Comptes », sélectionnez « Admin ». Dans la section « Rôle », choisissez « Aucun rôle sur ce site ». Enregistrez les modifications. L’idée est que personne ne puisse utiliser ce compte.
Dans une dynamique de sécurité, pensez également à installer un reCaptcha WordPress dans la boite de login, cela bloquera aussi les robots !
Vous souhaitez confier cette mission à un professionnel ou aller plus loin dans la sécurisation de votre site WordPress ? Contactez-nous dès maintenant pour confier cette mission à un expert WP Trigone.
Et voilà, vous disposez désormais d’un compte WordPress avec un identifiant et un mot de passe robustes, et vous avez rendu l’identifiant « admin » inutilisable !