Bloguer facile
Vous avez aimé ? Partagez !

Les comptes WordPress : parlons sécurité

Après avoir parlé théorie et pratique, voici le dernier volet des articles sur les comptes WordPress : la sécurité. En effet, un compte WordPress, en particulier le compte administrateur, est la voie royale pour pirater votre blog. Autant prendre soin de ces comptes. Je vous dis comment.

wordpress-compte-role-permission

Nous voici bientôt au bout de la trilogie des comptes WordPress. En attendant qu’un éventuel 4° épisode vienne compléter cette épopée :-)

Dans les 2 premiers articles, nous avons parlé de :

Vous savez donc maintenant comment élaborer votre équipe éditoriale et comment la gérer au quotidien.

Dans ce dernier article, nous allons parler un peu de sécurité.

Sécuriser vos comptes WordPress

La protection de vos comptes WordPress est l’un des volets de la sécurité de votre blog.

Le risque ici est qu’un malotru vous mette à la porte de votre blog et le squatte avec son contenu, ou s’en serve comme rampe de lancement pour agresser vos voisins et collègues numériques. Vous n’aimeriez pas ça dans la vraie vie, vous ne l’aimeriez pas plus avec votre blog.

Il est bien sur évident que plus le compte a un rôle important et donc de permissions étendues, plus sa protection est importante. Les comptes les plus sensibles sont bien entendu les comptes administrateur.

Donc, comment protéger vos comptes WordPress ?

Protéger un compte WordPress se fait en protégeant 2 éléments : l’identifiant de connexion et le mot de passe. Ces 2 éléments sont nécessaires pour se connecter à un blog WordPress grâce à un compte.

L’identifiant de votre compte WordPress

En plus de son rôle, de ses permissions et de son mot de passe, un compte WordPress est aussi défini par son identifiant. Ou plutôt par son identifiant, son nom et son slug.

Bon, je vais donc tâcher d’être plus précis …

  • L’ identifiant du compte. À la création d’un compte, vous devez indiquer un identifiant, obligatoire et non modifiable. Cet identifiant permet de se connecter au blog.
  • Le nom du compte. Vous pouvez aussi indiquer un prénom et/ou un nom. Ils sont facultatifs et modifiables. À défaut, WordPress reprend l’identifiant. Ces 2 éléments permettent de moduler le nom à afficher publiquement. Sinon, identifiant et nom sont identiques.
  • Le slug du compte. J’aime beaucoup ce mot :-) Par défaut, WordPress crée une page affichant tous les articles d’un compte. Cette page est accessible par l’adresse http://mon-blog.fr/author/compte. Le slug, c’est author/compte. Par défaut, WordPress reprend l’identifiant du compte. Et WordPress ne permet pas de modifier ce slug.

De plus, par défaut, WordPress crée automatiquement un compte administrateur, qui peut donc tout faire sur le blog, ayant comme identifiant admin.

Les problèmes de sécurité ne manquent pas :

  • si vous ne faites rien, je connais déjà l’identifiant de votre compte administrateur ;
  • si vous créez un compte administrateur autre que le compte par défaut, c’est mieux, mais je peux toujours retrouver son identifiant grâce à son slug.

Dans les 2 cas, je n’ai plus qu’à trouver votre mot de passe …

Donc voici comment protéger tout ça.

Changer le compte administrateur par défaut

Certains outils d’installation de WordPress et certains hébergeurs vous permettent de modifier l’identifiant par défaut de votre compte administrateur. Profitez-en pour mettre autre chose que admin. Et évitez aussi de mettre votre prénom, le nom publique du compte ou quelque chose d’évident. Évitez aussi tout ce qui indique la fonction du compte, comme root pour les unixiens et autres linuxiens, administrateur, administrator, …

Lorsque vous n’avez pas le choix, le compte administrateur par défaut s’appellera admin. Votre première tâche, après l’installation de WordPress, est donc de créer un nouveau compte administrateur puis de supprimer l’ancien.

Avec l’article précédent, vous avez tout le nécessaire pour faire cela. Voici comment procéder :

  • créez un nouveau compte ayant pour rôle administrateur ;
  • déconnectez-vous de l’ancien compte ;
  • connectez-vous avec le nouveau compte ;
  • supprimez l’ancien compte administrateur.

Et voilà !

Vous n’avez plus qu’à vous occuper de son slug …

Changer le slug de tous vos comptes

Le problème du slug, c’est que WordPress ne permet pas de le modifier directement. L’avantage du slug, c’est que c’est une donnée stockée dans la base de données de WordPress. C’est donc une donnée modifiable et adaptable.

La première option pour le modifier, c’est d’aller jouer dans la base MySQL de WordPress. Ça se fait très bien avec les outils qui vont bien. Mais ce n’est pas le plus simple et vous n’êtes pas à l’abri d’une erreur tragique.

La seconde option, c’est d’utiliser un plugin. Et il en existe un très simple d’utilisation qui fait juste ce qu’on lui demande : permettre de modifier le slug de chaque compte WordPress. Son nom : Edit Author Slug.

Vous pouvez l’installer et le laisser. Mais je vous conseille plutôt de l’installer, de modifier les slugs de vos comptes puis de le supprimer. En effet, ces modifications restent une fois le plugin désinstallé et supprimé. Et vous n’allez pas modifier des slugs de compte tous les 4 matins ! Pourquoi donc s’encombrer ?…

Voici comment procéder :

  • recherchez, installez puis activez ce plugin : tout est expliqué dans ce tutoriel des plugins WordPress ;
  • allez dans l’écran de modification du premier compte : tout est expliqué ici ;
  • modifiez le slug : le champ de saisie est tout en bas de l’écran ;
  • sauvegardez ce compte ;
  • recommencez pour chacun de vos comptes ;
  • désinstallez le plugin.

Et voilà !

Vous connaissez maintenant la deuxième tâche de sécurisation de vos comptes WordPress : changer leur slug.

Le seul intérêt de garder ce plugin, c’est si vous créez régulièrement de nouveaux comptes. Dans ce cas, vous pouvez profiter de son paramétrage global. Sinon, ne réfléchissez pas trop.

Le mot de passe de votre compte WordPress

Pour le mot de passe, il n’y a pas 36 solutions. Il faut que votre mot de passe soit :

  • long : rien en dessous de 10 caractères, idéalement 16 caractères voire plus ;
  • complexe : minuscule, majuscule, chiffre, ponctuation.

Je ne parle même pas des mots de passe à base de prénoms ou de dates de naissance, et autres « 123… » ou « abc… »

Bien sur, la question de la mémorisation se pose alors … Vous avez plusieurs solutions. Plutôt que de les évoquer, je vous propose de lire :

Ma solution ? Je ne connais pas mes mots de passe ! Même sous la torture, je ne pourrais pas vous les donner : un point de sécurité en plus :-)

En fait, j’utilise un outil : Keepass. Il enregistre tous mes mots de passe pour moi. Un mot de passe principal, long, complexe et mnémotechnique, me permet d’ouvrir le fichier principal. Puis une succession de rechercher/copier/coller me permet de retrouver le mot de passe dont j’ai besoin quand j’en ai besoin. Bien sur, j’en profite pour y stocker tous mes mots de passe : blogs, réseaux sociaux, services, affiliation, … Outre cet aspect stockage, Keepass me permet aussi de générer à la volée des mots de passe complexes et uniques.

Je vous conseille bien sur d’utiliser Keepass. Mais les 2 solutions proposées dans les 2 premiers articles sont aussi très bien.

Nous terminons donc par la troisième tâche de sécurisation de vos comptes WordPress : avoir un mot de passe long et complexe.

Sur ce blog

Vous le savez, je m’appelle Grégory. Tous mes articles sont signés Grégory car c’est le nom publique de mon compte WordPress. Et mon slug contient gregory.

Par contre, l’identifiant de ce compte n’est ni gregory ni greg. Et ce n’est bien sur pas admin :-)

De plus, le mot de passe, que je ne connais pas, fait 32 caractères de long, contient des minuscules, des majuscules, des chiffres et de la ponctuation.

En plus, je le change à peu près tous les 3 mois.

Bien sur, je me fais aider par Keepass.

Ailleurs sur la toile

Il y a bien sur d’autres plugins que celui que je vous ai présenté. En l’occurrence, il y a User Name Security , développé et présenté par Daniel Roch de SeoMix. Ce plugin prend en charge pour vous la plupart des éléments évoqués dans cet article. A considérer si vous voulez vous simplifier la vie.

Conclusion

Après avoir vu la théorie puis la pratique des comptes WordPress, nous venons maintenant de voir la sécurité. Quelques autres éléments sont à considérer. Mais l’essentiel est là. De plus cela se fait une bonne fois pour toutes !

En résumé :

  • créer un nouveau compte administrateur ;
  • supprimer le compte par défaut admin ;
  • modifier le slug de vos comptes pour qu’ils correspondent au nom publique et pas à l’identifiant ;
  • utiliser des mots de passe longs et complexes.

About the Author Grégory

Blogueur depuis 2010, créateur et auteur de 8 blogs, je mets mon expérience à votre service. Pour que bloguer soit un plaisir et que votre blog soit une réussite.

follow me on:

Leave a Comment:

10 comments
DavidB_iRiche.com says

Merci pour le lien Grégory !

Si tu lis mon article à paraitre mercredi, tu verras que c’est fortement d’actualité… :-(

Reply
    Grégory says

    @DavidB: Mais de rien !

    Je scrute ton flux RSS :-)

    Reply
      DavidB_iRiche.com says

      Alors, ça t’es déjà arrivé… ou c’est pour bientôt ? ;-)

      J’avais bien entendu changé admin et mis un mdp assez “costaud”, tous mes plugins, thèmes.. sont à jour plus qq petits trucs glanés de ci de là… mais le malfaisant est plus fort que toi !!!
      Enfin surtout que moi ;-)

      Reply
        Grégory says

        Ben, t’as un peu pas beaucoup de chance, toi ?… Ou alors, tu cherches ! Je sais pas comment, mais tu cherches … Sûrement la rançon de la gloire !

        J’attend la suite de tes péripéties avec impatience :-)

        Bon, ça ne m’est jamais arrivé. Et j’espère que c’est pas demain la veille. Mais ta double mauvaise expérience m’incite à être encore plus prudent :-)

        Reply
GeekPress@Sécurité WordPress says

En plus des conseils cités dans l’article, au niveau de la sécurité des comptes, il est bien d’installer un plugin qui permet de bannir une ip qui fait du brute force sur la connexion d’un compte. Pour cela, on peut utiliser un plugin comme Limit Attempt Login qui fait très bien le boulot.

Ce n’est pas un détail à prendre à la légère car il y a quelques semaines, des milliers de blogs ont été hack suite à ce type d’attaque.

Reply
    Grégory says

    @GeekPress: Conseil judicieux et complément pertinent à cet article.

    Je n’ai pas parlé ici car je considère que ce n’est pas le coeur du sujet de cet article. Ici, je me concentre uniquement sur la création et la définition du compte avec un point de vue sécurité. Bon, ce n’est que mon point de vue … Et je parlerai de ça dans un article dédié.

    Mais ça n’enlève rien à l’intérêt de ton commentaire :-)

    Reply
Alexa@rédaction Web says

Merci pour ces conseils.
Pour ceux qui est des mots clés, à mon avis, il faut choisir ceux qui sont plus simple mais difficilement reconnaissables par les autres. L’essentiel c’est de ne pas l’oublier car si on le complique avec des ponctuations et des chiffres, on risque de se perdre.

Reply
    Grégory says

    @Alexa: Hum … Je cherche encore le lien entre votre commentaire et mon article ?… Serait-ce du pur spam ?…

    Reply
webcommark says

Se faire pirater son compte, quel qu’il soit, est toujours un très mauvais moment à passer je dois dire. Avec la peur que la personne est pu nous réserver une mauvaise surprise, ce n’est pas toujours évident. Tu as bien raison de nous rappeler l’importance de préserver notre blog aussi petit qu’il soit!

Reply
    Grégory says

    @webcommark: Et oui, ça peut faire mal. DavidB, plus haut, peut en témoigner. Il vaut mieux quelques précautions en amont que beaucoup de travail …

    Reply
Add Your Reply