Tout savoir sur WordPress
Tutoriel WordPress

Connaitre le login admin d’un site WordPress, et protéger le votre contre les curieux

Par défaut sur WordPress, il est très facile de connaitre le login de l’administrateur ou de n’importe quel utilisateur. Avant que certains ne crient au loup, je tiens à dire que ce n’est pas une faille de sécurité, c’est une fonctionnalité de base de Wordpress.

Vous serez heureux d’apprendre que ce problème n’existe plus dans les versions les plus récentes de WordPress

Le problème

Si vous avez activé les permaliens en mode /%postname%/ et que vous ajoutez à la fin de l’url de votre site ?author=1 , WordPress va vous rediriger vers la page de profil de cet auteur et provoquer la réecriture d’URL qui donnera votresite.fr/author/admin/ où admin est le login (qui sert d’identifiant unique dans l’url).

En soi ce n’est pas plus génant que ça. Mais si vous n’utilisez pas les profils d’utilisateurs inscrits (comme moi dans 99% des cas ou mes WordPress sont destinés à des sites corporates et non des blogs), je vous conseillerais d’empêcher quiconque de connaitre les logins admin et de tout autre personne qui a un compte sur le site.

Pourquoi renforcer la sécurité ?

Parce que cela compliquera singulièrement la tâche à un hacker : Il n’aura à sa disposition ni le login, ni le mot de passe. Si vous avez des utilisateurs inscrits, ou si vous avez fait des comptes à vos clients, il se peut fortement que leur mot de passe ne soit pas très sécurisé et donc facile à craquer.

La solution ?

Si vous souhaitez renforcer la sécurité, et que vous n’utilisez pas les profils utilisateurs, il suffit de créer dans votre thème une page author.php . C’est cette page de template qui est appelée lorsque l’on souhaite afficher les informations d’un auteur (voir sur le codex : Template hierarchy)

Dans cette page écrivez simplement :

<?php
    header('Location: '.home_url('/'));
?>

Cela permet très simplement de demander à PHP de rediriger vers la page d’accueil de votre installation WordPress.

Solution 2 avec Yoast SEO

Plus simple encore si vous utilisez le plugin SEO de Yoast (si vous ne l’utilisez pas, utilisez-le !). Il vous suffit de vous rendre dans SEO > Titres & métas > Désactiver les archives de l’auteur. Merci à kategriss pour l’astuce.

Cet article a été mis à jour il y a 1999 jours - Il n'est peut être plus à jour !

Article écrit par Maxime BJ

Développeur, bloggeur et formateur Web spécialisé WordPress. 31 ans. Grenoblois. Co-fondateur de WPChef, l’organisme de formation WordPress.

Organisateur de WPInAlps, le meetup WordPress Grenoblois. Vous pouvez me rencontrer lors d’événements tels que WordCamp Paris et Europe. Traducteur Français de l’extension Advanced Custom Fields. Également développeur d’applications web avec MeteorJs. Je m’occupe un site pour apprendre l’informatique aux débutants gratuitement.

J’aime les jeux vidéo, la rando, la bouffe bien grasse et les voyages.

5 Commentaires

  1. Pour sécuriser les sites de mes clients j utilise le plugin Itheme security . (anciennement Wp Better security )
    Itheme security est simple d utilisation, très complet, fiable et extrêmement bien noté par les utilisateurs….
    il détecte ce qui ne va pas ,il y a juste à cliquer afin de corriger les problèmes ..
    Cette extension permet également de renommer le compte Admin ,de modifier votre .htacess ….

e4e191ca732b1e0953ef4f307ea606aaDDDDDDDDDDDDDDDDDDDDDD