Connaitre le login admin d’un site WordPress, et protéger le votre contre les curieux
Par défaut sur WordPress, il est très facile de connaitre le login de l’administrateur ou de n’importe quel utilisateur. Avant que certains ne crient au loup, je tiens à dire que ce n’est pas une faille de sécurité, c’est une fonctionnalité de base de Wordpress.
Vous serez heureux d’apprendre que ce problème n’existe plus dans les versions les plus récentes de WordPress
Le problème
Si vous avez activé les permaliens en mode /%postname%/ et que vous ajoutez à la fin de l’url de votre site ?author=1 , WordPress va vous rediriger vers la page de profil de cet auteur et provoquer la réecriture d’URL qui donnera votresite.fr/author/admin/ où admin est le login (qui sert d’identifiant unique dans l’url).
En soi ce n’est pas plus génant que ça. Mais si vous n’utilisez pas les profils d’utilisateurs inscrits (comme moi dans 99% des cas ou mes WordPress sont destinés à des sites corporates et non des blogs), je vous conseillerais d’empêcher quiconque de connaitre les logins admin et de tout autre personne qui a un compte sur le site.
Pourquoi renforcer la sécurité ?
Parce que cela compliquera singulièrement la tâche à un hacker : Il n’aura à sa disposition ni le login, ni le mot de passe. Si vous avez des utilisateurs inscrits, ou si vous avez fait des comptes à vos clients, il se peut fortement que leur mot de passe ne soit pas très sécurisé et donc facile à craquer.
La solution ?
Si vous souhaitez renforcer la sécurité, et que vous n’utilisez pas les profils utilisateurs, il suffit de créer dans votre thème une page author.php . C’est cette page de template qui est appelée lorsque l’on souhaite afficher les informations d’un auteur (voir sur le codex : Template hierarchy)
Dans cette page écrivez simplement :
<?php header('Location: '.home_url('/')); ?>
Cela permet très simplement de demander à PHP de rediriger vers la page d’accueil de votre installation WordPress.
Solution 2 avec Yoast SEO
Plus simple encore si vous utilisez le plugin SEO de Yoast (si vous ne l’utilisez pas, utilisez-le !). Il vous suffit de vous rendre dans SEO > Titres & métas > Désactiver les archives de l’auteur. Merci à kategriss pour l’astuce.
5 Commentaires
Plus simple encore, désactiver les pages auteurs avec le plugin WordPress SEO by Yoast ;) (il permet plein d’autres trucs comme par exemple désactiver les archives par date qui sont bien inutiles).
Bien vu ! je met à jour l’article. Merci pour l’astuce
Pour sécuriser les sites de mes clients j utilise le plugin Itheme security . (anciennement Wp Better security )
Itheme security est simple d utilisation, très complet, fiable et extrêmement bien noté par les utilisateurs….
il détecte ce qui ne va pas ,il y a juste à cliquer afin de corriger les problèmes ..
Cette extension permet également de renommer le compte Admin ,de modifier votre .htacess ….
est ce que le plugin WP Security suffisant pour mettre une securite de site wordpress?
Merci
WordFence actuellement c’est le mieux, généralement ça devrait suffire oui :)