Publié par le 26 juillet 2017 • 0 Commentaires

Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité que j’anime avec notre ami Julio.

Julio : Bonjour à tous !

Alex : Et donc aujourd’hui, on va parler de quelque chose de très important, c’est : Comment protéger le compte « admin » ?

Alors du coup c’est vrai que, si vous avez un site WordPress, vous avez tous un compte administrateur, mais vous n’avez peut-être plus le compte « admin ».

Julio, est-ce que tu peux nous en parler, qu’est-ce que c’est que ce fameux compte « admin » ?

Julio : Alors, dans les débuts de WordPress, quand on faisait une installation automatique, le compte « admin » : ADMIN était créé automatiquement, il nous suffisait de mettre un mot de passe.

Je crois que c’était en décembre 2010, vers la 2.9, la 3.0, WordPress s’est dit : voilà, on va laisser la possibilité de changer ce nom, d’ailleurs on va même arrêter de mettre « admin » par défaut, les personnes auront à en choisir un.

On peut toujours créer un compte « admin » et il y a encore des personnes qui le créent par habitude aussi, peut être même par simplicité parce que c’est l’admin voilà !

Et pour le sécuriser aujourd’hui, vous trouverez beaucoup de tutoriels qui vous recommandent de supprimer ce compte.

Alex : C’est ça ! Même moi je l’ai conseillé. Ohh !

Julio : ça arrive… ça arrive… ça arrive aux meilleurs !

pourquoi protéger un compte administrateur

Alors, on le supprime ou pas ce compte « admin » !?

La chose, c’est que ce n’est pas tout à fait faux et à la fois ce n’est pas tout à fait vrai.

Pourquoi est-ce qu’il faudrait le supprimer, pourquoi est-ce qu’il ne faudrait pas le supprimer ?

On va prendre l’exemple simple : vous l’avez supprimé.

Dans WordPress, on a la possibilité de laisser les inscriptions ouvertes ou fermées.

Imaginons que vous avez supprimé le compte « administrateur » : la raison d’ailleurs de cette suppression, on va peut être en parler, c’est… ça évitera que les robots ne viennent par défaut, essayer de se connecter avec le compte « admin » puisqu’ils savaient que le compte « admin » était créé, donc il leur suffisait de trouver un mot de passe.

Alex : Et il y en a encore beaucoup donc voilà, ils avaient une information sur les deux.

Julio : C’est ça, les anciens sites n’ont pas eu de raison de changer ou de renommer, sachant en plus qu’on ne peut pas renommer un login dans WordPress sans passer par la base de données – c’est vrai que c’est une opération qui n’est pas simple !

Alex : C’est ça !

Julio : donc ce compte « admin », s’il n’existe plus, il est donc possible de le créer. Si vos inscriptions sont ouvertes, c’est-à-dire que n’importe peut créer ce compte à votre place. Donc vous qui avez pensé le supprimer pour éviter que les robots ne puissent se connecter avec, vous venez en fait d’ouvrir la possibilité à n’importe qui, dont un robot, de créer ce compte « admin ».

Je vais vous avouer que si je peux me connecter sur un site WordPres… si je peux m’inscrire, pardon, sur un site WordPress, je vais tester de m’inscrire avec le compte admin.

Alex : Tu me l’as montré avec un site, je ne sais plus lequel c’était…

Julio : On ne va pas balancer quand même ?

Alex : Non !

C’était quelqu’un de la communauté, je crois.

Julio : Deux personnes de la communauté qui sont frères !

Alex : Comprenne qui pourra…

Julio : On ne balance pas !

Et donc sur chacun de ces sites, ils ont lu le même tutoriel puisqu’ils se connaissent très bien et donc forcément, le compte « admin » était supprimé, j’ai créé mon compte chez eux et je me suis connecté avec un compte « admin ».

Alex : Du coup c’était un compte « admin » « abonné »

Julio : Exactement, je n’étais pas administrateur, attention pas de confusion, je reste un abonné avec le compte « admin ».

Vous allez me dire, oui, mais s’il n’est pas administrateur, il n’y a pas de danger !

Il y a moins de danger bien évidemment, mais malheureusement il y a des failles qui existent où le simple fait d’être connecté dans l’administration de WordPress, dans votre profil pour changer votre mot de passe, donne certains droits d’accès… donc voilà…

Alex : Il se peut que ce soit par exemple dans le thème, on vérifie si la personne est connectée et si elle est connectée on se dit « bon ben c’est quelqu’un de la maison » et on lui affiche telle chose…

Julio : C’est ça !

Alex : alors que ben là tu n’es pas de la maison toi !

Julio : Exactement, la faille serait bonne pour n’importe quelle personne « admin » ou pas, mais le fait de laisser « admin », permettra à des robots à réussir à se connecter. Si un robot teste « admin – admin » pour se connecter – s’inscrire pardon – oui, il va créer un compte « admin » avec un mot de passe « admin » ce n’est pas bon ça ! Là ce n’est pas « secur ».

Alex : Du coup après on peut arriver à dérober certaines informations auxquelles on n’était pas censés pouvoir accéder.

Julio : Voilà ! Donc en fait, ce que vous pouvez faire, si les inscriptions sont ouvertes, vous ne pouvez pas supprimer ce compte, sinon vous laissez la possibilité à quelqu’un de s’inscrire avec « admin ».

Par contre, ce que vous pouvez faire, c’est créer un nouveau compte « administrateur » si vous n’en avez pas encore, ensuite vous allez dans la liste des utilisateurs, vous trouvez ce compte « admin », vous l’éditez et là vous pouvez changer son rôle et vous changez pour « aucun rôle »

Car c’est possible, non pas à la création, mais lors de la modification d’un utilisateur, on peut lui supprimer son rôle.

C’est-à-dire que là, même si quelqu’un arrive à se connecter avec, il n’a même pas accès à l’interface de WordPress. On lui dit tout de suite « Alors on triche ! » Il ne peut se connecter, enfin il peut se connecter, mais il ne peut rien faire.Là c’est une des façons.

Une autre façon serait aussi d’ajouter en plus un mot de passe… j’allais dire compliqué oui… taper 100 caractères on s’en fiche, le but c’est que personne ne puisse « brut forcer » ce mot de passe, c’est important.

Du coup ça dépend forcément de votre installation.

Réfléchissez bien :

  • si vos inscriptions sont ouvertes, vous ne le supprimez pas,
  • si vos inscriptions sont fermées, alors oui là vous pouvez le supprimer, puisque de toute façon personne ne va pouvoir créer ce compte, personne ne pourra essayer de se connecter.

Donc il y a peut-être une majorité de personnes ici qui ont un blog fermé, sur lequel on ne peut pas s’inscrire : très bien ! Supprimez-le, vous avez très bien fait !

Si vous laissez les inscriptions ouvertes : attention !

Et du coup aussi attention, parfois les inscriptions sont ouvertes à cause d’un plugin de e-commerce, un e-commerce ça crée des clients, donc les inscriptions potentiellement elles sont ouvertes : attention !

Attention comment vos inscriptions sont gérées.

Alex : C’est ça, l’option n’est pas forcément cochée dans l’administration, je crois que c’est dans réglages => général, si je ne me trompe pas.

Du coup si vous vendez des produits, des fois on demande de créer le compte, des fois le compte est créé automatiquement, mais parfois on demande les informations : nom d’utilisateur, nom, prénom et tout, c’est un peu embêtant à remplir, mais des fois on n’a pas le choix pour passer commande et là du coup, on peut mettre « admin » en nom d’utilisateur…

Julio : Y’a des gens bizarres…

Alex : Il ne faut pas que ça passe.

Julio : Y’a des gens bizarres qui essayent de mettre « admin » et ça marche…

Alex : Donc voilà, méfiez-vous, maintenant que vous savez quoi faire avec ça, créez-le si vous avez un site sur lequel on peut s’enregistrer, on peut passer commande, etc.

Sinon si on ne peut pas s’inscrire, supprimez-le !

C’est bon, j’ai bien résumé ?

Julio : parfait !

Alex : Super ! Merci d’avoir suivi cette vidéo, n’hésitez pas à poser vos questions en commentaires, on essayera d’y répondre dans de futures vidéos et puis voilà !

Abonnez-vous à la chaîne YouTube de la Marmite et puis allez jeter un œil à SecuPress pour sécuriser votre site.

Voilà, merci de nous avoir écoutés et à bientôt, ciao !

Julio : Salut !

Une question sécurité WordPress vous titille ? N’hésitez pas à la poser en commentaire ici ou sous la vidéo sur YouTube !