Salut Ă tous et bienvenue dans cette nouvelle vidĂ©o de sĂ©curitĂ© que j’anime avec notre ami Julio.
Julio : Bonjour Ă tous !
Alex : Aujourd’hui, on va parler de quelque chose de très important : Comment protĂ©ger le compte “admin” ?
Alors du coup c’est vrai que, si vous avez un site WordPress, vous avez tous un compte administrateur, mais vous n’avez peut-ĂŞtre plus le compte “admin”.
Julio, est-ce que tu peux nous en parler, qu’est-ce que c’est que ce fameux compte “admin” ?
Julio : Alors, dans les dĂ©buts de WordPress, quand on faisait une installation automatique, le compte “admin” : ADMIN Ă©tait crĂ©Ă© automatiquement, il nous suffisait de mettre un mot de passe.
Je crois que c’Ă©tait en dĂ©cembre 2010, vers la 2.9, la 3.0, WordPress s’est dit : voilĂ , on va laisser la possibilitĂ© de changer ce nom, d’ailleurs on va mĂŞme arrĂŞter de mettre “admin” par dĂ©faut, les personnes auront Ă en choisir un.
On peut toujours crĂ©er un compte “admin” et il y a encore des personnes qui le crĂ©ent par habitude aussi, peut-ĂŞtre mĂŞme par simplicitĂ© parce que c’est l’admin !
Et pour le sĂ©curiser aujourd’hui, vous trouverez beaucoup de tutoriels qui vous recommandent de supprimer ce compte.
Alex : C’est ça ! MĂŞme moi je l’ai conseillĂ©. Ohh !
Julio : ça arrive… ça arrive… ça arrive aux meilleurs !
Alors, on le supprime ou pas ce compte “admin” !?
La chose, c’est que ce n’est pas tout Ă fait faux et Ă la fois ce n’est pas tout Ă fait vrai.
Pourquoi est-ce qu’il faudrait le supprimer, pourquoi est-ce qu’il ne faudrait pas le supprimer ?
On va prendre l’exemple simple : vous l’avez supprimĂ©.
Dans WordPress, on a la possibilité de laisser les inscriptions ouvertes ou fermées.
Imaginons que vous avez supprimĂ© le compte “administrateur” : la raison d’ailleurs de cette suppression, on va peut ĂŞtre en parler, c’est… ça Ă©vitera que les robots ne viennent par dĂ©faut, essayer de se connecter avec le compte “admin” puisqu’ils savaient que le compte “admin” Ă©tait crĂ©Ă©, donc il leur suffisait de trouver un mot de passe.
Alex : Et il y en a encore beaucoup donc voilĂ , ils avaient une information sur les deux.
Julio : C’est ça, les anciens sites n’ont pas eu de raison de changer ou de renommer, sachant en plus qu’on ne peut pas renommer un login dans WordPress sans passer par la base de donnĂ©es – c’est vrai que c’est une opĂ©ration qui n’est pas simple !
Alex : C’est ça !
Julio : donc ce compte “admin”, s’il n’existe plus, il est donc possible de le crĂ©er. Si vos inscriptions sont ouvertes, n’importe peut crĂ©er ce compte Ă votre place. Donc vous qui avez pensĂ© le supprimer pour Ă©viter que les robots ne puissent se connecter avec, vous venez en fait d’ouvrir la possibilitĂ© Ă n’importe qui, dont un robot, de crĂ©er ce compte “admin”.
Je vais vous avouer que si je peux m’inscrire sur un site WordPress, je vais tester de m’inscrire avec le compte admin.
Alex : Tu me l’as montrĂ© avec un site, je ne sais plus lequel c’Ă©tait…
Julio : On ne va pas balancer quand mĂŞme ?
Alex : Non !
C’Ă©tait quelqu’un de la communautĂ©, je crois.
Julio : Deux personnes de la communauté qui sont frères !
Alex : Comprenne qui pourra…
Julio : On ne balance pas !
Et donc sur chacun de ces sites, ils ont lu le mĂŞme tutoriel puisqu’ils se connaissent très bien et donc forcĂ©ment, le compte “admin” a Ă©tĂ© supprimĂ©, j’ai crĂ©Ă© mon compte chez eux et je me suis connectĂ© avec un compte “admin”.
Alex : Du coup c’Ă©tait un compte “admin” “abonnĂ©”
Julio : Exactement, je n’Ă©tais pas administrateur, attention pas de confusion, je reste un abonnĂ© avec le compte “admin”.
Vous allez me dire, oui, mais s’il n’est pas administrateur, il n’y a pas de danger !
Il y a moins de danger bien Ă©videmment, mais malheureusement il y a des failles qui existent oĂą le simple fait d’ĂŞtre connectĂ© dans l’administration de WordPress, dans votre profil pour changer votre mot de passe, donne certains droits d’accès… donc voilĂ …
Alex : Il se peut que ce soit par exemple dans le thème, on vĂ©rifie si la personne est connectĂ©e et si elle est connectĂ©e on se dit “bon ben c’est quelqu’un de la maison” et on lui affiche telle chose…
Julio : C’est ça !
Alex : alors que ben lĂ tu n’es pas de la maison toi !
Julio : Exactement, la faille serait bonne pour n’importe quelle personne “admin” ou pas, mais le fait de laisser “admin”, permettra Ă des robots de rĂ©ussir Ă se connecter. Si un robot teste “admin – admin” pour s’inscrire, oui, il va crĂ©er un compte “admin” avec un mot de passe “admin” ce n’est pas bon ça ! LĂ ce n’est pas “secure”.
Alex : Du coup après on peut arriver à dérober certaines informations auxquelles on était pas censés pouvoir accéder.
Julio : VoilĂ ! Donc en fait, ce que vous pouvez faire, si les inscriptions sont ouvertes, vous ne pouvez pas supprimer ce compte, sinon vous laissez la possibilitĂ© Ă quelqu’un de s’inscrire avec “admin”.
Par contre, ce que vous pouvez faire, c’est crĂ©er un nouveau compte “administrateur” si vous n’en avez pas encore, ensuite vous allez dans la liste des utilisateurs, vous trouvez ce compte “admin”, vous l’Ă©ditez et lĂ vous pouvez changer son rĂ´le et vous changez pour “aucun rĂ´le”
Car c’est possible, non pas Ă la crĂ©ation, mais lors de la modification d’un utilisateur, on peut lui supprimer son rĂ´le.
C’est-Ă -dire que lĂ , mĂŞme si quelqu’un arrive Ă se connecter avec, il n’a mĂŞme pas accès Ă l’interface de WordPress. On lui dit tout de suite “Alors on triche !” Il ne peut se connecter, enfin il peut se connecter, mais il ne peut rien faire.LĂ c’est une des façons.
Une autre façon serait aussi d’ajouter en plus un mot de passe… j’allais dire compliquĂ© oui… taper 100 caractères on s’en fiche, le but c’est que personne ne puisse “brut forcer” ce mot de passe, c’est important.
Du coup ça dépend forcément de votre installation.
Réfléchissez bien :
- si vos inscriptions sont ouvertes, vous ne le supprimez pas,
- si vos inscriptions sont fermées, alors oui là vous pouvez le supprimer, puisque de toute façon personne ne va pouvoir créer ce compte, personne ne pourra essayer de se connecter.
Donc il y a peut-ĂŞtre une majoritĂ© de personnes ici qui ont un blog fermĂ©, sur lequel on ne peut pas s’inscrire : très bien ! Supprimez-le, vous avez très bien fait !
Si vous laissez les inscriptions ouvertes : attention !
Et du coup aussi attention, parfois les inscriptions sont ouvertes Ă cause d’un plugin de e-commerce, un e-commerce ça crĂ©e des clients, donc les inscriptions potentiellement elles sont ouvertes : attention !
Attention comment vos inscriptions sont gérées.
Alex : C’est ça, l’option n’est pas forcĂ©ment cochĂ©e dans l’administration, je crois que c’est dans rĂ©glages => gĂ©nĂ©ral, si je ne me trompe pas.
Du coup si vous vendez des produits, des fois on demande de crĂ©er le compte, des fois le compte est crĂ©Ă© automatiquement, mais parfois on demande les informations : nom d’utilisateur, nom, prĂ©nom et tout, c’est un peu embĂŞtant Ă remplir, mais des fois on n’a pas le choix pour passer commande et lĂ du coup, on peut mettre “admin” en nom d’utilisateur…
Julio : Y’a des gens bizarres…
Alex : Il ne faut pas que ça passe.
Julio : Y’a des gens bizarres qui essayent de mettre “admin” et ça marche…
Alex : Donc voilĂ , mĂ©fiez-vous, maintenant que vous savez quoi faire avec ça, crĂ©ez-le si vous avez un site sur lequel on peut s’enregistrer, on peut passer commande, etc.
Sinon si on ne peut pas s’inscrire, supprimez-le !
C’est bon, j’ai bien rĂ©sumĂ© ?
Julio : parfait !
Formez-vous Ă WordPress en 3 mois
Apprenez à concevoir des sites WordPress sécurisés, rapides et conformes aux obligations légales avec la formation à distance la plus généreuse du marché (éligible au CPF).
Alex : Super ! Merci d’avoir suivi cette vidĂ©o, n’hĂ©sitez pas Ă poser vos questions en commentaires, on essayera d’y rĂ©pondre dans de futures vidĂ©os et puis voilĂ !
Abonnez-vous à la chaîne YouTube de WPMarmite et puis allez jeter un œil à SecuPress pour sécuriser votre site.
Voilà , merci de nous avoir écoutés et à bientôt, ciao !
Julio : Salut !
Une question sĂ©curitĂ© WordPress vous titille ? N’hĂ©sitez pas Ă la poser en commentaire ici ou sous la vidĂ©o sur YouTube !
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La dernière fournée d'articles
Tous les articlesSpectra : plongée dans ce constructeur de page intégré à l’éditeur de WordPress
Sortir de l’interface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂŞme pas en rĂŞve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter l’éditeur par dĂ©faut (Gutenberg),…
WPMarmite News fĂŞte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂŞtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! 🥳 Si vous ĂŞtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂŞtre : l’aventure avait…
cPanel : fonctionnalités et guide d’utilisation de cette interface pour votre site WordPress
Besoin de modifier la version PHP de votre site web ? C’est lĂ que ça se passe. Une adresse e-mail Ă crĂ©er ? C’est aussi lĂ que ça se passe. Il vous faut installer un certificat SSL au pied levĂ©…