Vous ĂȘtes ici : Accueil | 🛡Point SECU #2 : Pourquoi protĂ©ger le compte « admin » de WordPress

VidĂ©o : 🛡Point SECU #2 : Pourquoi protĂ©ger le compte « admin » de WordPress



Salut Ă  tous et bienvenue dans cette nouvelle vidĂ©o de sĂ©curitĂ© que j’anime avec notre ami Julio.

Julio : Bonjour Ă  tous !

Alex : Et donc aujourd’hui, on va parler de quelque chose de trĂšs important, c’est : Comment protĂ©ger le compte « admin » ?

Alors du coup c’est vrai que, si vous avez un site WordPress, vous avez tous un compte administrateur, mais vous n’avez peut-ĂȘtre plus le compte « admin ».

Julio, est-ce que tu peux nous en parler, qu’est-ce que c’est que ce fameux compte « admin » ?

Julio : Alors, dans les débuts de WordPress, quand on faisait une installation automatique, le compte « admin » : ADMIN était créé automatiquement, il nous suffisait de mettre un mot de passe.

Je crois que c’Ă©tait en dĂ©cembre 2010, vers la 2.9, la 3.0, WordPress s’est dit : voilĂ , on va laisser la possibilitĂ© de changer ce nom, d’ailleurs on va mĂȘme arrĂȘter de mettre « admin » par dĂ©faut, les personnes auront Ă  en choisir un.

On peut toujours crĂ©er un compte « admin » et il y a encore des personnes qui le crĂ©ent par habitude aussi, peut ĂȘtre mĂȘme par simplicitĂ© parce que c’est l’admin voilĂ  !

Et pour le sĂ©curiser aujourd’hui, vous trouverez beaucoup de tutoriels qui vous recommandent de supprimer ce compte.

Alex : C’est ça ! MĂȘme moi je l’ai conseillĂ©. Ohh !

Julio : ça arrive… ça arrive… ça arrive aux meilleurs !

pourquoi protéger un compte administrateur

Alors, on le supprime ou pas ce compte « admin » !?

La chose, c’est que ce n’est pas tout Ă  fait faux et Ă  la fois ce n’est pas tout Ă  fait vrai.

Pourquoi est-ce qu’il faudrait le supprimer, pourquoi est-ce qu’il ne faudrait pas le supprimer ?

On va prendre l’exemple simple : vous l’avez supprimĂ©.

Dans WordPress, on a la possibilité de laisser les inscriptions ouvertes ou fermées.

Imaginons que vous avez supprimĂ© le compte « administrateur » : la raison d’ailleurs de cette suppression, on va peut ĂȘtre en parler, c’est… ça Ă©vitera que les robots ne viennent par dĂ©faut, essayer de se connecter avec le compte « admin » puisqu’ils savaient que le compte « admin » Ă©tait crĂ©Ă©, donc il leur suffisait de trouver un mot de passe.

Alex : Et il y en a encore beaucoup donc voilĂ , ils avaient une information sur les deux.

Julio : C’est ça, les anciens sites n’ont pas eu de raison de changer ou de renommer, sachant en plus qu’on ne peut pas renommer un login dans WordPress sans passer par la base de donnĂ©es – c’est vrai que c’est une opĂ©ration qui n’est pas simple !

Alex : C’est ça !

Julio : donc ce compte « admin », s’il n’existe plus, il est donc possible de le crĂ©er. Si vos inscriptions sont ouvertes, c’est-Ă -dire que n’importe peut crĂ©er ce compte Ă  votre place. Donc vous qui avez pensĂ© le supprimer pour Ă©viter que les robots ne puissent se connecter avec, vous venez en fait d’ouvrir la possibilitĂ© Ă  n’importe qui, dont un robot, de crĂ©er ce compte « admin ».

Je vais vous avouer que si je peux me connecter sur un site WordPres… si je peux m’inscrire, pardon, sur un site WordPress, je vais tester de m’inscrire avec le compte admin.

Alex : Tu me l’as montrĂ© avec un site, je ne sais plus lequel c’Ă©tait…

Julio : On ne va pas balancer quand mĂȘme ?

Alex : Non !

C’Ă©tait quelqu’un de la communautĂ©, je crois.

Julio : Deux personnes de la communauté qui sont frÚres !

Alex : Comprenne qui pourra…

Julio : On ne balance pas !

Et donc sur chacun de ces sites, ils ont lu le mĂȘme tutoriel puisqu’ils se connaissent trĂšs bien et donc forcĂ©ment, le compte « admin » Ă©tait supprimĂ©, j’ai crĂ©Ă© mon compte chez eux et je me suis connectĂ© avec un compte « admin ».

Alex : Du coup c’Ă©tait un compte « admin » « abonné »

Julio : Exactement, je n’Ă©tais pas administrateur, attention pas de confusion, je reste un abonnĂ© avec le compte « admin ».

Vous allez me dire, oui, mais s’il n’est pas administrateur, il n’y a pas de danger !

Il y a moins de danger bien Ă©videmment, mais malheureusement il y a des failles qui existent oĂč le simple fait d’ĂȘtre connectĂ© dans l’administration de WordPress, dans votre profil pour changer votre mot de passe, donne certains droits d’accĂšs… donc voilĂ …

Alex : Il se peut que ce soit par exemple dans le thĂšme, on vĂ©rifie si la personne est connectĂ©e et si elle est connectĂ©e on se dit « bon ben c’est quelqu’un de la maison » et on lui affiche telle chose…

Julio : C’est ça !

Alex : alors que ben lĂ  tu n’es pas de la maison toi !

Julio : Exactement, la faille serait bonne pour n’importe quelle personne « admin » ou pas, mais le fait de laisser « admin », permettra Ă  des robots Ă  rĂ©ussir Ă  se connecter. Si un robot teste « admin – admin » pour se connecter – s’inscrire pardon – oui, il va crĂ©er un compte « admin » avec un mot de passe « admin » ce n’est pas bon ça ! LĂ  ce n’est pas « secur ».

Alex : Du coup aprĂšs on peut arriver Ă  dĂ©rober certaines informations auxquelles on n’était pas censĂ©s pouvoir accĂ©der.

Julio : VoilĂ  ! Donc en fait, ce que vous pouvez faire, si les inscriptions sont ouvertes, vous ne pouvez pas supprimer ce compte, sinon vous laissez la possibilitĂ© Ă  quelqu’un de s’inscrire avec « admin ».

Par contre, ce que vous pouvez faire, c’est crĂ©er un nouveau compte « administrateur » si vous n’en avez pas encore, ensuite vous allez dans la liste des utilisateurs, vous trouvez ce compte « admin », vous l’Ă©ditez et lĂ  vous pouvez changer son rĂŽle et vous changez pour « aucun rĂŽle »

Car c’est possible, non pas Ă  la crĂ©ation, mais lors de la modification d’un utilisateur, on peut lui supprimer son rĂŽle.

C’est-Ă -dire que lĂ , mĂȘme si quelqu’un arrive Ă  se connecter avec, il n’a mĂȘme pas accĂšs Ă  l’interface de WordPress. On lui dit tout de suite « Alors on triche ! » Il ne peut se connecter, enfin il peut se connecter, mais il ne peut rien faire.LĂ  c’est une des façons.

Une autre façon serait aussi d’ajouter en plus un mot de passe… j’allais dire compliquĂ© oui… taper 100 caractĂšres on s’en fiche, le but c’est que personne ne puisse « brut forcer » ce mot de passe, c’est important.

Du coup ça dépend forcément de votre installation.

Réfléchissez bien :

  • si vos inscriptions sont ouvertes, vous ne le supprimez pas,
  • si vos inscriptions sont fermĂ©es, alors oui lĂ  vous pouvez le supprimer, puisque de toute façon personne ne va pouvoir crĂ©er ce compte, personne ne pourra essayer de se connecter.

Donc il y a peut-ĂȘtre une majoritĂ© de personnes ici qui ont un blog fermĂ©, sur lequel on ne peut pas s’inscrire : trĂšs bien ! Supprimez-le, vous avez trĂšs bien fait !

Si vous laissez les inscriptions ouvertes : attention !

Et du coup aussi attention, parfois les inscriptions sont ouvertes Ă  cause d’un plugin de e-commerce, un e-commerce ça crĂ©e des clients, donc les inscriptions potentiellement elles sont ouvertes : attention !

Attention comment vos inscriptions sont gérées.

Alex : C’est ça, l’option n’est pas forcĂ©ment cochĂ©e dans l’administration, je crois que c’est dans rĂ©glages => gĂ©nĂ©ral, si je ne me trompe pas.

Du coup si vous vendez des produits, des fois on demande de crĂ©er le compte, des fois le compte est crĂ©Ă© automatiquement, mais parfois on demande les informations : nom d’utilisateur, nom, prĂ©nom et tout, c’est un peu embĂȘtant Ă  remplir, mais des fois on n’a pas le choix pour passer commande et lĂ  du coup, on peut mettre « admin » en nom d’utilisateur…

Julio : Y’a des gens bizarres…

Alex : Il ne faut pas que ça passe.

Julio : Y’a des gens bizarres qui essayent de mettre « admin » et ça marche…

Alex : Donc voilĂ , mĂ©fiez-vous, maintenant que vous savez quoi faire avec ça, crĂ©ez-le si vous avez un site sur lequel on peut s’enregistrer, on peut passer commande, etc.

Sinon si on ne peut pas s’inscrire, supprimez-le !

C’est bon, j’ai bien rĂ©sumĂ© ?

Julio : parfait !

Alex : Super ! Merci d’avoir suivi cette vidĂ©o, n’hĂ©sitez pas Ă  poser vos questions en commentaires, on essayera d’y rĂ©pondre dans de futures vidĂ©os et puis voilĂ  !

Abonnez-vous Ă  la chaĂźne YouTube de la Marmite et puis allez jeter un Ɠil Ă  SecuPress pour sĂ©curiser votre site.

Voilà, merci de nous avoir écoutés et à bientÎt, ciao !

Julio : Salut !

Une question sĂ©curitĂ© WordPress vous titille ? N’hĂ©sitez pas Ă  la poser en commentaire ici ou sous la vidĂ©o sur YouTube !



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

10b524ece5908748cbc7fdd2614d49b7uuuuuuuuuu
Partagez
Tweetez
Partagez