Nous avons vu il y a une dizaine de jours comment paramétrer un identifiant sécurisé pour l’administrateur d’un blog ou site web réalisé avec WordPress et comme promis, nous allons voir aujourd’hui comment éviter de faire en sorte que les pirates puissent rapidement deviner votre identifiant.

Comment facilement trouver l’identifiant de l’administrateur d’un WordPress

Il existe deux manières de trouver facilement l’identifiant de l’administrateur d’un site créé avec WordPress si certaines précautions n’ont pas été prises.

Trouver facilement l’identifiant d’un administrateur qui a publié au moins une page ou un article

Vous le savez sûrement déjà mais vous n’y prêtez malheureusement pas attention: à partir du moment où vous publiez un quelconque contenu sur un site WordPress, votre identifiant est facilement trouvable.

En effet, il vous suffit la plupart du temps de cliquer sur le nom de l’auteur d’un article ou d’une page pour connaître l’identifiant de ce dernier et si celui-ci se révèle être également l’administrateur du site, alors les pirates arriveront alors plus facilement à leurs fins puisqu’ils n’auront plus qu’à trouver votre mot de passe grâce à un logiciel qui va tous les tester jusqu’à trouver le bon.

Découvrez en vidéo comment trouver facilement l’identifiant d’auteur d’un WordPress, et même si sur mon blog les parades nécessaires ont été mises en place, cela vous montre à quel point votre WordPress est vulnérable si vous ne prenez pas les précautions nécessaires.

Selon le thème et/ou les extensions de sécurisation que vous avez installé(es) sur votre WordPress, la page d’auteur peut être désactivée comme sur ce blog, mais si vous passez la souris sur mon nom affiché dans les méta données d’article affichées en haut de chacun d’entre eux, vous vous rendrez compte qu’on a toujours accès à mon identifiant.

La solution ultime pour protéger l’identifiant de l’administrateur d’un WordPress des petits curieux est donc de ne jamais publier aucun contenu avec un compte administrateur et donc de créer un compte auteur pour toutes vos publications, comme je l’ai fait sur ce site 😉

Trouver facilement l’identifiant du premier administrateur d’un WordPress

La seconde façon de trouver l’identifiant de l’administrateur d’un WordPress vous est certainement inconnue et pour cause, vous ne cherchez pas à pirater les sites des autres.

Cependant, sachez qu’une simple commande permet à quiconque de trouver identifiant de l’administrateur d’un WordPress si aucune précaution ou parade n’a été mise en place.

En effet, il suffit d’ajouter la commande “/?author=1” à la racine du nom de domaine d’un WordPress pour obtenir l’identifiant de son administrateur si ce dernier est toujours le premier.

Je vous fais la démonstration en vidéo pour vous montrer à quel point il est facile et rapide de trouver l’identifiant de l’administrateur d’un WordPress non sécurisé.

Sur le présent site, avant que je ne prenne la peine de le sécuriser comme il se doit, il vous suffisait donc d’entrer l’adresse suivante dans votre navigateur pour trouver l’identifiant de son administrateur.

https://brunotritsch.fr/?author=1

Mais comme j’ai bien pris la peine de faire le nécessaire depuis longtemps, vous verrez que vous ne trouverez pas l’identifiant de l’administrateur de ce présent blog.

Remédier facilement à cette faille de sécurité WordPress

Je vous invite donc à tester cette commande sur l’ensemble de vos WordPress pour savoir s’ils sont ou non en danger, car à partir du moment ou un pirate dispose de l’identifiant de l’administrateur, il ne lui reste plus qu’à trouver le mot de passe pour pouvoir pirater le site, or les pirates utilisent des logiciels qui leurs permettent d’arriver à leurs fins si vous n’avez pas fait le nécessaire pour les stopper ou au moins les ralentir.

Pour remédier à cette problématique d’identifiant facilement trouvable, deux choix s’offrent à vous:

  1. opérer une modification dans votre base de données comme indiqué dans cet article
  2. installer un plugin de sécurisation comme WordFence ou iThemes Security

Je vous suggère d’opter plutôt pour la seconde solution, à moins que vous soyez à l’aise avec la manipulation de base de données, d’autant plus que l’une ou l’autre des extensions WordPress citées ci-dessus vous permettront d’aller bien plus loin dans la sécurisation de votre blog ou site internet, notamment en limitant le nombre de tentatives de connexions successives (parade contre les attaques dites de “brute force”).

Conclusion

WordPress étant victime de son succès, il est fort à parier que si vous l’utilisez pour un ou plusieurs de vos blogs et/ou sites web, ceux-ci subiront régulièrement des tentatives de piratage, surtout si vous ne prenez pas certaines précautions.

Mettre en application les différents conseils que je donne dans cet article et celui d’il y a 10 jours ne vous évitera certainement pas toutes les tentatives de piratage, mais avant que votre site se fasse pirater, bien d’autres auront flanché avant le vôtre.

N’oubliez pas que plus votre WordPress sera sécurisé, plus vous découragerez les nombreuses tentatives de piratages et/ou vous les ferez échouer, alors ne prenez pas cela à la légère.

Et si jamais cela vous semble trop compliqué, vous pouvez toujours me demander un audit de votre WordPress avec devis d’optimisation et/ou de sécurisation en me contactant au 06 01 18 33 93.

Si vous avez trouvé une faute d’orthographe, vous pouvez m’en informer en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée. Je vous en remercie par avance.