Pourquoi changer l’ID administrateur WordPress

Le compte administrateur WordPress est probablement le compte le plus ciblé sur un blog ou un site WordPress. Pour éviter toute désastre , il est recommandé de bien sécuriser le compte administrateur WordPress.

L’un des réglages de sécurité recommandées est de changer l’ID par défaut attribué au compte utilisateur de l’administrateur WordPress. Cet article de sécurité WordPress va vous expliquer pourquoi et comment changer l’ID du compte de l’administrateur WordPress.

Pourquoi changer l’ID de l’administrateur WordPress?

Si votre site WordPress est victime d’une attaque ciblée, un hacker malveillant peut facilement identifier le nom de l’administrateur WordPress manuellement ou à l’aide d’outils automatisés. Si un hacker malveillant identifie le nom d’utilisateur de l’administrateur WordPress, il peut lancer une attaque de force brute spécifique sur le compte de l’administrateur WordPress, ce qui rend l’attaque extrêmement facile.

ID Administrateur
Crédit : Pixomar

Si l’attaquant malveillant ne connaît pas le nom de l’administrateur WordPress, il doit à la fois deviner le nom d’utilisateur et le mot de passe au cours d’une attaque par force brute. Cela signifie que les chances que l’attaque réussisse sont moindres et l’attaque prendra beaucoup plus de temps, et plus l’attaque prend, plus vous ou votre d’hébergeur avez de chances d’identifier l’attaque, ce qui est exactement le but que nous recherchons.

En changeant l’ID utilisateur de l’administrateur WordPress, vous protégez votre site WordPress contre les attaques ciblées.

Comment identifier manuellement le nom d’utilisateur de l’administrateur WordPress

Par défaut, l’ID du compte d’administrateur WordPress est 1, donc sauf si vous modifiez l’ID de l’administrateur WordPress en un nombre aléatoire supérieur à 1, n’importe qui peut utiliser l’URL ci-dessous pour identifier le nom d’utilisateur de l’administrateur WordPress.

https://bloginfos.com/?author=1

Si l’ID de l’administrateur WordPress est toujours à 1, l’utilisateur sera redirigé vers l’URL ci-dessous, où le nouveau nom d’utilisateur est indiqué à la fin de l’URL. Par exemple, dans l’adresse URL ci-dessous, le nom d’utilisateur est SuperAdmin.

https://bloginfos.com/author/superadmin/

Remarque: Les URL ci-dessus sont utilisés à titre d’exemple et ne fonctionneront pas sur le site BlogInfos.

Identifier automatiquement le nom d’utilisateur de l’administrateur WordPress

Il existe plusieurs outils gratuits disponibles en ligne que les attaquants malveillants peuvent utiliser contre vous, comme WPScan WordPress black box scanner, qui vérifiera par exemple que le fichier readme.html a été supprimé, quel est le thème installé et si il est vulnérable…

Lorsque vous lancez un scan de sécurité de WordPress avec WPScan, il va automatiquement lister tous les utilisateurs qui ont une ID utilisateur faible, découvrant ainsi le nom d’utilisateur du compte administrateur WordPress. WPScan peut également être utilisé pour lister les utilisateurs de WordPress avec des ID supérieurs. Mais même avec une telle fonctionnalité, plus l’ID utilisateur de l’administrateur WordPress est  un nombre élevé, plus il faudra de temps au scanner pour le deviner, prolongeant ainsi de nouveau l’attaque et augmentant les chances d’identifier et de bloquer l’attaque.

 Comment faire pour modifier l’ID de l’administrateur WordPress

Pour modifier l’ID par défaut du compte d’administrateur WordPress, vous devez modifier la base de données WordPress, donc avant de procéder à toute modification, vous devez faire une sauvegarde de votre base de données WordPress. Je vous conseille d’utiliser BackuBuddy, le meilleur plugin pour effectuer vos sauvegardes.login screen

Avant de modifier l’ID du compte administrateur WordPress veillez également  à ce que le compte de l’administrateur n’ai pas de messages ou des pages qui lui sont assignées. Si c’est le cas, changez l’auteur de ces messages ou des pages pour un utilisateur disposant du rôle d’Auteur, manuellement ou en écrivant une requête SQL pour modifier l’ID de l’auteur de ces messages automatiquement.

Une fois que vous avez fait une sauvegarde de la base de données WordPress, connectez vous à votre base de données en utilisant l’outil de ligne de commande MySQL ou phpMyAdmin, que vous trouvez, généralement, sur votre compte d’hébergement et exécutez les requêtes ci-dessous sur la base de données WordPress:

UPDATE wp_users SET ID = 1024 WHERE ID = 1;

La requête MySQL ci-dessus va changer l’ID utilisateur de l’administrateur par défaut de 1 à 1024 dans la table « wp_users« , c’est à dire là où les informations d’identification utilisateur sont stockés.

La requête MySQL ci-dessus va changer l’ID utilisateur de l’administrateur WordPress par défaut de 1 à 1024 dans la table « wp_usermeta« , où les données relatives à l’utilisateur sont stockées.

UPDATE wp_usermeta SET user_id = 1024 WHERE user_id = 1

Conseil: Toujours spécifier une valeur élevée pour la nouvelle ID utilisateur de l’administrateur WordPress . Plus la valeur est élevée, moins vous avez de chances d’être découvert et d’être attaqué.

Évitez les conflits d’identité de l’utilisateur

Par défaut WordPress incrémente les ID utilisateur des comptes nouvellement générés. Par conséquent, alors que l’administrateur par défaut aura une ID utilisateur de 1, le premier utilisateur que vous créez aura l’ID utilisateur 2, le deuxième utilisateur aura l’ID utilisateur 3 et ainsi de suite.

Si vous pensez que vous allez créer un nombre d’utilisateurs supérieur au numéro que vous avez utilisé pour votre nouvel ID utilisateur de l’administrateur WordPress (1024 dans notre exemple), vous devez définir la valeur d’incrémentation automatique l’ID de l’utilisateur de WordPress (le compteur que WordPress utilise pour attribuer de nouveaux comptes avec une ID unique,) à une valeur plus grande que celle utilisée pour le compte de l’administrateur WordPress. Pour ce faire, utilisez la commande ci-dessous:

ALTER TABLE wp_users AUTO_INCREMENT = 2048

Une fois que vous exécutez la requête ci-dessus, la prochaine ID utilisateur que WordPress attribuera sera 2049.

Conseil: Lors du réglage de la nouvelle valeur d’incrémentation automatique de WordPress, utilisez une valeur beaucoup plus élevée que celle configurée pour le compte de l’administrateur WordPress, comme dans l’exemple ci-dessus, ainsi les attaquants ne pourront pas facilement déterminer l’ID du compte administrateur.

Protéger votre compte administrateur WordPress

Même si vous pensez que vos sites WordPress ne pourraient jamais être victimes d’une attaque ciblée, il est toujours recommandé d’effectuer un tel changement, car la nuit venue, tous les sites Web en ligne sont une cible potentielle. Après tout, il ne faut que quelques minutes pour changer l’ID d’un compte d’administrateur WordPress, ou risquer de tout perdre!

Notez qu’il n’y a pas besoin de changer l’ID utilisateur de tous les autres utilisateurs de WordPress qui n’ont pas de privilèges d’administrateur, car généralement seul le compte de l’administrateur est ciblé. Cela dit, vous devez toujours veiller à ce que tous les utilisateurs de WordPress utilisent des mots de passe forts.

Et si il existait une solution plus simple…

Nous venons de voir la façon de modifier l’ID de l’administrateur WordPress en utilisant la ligne de commande MySQL ou phpMyAdmin, mais que diriez vous si il existait une solution bien plus simple et plus souple pour effectuer ces modifications?

iThemes Security

Cette solution existe, et s’appelle iThemes Security. Ce plugin dont je vous parle assez régulièrement a parmi ces fonctionnalités de sécurité, la modification de l’ID administrateur si celle si est de 1.

iThemes Security ID administrateur

Après avoir effectué une sauvegarde de votre base de données, vous cliquez sur « Enable Change Admin User« , et une fois l’opération terminée, vous aurez à vous reconnecter à votre console d’administration, puisque l’ID utilisateur que vous aviez n’existe plus.

C’est tout!

Deux solutions pour un même résultat, à vous de choisir celle qui vous conviendra le mieux.

Avez vous déjà modifie l’ID utilisateur de l’administrateur de votre site WordPress? Si oui, comment avez vous procédé? Laissez dans les commentaires vos avis sur l’utilité de ce changement.

Et n’oubliez pas…

Partager c’est cool!

Publié à l'origine le : 25 septembre 2014 @ 9 h 01 min

Pour compléter votre lecture.