WordPress
Plugins, WordPress

Cacher son identifiant sur les pages de son Blog WordPress

Depuis quelques années déjà, je travaille au quotidien sur divers Cms comme WordPress.org ou encore Joomla, ainsi que sur SharePoint quand je suis en Entreprise. Et si un sujet reste fondamental et récurrent, c’est bien celui de la sécurité. La sécurité, elle consiste non seulement en des moyens solides et fiables d’éviter de la casse mais aussi en de la prévention.

S’agissant de WordPress.org, il existe divers moyens de sécuriser son blog, des plus simples aux plus complexes, que ce soit en passant par une extension ou non. Et parmi les éléments à sécuriser, il y a l’éternel identifiant de connexion qu’il convient non seulement de changer et de ne pas laisser en « Admin », mais qu’il convient aussi de cacher.

Alors comment cacher son identifiant de connexion/login WordPress ? Pourquoi le cacher ? Voici les réponses à ces questions (:

wordpress-blue-ribbon

Cas Concret

Toujours dans l’idée de sécuriser son blog et plus précisément un blog qui tourne sur WordPress.org, voici un Plugin qui permet de contrecarrer un peu plus les tentatives d’entrées malveillantes en mode Bruteforce. Il y a deux ans au lancement de YesWeBlog, il m’est arrivé de recevoir environ 50 emails par minute en une soirée. Les emails m’étaient envoyés par le plugin Wordfence qui avait fait l’objet d’un billet et qui est configuré par défaut pour me prévenir en cas de tentatives de connexions en échec mais aussi en cas de connexion réussie, comme quand je me connecte.

Les mails disaient en gros :
Un utilisateur avec l’adresse IP machin a été bloqué lors de l’identification blablabla pour la raison suivante : Nombre d’échecs d’identification dépassé : 20. Le dernier Username tenté était ‘admin’…

Jusque là, tout allait bien. Je n’étais pas inquiète. Il y avait de nombreux essais de connexions en boucle sûrement via un script robot qui teste des dizaines de mots de passe à la minute avec l’identifiant admin. Mais je restais sereine, car j’avais modifié le login et n’utilisais donc pas ‘admin‘.
Certain(e)s d’entre vous vont me demander, mais pourquoi ne pas utiliser l’identifiant ‘admin’ ? Voici la réponse :

Lors de nombreuses installations de WordPress, le compte administrateur par défaut qui est activé est admin. C’était par exemple auparavant le cas avec le module d’installation automatique 1 clic de Ovh. Dans l’absolu, pas de pas problème : C’est court et donc facile à retenir. Sauf que comme de nombreux sites et Blogs WP ont cet identifiant par défaut, des personnes malveillantes et très au courant de ce fait, profitent alors de cette information pour tenter d’entrer sur les sites pour mieux les planter ou les véroler, ce notamment grâce à des moulinettes qui essaient en boucle des mots de passe avec l’identifiant Admin, jusqu’à parfois réussir, et vous mettre un joyeux bordel sur votre blog.

Alors si toutefois vous vous connectez à votre blog ou site votre WordPress.org avec l’identifiant admin, changez-en sans trop attendre. Via ce court tutoriel, vous pourrez procéder à la modification en quelques minutes.

wordpress-on-yesweblog-installation

Mais revenons à cette soirée lors de laquelle des centaines de mails me sont parvenus via l’extension Wordfence. La plupart des emails de notifications indiquaient qu’en effet, des tentatives d’entrée se faisaient via le Login admin. Sauf qu’à un moment, les tentatives d’entrées sur le blog sont devenues + exotiques. Les tentatives d’entrées n’étaient plus seulement avec Admin mais avec d’autres logins/identifiants. Là, j’ai moins aimé.

J’aurais pu me contenter d’attendre que ça passe, mais j’ai préféré agir. Les robots malveillants devenaient insistants et ne se contentaient plus du Login Admin pour les essais de connexions. Jusqu’à quand ? Je me suis alors intéressée à ce qui pouvait suggérer des informations sur mon identifiants sur mon blog et les autres. Jusqu’à découvrir que l’identifiant était visible à divers recoins ! Bah merde alors ! Fallait le savoir, sauf qu’au début, comme beaucoup, je n’en savais rien.

Où S’affiche l’identifiant

Selon le thème WP choisi pour un blog ou site WordPress, certains affichent ce qu’on appelle couramment l’auteur. Et il se trouve que même si on affiche son prénom ou son pseudo, derrière, il y a un lien la plupart du temps, et ce lien, quand on le survole, il affiche l’identifiant. Exemple en image avec la version démo du thème Nathalie qui est disponible chez Creative Market.
Quand on se rend sur le premier article de la démo et qu’on descend sur la box Auteur, quand on survole le nom fictif de l’auteur, on voit grâce au navigateur, le lien avec l’identifiant, ici admin, en jaune :

admin-compte-slug-wp

Et si on clique sur le Prénom fictif Andria du site de démo, on découvre le lien en dur avec cette info qu’on devrait idéalement cacher, à savoir l’identifiant qui ici est admin, le fameux compte par défaut, source de beaucoup d’intrusions :

slug-with-admin-account-wp

Et si toutefois on peut trouver l’identifiant seulement via les articles ou boxs auteurs, dans certains cas, on peut trouver l’identifiant, sauf s’il a été caché, directement sur la page d’accueil ! Sur YesWeblog par exemple, on a un lien sous chaque extrait d’articles. Donc si je n’avais pas préalablement caché et modifié mon identifiant, on aurait alors connaissance de celui-ci au simple survol du lien :

article-ywb-author-link

Il se trouve que j’ai modifié l’identifiant, et que celui qui s’affiche n’est pas GG (mes initiales), justement pour induire en erreur tout petit coquin qui souhaiterait choper l’info pour s’amuser avec et planter mon blog par la même occasion. Alors du coup si on clique on qu’on survole le lien, voilà ce qui s’affichera : http://yesweblog.fr/author/qui-je-suis 

keyboard-clavier-ywb

Alors comment cacher son identifiant WP afin d’éviter qu’il soit affiché malgré soi via le thème de son site ou blog ?

C’est là qu’intervient justement l’extension que pour ma part j’utilise, à savoir Edit Author Slug. Gratuite et disponible sur le site officiel de WP, elle permet de modifier le nom qui sera affiché via les différents liens sur un site ou blog WP.

editauthorslug-wp-ywb

Pour l’utiliser, fastoche, suffit de l’installer et de l’activer sur votre site ou blog WordPress. Petit tuto ici pour découvrir comment installer et activer un plugin/extension. Une fois que ce sera fait, passage côté configuration, qui au passage est rapide et simple. Rendez-vous dans le menu Réglages de votre WP, puis sur le sous-menu Edit author Slug :

edit-slug-author

Tout est en anglais, mais cela reste clair et il n’y a pas des dizaines de champs à remplir ou de cases à cocher. Il suffit donc de lire les infos puis de laisser au besoin les paramètres par défaut en place. En l’occurrence dans le cas présent, je choisis d’afficher displayname en tant que nom d’auteur. Displayname étant le pseudonyme ou nom que vous décidez d’afficher dans votre compte utilisateur WordPress. Ensuite, valider et enregistrer les modifications via le bouton en pied de page.

Une fois le tout coché et enregistré, rendez-vous sur votre compte WP, en passant par le menu Utilisateurs puis en cliquant sur le lien du compte correspondant. Vous retrouverez alors toutes les infos personnalisées quand vous avez créé votre compte. Et aurez cette partie où s’afficheront les données comme votre identifiant (que j’ai caché dans cette capture) ainsi que le nom, prénom et éventuel pseudonyme :

config-utilisateur-wp

Cependant, il vous faudra descendre plus bas sur votre page de compte utilisateur (et administrateur) pour configurer la partie dédiée à Edit Author Slug. Comme suit :

qui-je-suis-slug

Comme j’ai décidé via configuration du plugin, que ce serait le Displayname (=Pseudonyme) qui serait à personnaliser dans les liens affichés sur le Blog, alors l’extension me suggère d’afficher mes initiales OU de saisir de ce qui apparaîtra dans les liens Auteur. Aussi, je décider d’aller plus loin et de ne pas me contenter de ce qui apparaît. Je choisis d’afficher : qui-je-suis.

Après cette saisie si vous optez pour la customisation de ce qui sera affiché, il suffira d’enregistrer votre modification puis d’aller vérifier sur votre blog ou site WP (après avoir actualisé la page), que l’info identifiant est désormais bien planquée :) Et surtout ! Que WP affiche ce que vous souhaitez qu’il affiche.

Voilà, comment en quelques minutes, pallier à un point d’entrée super courant concernant les sites WP.


Je vous dis à très vite pour découvrir comme sécuriser votre installation WP facilement et comment connaître ces petites chose auxquelles on ne pense pas quand on débute.

En attendant et comme le veut la tradition, de la musique avec Radiohead, No Surprises, live 2016 Paris. Avec un Thom Yorke vieillissant mais toujours charismatique :

 

Article Précédent Article Suivant

Pourrait également vous intéresser

12 Commentaires

  • Répondre Stéphanie 13 juin 2016 at 12:38

    Merci beaucoup pour ce billet très intéressant et clair, j’ai appliqué tes conseils et me voilà rassurée.

    • Répondre GG 13 juin 2016 at 18:15

      Merci beaucoup pour ton retour ! ravie de pouvoir aider :)

  • Répondre Ô hasard des mots 19 juin 2016 at 11:48

    Merci beaucoup pour ce conseil, et ce tutoriel très bien expliqué. J’ai appliqué !

  • Répondre Emilie - Mamandeteste.com 25 juin 2016 at 21:15

    Merci pour cet article! J’ai pas été maline lorsque j’ai créé mon nom d’utilisateur sur WP (que l’on ne peut pas changer!) et je suis bien contente de pouvoir le rendre « invisible » aux lecteurs. Merci!

  • Répondre Aurélie 30 juin 2016 at 07:35

    Bonjour
    Une perle ton article
    merci GG

    • Répondre GG 30 juin 2016 at 10:38

      oh merci beaucoup ! ravie qu’il puisse servir et éviter de la casse :)

      • Répondre Aurélie 1 juillet 2016 at 12:15

        J’ai un blog wordpress gratuit c’est possible de faire ces manipulations, pour WP ADMIN, comme indiquer dans ton tuto ?

        • Répondre GG 2 juillet 2016 at 10:02

          bonjour Aurélie,
          WP.com n’est pas concerné car il propose d’autres systèmes de sécurisations de compte, avec la double authentification (avec utilisation de ton numéro de téléphone si choisi ou encore captcha) : le gratuit a aussi des avantages !

  • Répondre Livresse des Mots 20 décembre 2016 at 09:53

    Génial, super astuce ! Mon problème c’était pas tant la sécurité que le manque de crédibilité de mon identifiant, choisi par mon frère lorsqu’il m’a installé Worpdress… le p’tit surnom familial ça la foutait un peu mal x)
    Merci !

  • Répondre Christophe 31 décembre 2016 at 17:51

    Bonjour,

    merci pour cet article, j’ai pu corriger cette faille de sécurité sur l’un de mes sites.

    Je ne comprenais pas comment les pirates avaient deviné mon identifiant de connexion, problème réglé !

  • Répondre Pascal 21 janvier 2017 at 14:48

    Intéressant, je ne connaissais pas cette extension, ni cette faille.

    Il y a trois autres mesures de sécurité que je recommande pour la page de connexion :
    – changer l’url de la page
    – limiter le nombre de connexions par IP (3 suffisent amplement)
    – supprimer les messages d’erreur lors de la connexion (pour ne pas faciliter la tâche du hacker, il ne sait pas ainsi si c’est l’identifiant ou le mot de passe qui n’est pas valide)

    La plupart des extensions gérant la sécurité incluent ces modes de prévention, je ne sais pas pour Wordfence vu que je ne l’ai jamais utilisé.

  • Répondre Alexandre 22 février 2017 at 01:15

    Merci beaucoup Pour cet article, il m’aura bien servi! je ne savais même pas qu’on pouvais le cacher!

    Au plaisir
    Alexandre

  • Laisser un Commentaire