Cacher son identifiant sur son site internet WordPress

Depuis quelques années déjà, je travaille au quotidien sur divers Cms comme WordPress.org ou encore Joomla, ainsi que sur SharePoint quand je suis en Entreprise. Et si un sujet reste fondamental et récurrent, c’est bien celui de la sécurité. La sécurité, elle consiste non seulement en des moyens solides et fiables d’éviter de la casse mais aussi en de la prévention.

S’agissant de WordPress.org, il existe divers moyens de sécuriser son blog, des plus simples aux plus complexes, que ce soit en passant par une extension ou non. Et parmi les éléments à sécuriser, il y a l’éternel identifiant de connexion qu’il convient non seulement de changer et de ne pas laisser en « Admin », mais qu’il convient aussi de cacher.

Alors comment cacher son identifiant de connexion/login WordPress ? Pourquoi le cacher ? Voici les réponses à ces questions (:

Cas Concret

Toujours dans l’idée de sécuriser son blog et plus précisément un blog qui tourne sur WordPress.org, voici un Plugin qui permet de contrecarrer un peu plus les tentatives d’entrées malveillantes en mode Bruteforce. Il y a deux ans au lancement de YesWeBlog, il m’est arrivé de recevoir environ 50 emails par minute en une soirée. Les emails m’étaient envoyés par le plugin Wordfence qui avait fait l’objet d’un billet et qui est configuré par défaut pour me prévenir en cas de tentatives de connexions en échec mais aussi en cas de connexion réussie, comme quand je me connecte.

Les mails disaient en gros :
Un utilisateur avec l’adresse IP machin a été bloqué lors de l’identification blablabla pour la raison suivante : Nombre d’échecs d’identification dépassé : 20. Le dernier Username tenté était ‘admin’…

Jusque là, tout allait bien. Je n’étais pas inquiète. Il y avait de nombreux essais de connexions en boucle sûrement via un script robot qui teste des dizaines de mots de passe à la minute avec l’identifiant admin. Mais je restais sereine, car j’avais modifié le login et n’utilisais donc pas ‘admin‘.
Certain(e)s d’entre vous vont me demander, mais pourquoi ne pas utiliser l’identifiant ‘admin’ ? Voici la réponse :

Lors de nombreuses installations de WordPress, le compte administrateur par défaut qui est activé est admin. C’était par exemple auparavant le cas avec le module d’installation automatique 1 clic de Ovh. Dans l’absolu, pas de pas problème : C’est court et donc facile à retenir. Sauf que comme de nombreux sites et Blogs WP ont cet identifiant par défaut, des personnes malveillantes et très au courant de ce fait, profitent alors de cette information pour tenter d’entrer sur les sites pour mieux les planter ou les véroler, ce notamment grâce à des moulinettes qui essaient en boucle des mots de passe avec l’identifiant Admin, jusqu’à parfois réussir, et vous mettre un joyeux bordel sur votre blog.

Alors si toutefois vous vous connectez à votre blog ou site votre WordPress.org avec l’identifiant admin, changez-en sans trop attendre. Via ce court tutoriel, vous pourrez procéder à la modification en quelques minutes.

Mais revenons à cette soirée lors de laquelle des centaines de mails me sont parvenus via l’extension Wordfence. La plupart des emails de notifications indiquaient qu’en effet, des tentatives d’entrée se faisaient via le Login admin. Sauf qu’à un moment, les tentatives d’entrées sur le blog sont devenues + exotiques. Les tentatives d’entrées n’étaient plus seulement avec Admin mais avec d’autres logins/identifiants. Là, j’ai moins aimé.

J’aurais pu me contenter d’attendre que ça passe, mais j’ai préféré agir. Les robots malveillants devenaient insistants et ne se contentaient plus du Login Admin pour les essais de connexions. Jusqu’à quand ? Je me suis alors intéressée à ce qui pouvait suggérer des informations sur mon identifiants sur mon blog et les autres. Jusqu’à découvrir que l’identifiant était visible à divers recoins ! Bah merde alors ! Fallait le savoir, sauf qu’au début, comme beaucoup, je n’en savais rien.

Où s’affiche l’identifiant

Selon le thème WP choisi pour un blog ou site WordPress, certains affichent ce qu’on appelle couramment l’auteur. Et il se trouve que même si on affiche son prénom ou son pseudo, derrière, il y a un lien la plupart du temps, et ce lien, quand on le survole, il affiche l’identifiant. Exemple en image avec la version démo du thème Nathalie qui est disponible chez Creative Market.
Quand on se rend sur le premier article de la démo et qu’on descend sur la box Auteur, quand on survole le nom fictif de l’auteur, on voit grâce au navigateur, le lien avec l’identifiant, ici admin, en jaune :

admin-compte-slug-wp

Et si on clique sur le Prénom fictif Andria du site de démo, on découvre le lien en dur avec cette info qu’on devrait idéalement cacher, à savoir l’identifiant qui ici est admin, le fameux compte par défaut, source de beaucoup d’intrusions :

slug-with-admin-account-wp

Et si toutefois on peut trouver l’identifiant seulement via les articles ou boxs auteurs, dans certains cas, on peut trouver l’identifiant, sauf s’il a été caché, directement sur la page d’accueil ! Sur YesWeblog par exemple, on a un lien sous chaque extrait d’articles. Donc si je n’avais pas préalablement caché et modifié mon identifiant, on aurait alors connaissance de celui-ci au simple survol du lien :

article-ywb-author-link

Il se trouve que j’ai modifié l’identifiant, et que celui qui s’affiche n’est pas GG (mes initiales), justement pour induire en erreur tout petit coquin qui souhaiterait choper l’info pour s’amuser avec et planter mon blog par la même occasion. Alors du coup si on clique on qu’on survole le lien, voilà ce qui s’affichera : https://yesweblog.fr/author/qui-je-suis 

Alors comment cacher son identifiant WP afin d’éviter qu’il soit affiché malgré soi via le thème de son site ou blog ?

C’est là qu’intervient justement l’extension que pour ma part j’utilise, à savoir Edit Author Slug. Gratuite et disponible sur le site officiel de WP, elle permet de modifier le nom qui sera affiché via les différents liens sur un site ou blog WP.

editauthorslug-wp-ywb

Pour l’utiliser, fastoche, suffit de l’installer et de l’activer sur votre site ou blog WordPress. Petit tuto ici pour découvrir comment installer et activer un plugin/extension. Une fois que ce sera fait, passage côté configuration, qui au passage est rapide et simple. Rendez-vous dans le menu Réglages de votre WP, puis sur le sous-menu Edit author Slug :

edit-slug-author

Tout est en anglais, mais cela reste clair et il n’y a pas des dizaines de champs à remplir ou de cases à cocher. Il suffit donc de lire les infos puis de laisser au besoin les paramètres par défaut en place. En l’occurrence dans le cas présent, je choisis d’afficher displayname en tant que nom d’auteur. Displayname étant le pseudonyme ou nom que vous décidez d’afficher dans votre compte utilisateur WordPress. Ensuite, valider et enregistrer les modifications via le bouton en pied de page.

Une fois le tout coché et enregistré, rendez-vous sur votre compte WP, en passant par le menu Utilisateurs puis en cliquant sur le lien du compte correspondant. Vous retrouverez alors toutes les infos personnalisées quand vous avez créé votre compte. Et aurez cette partie où s’afficheront les données comme votre identifiant (que j’ai caché dans cette capture) ainsi que le nom, prénom et éventuel pseudonyme :

config-utilisateur-wp

Cependant, il vous faudra descendre plus bas sur votre page de compte utilisateur (et administrateur) pour configurer la partie dédiée à Edit Author Slug. Comme suit :

qui-je-suis-slug

Comme j’ai décidé via configuration du plugin, que ce serait le Displayname (=Pseudonyme) qui serait à personnaliser dans les liens affichés sur le Blog, alors l’extension me suggère d’afficher mes initiales OU de saisir de ce qui apparaîtra dans les liens Auteur. Aussi, je décider d’aller plus loin et de ne pas me contenter de ce qui apparaît. Je choisis d’afficher : qui-je-suis.

Après cette saisie si vous optez pour la customisation de ce qui sera affiché, il suffira d’enregistrer votre modification puis d’aller vérifier sur votre blog ou site WP (après avoir actualisé la page), que l’info identifiant est désormais bien planquée :) Et surtout ! Que WP affiche ce que vous souhaitez qu’il affiche.

Cacher son identifiant sur les pages de son blog WordPress

Voilà, comment en quelques minutes, pallier à un point d’entrée super courant concernant les sites WP.

Modifier le champ Nom à afficher publiquement dans les réglages de profil

WordPress propose depuis quelques années une solution native pour éviter de montrer publiquement l’identifiant d’un utilisateur, quels que soient son statut (administrateur…).

Pour décider de quel nom afficher en frontal sur le site web ou blog, il suffit de se rendre dans les réglages du profil et renseigner le champ : Nom à afficher publiquement. Dans ce champ, il conviendra donc d’utiliser soit le nom, soit le prénom, soit le pseudonyme choisi par l’utilisateur ou utilisatrice. Et évidemment on évitera absolument de mettre l’identifiant… Histoire de ne pas s’attirer des ennuis malgré soi !

 

 



Partager ce contenu :
Griselidis
Griselidis

Heureuse maman d'un petit garçon né en 2018, je tiens aujourd'hui quatre blogs. Après 17 années passées dans une grande entreprise de téléphonie, je travaille désormais en tant que webmaster freelance à mon compte depuis 2015.

Newsletter

Saisissez votre adresse e-mail ci-dessous et abonnez-vous à la newsletter

17 commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  1. Merci pour cet article! J’ai pas été maline lorsque j’ai créé mon nom d’utilisateur sur WP (que l’on ne peut pas changer!) et je suis bien contente de pouvoir le rendre « invisible » aux lecteurs. Merci!

      • J’ai un blog wordpress gratuit c’est possible de faire ces manipulations, pour WP ADMIN, comme indiquer dans ton tuto ?

        • bonjour Aurélie,
          WP.com n’est pas concerné car il propose d’autres systèmes de sécurisations de compte, avec la double authentification (avec utilisation de ton numéro de téléphone si choisi ou encore captcha) : le gratuit a aussi des avantages !

  2. Génial, super astuce ! Mon problème c’était pas tant la sécurité que le manque de crédibilité de mon identifiant, choisi par mon frère lorsqu’il m’a installé Worpdress… le p’tit surnom familial ça la foutait un peu mal x)
    Merci !

  3. Bonjour,

    merci pour cet article, j’ai pu corriger cette faille de sécurité sur l’un de mes sites.

    Je ne comprenais pas comment les pirates avaient deviné mon identifiant de connexion, problème réglé !

  4. Intéressant, je ne connaissais pas cette extension, ni cette faille.

    Il y a trois autres mesures de sécurité que je recommande pour la page de connexion :
    – changer l’url de la page
    – limiter le nombre de connexions par IP (3 suffisent amplement)
    – supprimer les messages d’erreur lors de la connexion (pour ne pas faciliter la tâche du hacker, il ne sait pas ainsi si c’est l’identifiant ou le mot de passe qui n’est pas valide)

    La plupart des extensions gérant la sécurité incluent ces modes de prévention, je ne sais pas pour Wordfence vu que je ne l’ai jamais utilisé.

  5. Oh merci merci pour ton article, j’en n’avais pas fait attention que mon identifiant apparaissait de partout ! C’est fou quand même, niveau sécurité c’est grave moyen, je m’étais décortiqué le cerveau pour en trouver un compliqué pour éviter les piratages et je vois qu’il était juste affiché partout !! J’ai tout fait comme indiqué et ça marche. Tu as tout bien expliqué, ca a été facile et rapide. Encore mille mercis

  6. bonjour, merci pour cet article, cependant j ai cette phrase qui est tous en bas de mon tableau de bord qui s’affichePermissions supplémentaires
    Permissions Refusé : ai1wm_gdrive_admin que veux dire.? es ce que ta méthode a marhé ou pas?