Mise à jour : Julio de BoiteAWeb m’a proposé une version modifié pour améliorer la sécurité du script. La voici et merci à lui !

<?php
/*
* Plugin Name: Password Reset Removed
* Description: Removes the ability for non admin users to change/reset their passwords.
* Version: 1.1
* Author: Derek Herman ; Modified by Juliobox (boiteaweb.fr)
* Author URI: http://valendesigns.com
*/
add_filter( 'show_password_fields', 'baw_prr_i_am_admin' );
add_filter( 'allow_password_reset', 'baw_prr_i_am_admin' );
add_filter( 'gettext', 'baw_prr_remove_me' );

function baw_prr_i_am_admin()
{
 return is_admin() && current_user_can('administrator');
}
function baw_prr_remove_me($text)
{
 return str_replace( array('Lost your password?', 'Lost your password'), '', trim($text, '?') );
}

function baw_prr_no_password_change( $dummy1, $dummy2, $user )
{
 if( !baw_prr_i_am_admin() )
 unset( $user->user_pass );
}
add_action( 'user_profile_update_errors', 'baw_prr_no_password_change', 10, 3 );
?>

Proposé par Derek Herman, ce script PHP empêchera les utilisateurs non administrateurs de réinitialiser leur mot de passe.

Le voici dans son intégralité :

<?php
/*
* Plugin Name: Password Reset Removed
* Description: Removes the ability for non admin users to change/reset their passwords.
* Version: 1.0
* Author: Derek Herman
* Author URI: http://valendesigns.com
*/
class Password_Reset_Removed
{

function __construct()
{
add_filter( 'show_password_fields', array( $this, 'disable' ) );
add_filter( 'allow_password_reset', array( $this, 'disable' ) );
add_filter( 'gettext', array( $this, 'remove' ) );
}

function disable()
{
if ( is_admin() ) {
$userdata = wp_get_current_user();
$user = new WP_User($userdata->ID);
if ( !empty( $user->roles ) && is_array( $user->roles ) && $user->roles[0] == 'administrator' )
return true;
}
return false;
}

function remove($text)
{
return str_replace( array('Lost your password?', 'Lost your password'), '', trim($text, '?') );
}
}

$pass_reset_removed = new Password_Reset_Removed();
?>

Pour l’installer sur votre WordPress, connectez-vous sur votre serveur FTP à l’aide de votre client favori – FileZilla, Tansmit, etc. Créez un nouveau dossier que vous nommerez mu-plugins dans le répertoire /wp-content/

Ce dossier présente une particularité propre à WordPress : tous les plugins présents à l’intérieur seront activés d’office – d’où le nom de must-use pour mu.

Envoyez le script PHP que vous aurez préalablement télécharger ou copier dans un nouveau fichier que vous nommerez par exemple lost-password.php.

Vous pouvez également télécharger directement le script à partir du lien suivant :

Cette technique a été mise en place sur WordPress Channel afin d’améliorer le niveau de sécurité général. N’oubliez pas d’user d’un mot de passe solide et de le changer régulièrement.

Crédits photo : Groume

#1 – Réinitialisation du mot de passe WordPress via phpMyAdmin

Connectez-vous dans un premier temps à phpMyAdmin via le lien fourni par votre hébergeur (panneau de contrôle cPanel, Plesk ou autre).

Passez en mode structure puis modifier la table wp_users.

Localisez le compte dont vous souhaitez changer le mot de passe à l’aide de la colonne user_login. Faites Modifier.

Modification de wp_users

Notez qu’il vous sera impossible de connaître le mot de passe actuellement en place.

A la ligne user_pass, inscrivez votre nouveau de mot de passe puis sélectionnez MD5 dans la liste déroulante.

Mot de passe WordPress crypté

Validez en cliquant sur Exécuter.

Connectez-vous au back office de WordPress à l’aide du nouveau mot de passe.

#2 – Réinitialiser votre mot de passe WordPress via FTP

Il existe une commande PHP permettant de remettre à zéro un mot de passe WordPress à condition de connaître l’identifiant…. et son ID.

L’administrateur du site est toujours le premier compte ce qui facilite grandement les choses – avec un compte admin vous pourrez modifier n’importe quel autre compte utilisateur.

Ouvrez le fichier functions.php présent dans le dossier du thème sous /wp-content/themes/NOM_DU_THEME/ en effectuant une sauvegarde au préalable.

Placez ensuite les lignes de code suivantes en début de fichier :

<?php
$user_id = 1;
$password = 'nouveaumdp';
wp_set_password( $password, $user_id );
?>

Sauvegardez le fichier puis ouvrez la page de connexion. Avant de valider supprimez immédiatement ces lignes de code sans quoi le mot de passe sera réinitialisé à chaque chargement de page et donc à la connexion proprement dite.

Si vous oubliez de les retirer vous resterez bloqué sur la page de connexion tout simplement.

#3 – Réinitialiser votre mot de passe via un script PHP

Comme indiqué par l’auteur de ce script PHP, utilisez cette méthode à vos risques et périls !

Personnellement, je l’ai testé en local sur la version 3.3.1 de WordPress et… elle fonctionne parfaitement donc là voici en détails.

A l’aide de votre éditeur de texte favori, créer un fichier que vous nommerez emergency.php puis collez-y les lignes suivantes :

<?php
/*
	This program is free software; you can redistribute it and/or modify
    	it under the terms of the GNU General Public License as published by
    	the Free Software Foundation; either version 2 of the License, or
    	(at your option) any later version.

	This program is distributed in the hope that it will be useful,
    	but WITHOUT ANY WARRANTY; without even the implied warranty of
    	MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
    	GNU General Public License for more details.

	You should have received a copy of the GNU General Public License
    	along with this program; if not, write to the Free Software
    	Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA
*/

require('./wp-blog-header.php');

function meh() {
global $wpdb;

		if (isset($_POST['update']))
		{
			$user_login = ( empty( $_POST['e-name'] ) ? '' : sanitize_user( $_POST['e-name'] ) );
			$user_pass  = ( empty( $_POST[ 'e-pass' ] ) ? '' : $_POST['e-pass'] );
			$answer = ( empty( $user_login ) ? '<div id="message"><p><strong>The user name field is empty.</strong></p></div>' : '' );
			$answer .= ( empty( $user_pass ) ? '<div id="message"><p><strong>The password field is empty.</strong></p></div>' : '' );
			if ( $user_login != $wpdb->get_var("SELECT user_login FROM $wpdb->users WHERE ID = '1' LIMIT 1") )
			{
				$answer .="<div id='message' class='updated fade'><p><strong>That is not the correct administrator username.</strong></p></div>";
			}
			if( empty( $answer ) )
			{
				$wpdb->query("UPDATE $wpdb->users SET user_pass = MD5('$user_pass'), user_activation_key = '' WHERE user_login = '$user_login'");
				$plaintext_pass = $user_pass;
				$message = __('Someone, hopefully you, has reset the Administrator password for your WordPress blog. Details follow:'). "\r\n";
				$message  .= sprintf(__('Username: %s'), $user_login) . "\r\n";
				$message .= sprintf(__('Password: %s'), $plaintext_pass) . "\r\n";
				@wp_mail(get_option('admin_email'), sprintf(__('[%s] Your WordPress administrator password has been changed!'), get_option('blogname')), $message);
$answer="<div id='message' class='updated fade'><p><strong>Your password has been successfully changed</strong></p><p><strong>An e-mail with this information has been dispatched to the WordPress blog administrator</strong></p><p><strong>You should now delete this file off your server. DO NOT LEAVE IT UP FOR SOMEONE ELSE TO FIND!</strong></p></div>";
			}
		}

		return ( empty( $answer ) ? false : $answer );
	}

$answer = meh();
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>WordPress Emergency PassWord Reset</title>
<meta http-equiv="Content-Type" content="<?php bloginfo('html_type'); ?>; charset=<?php bloginfo('charset'); ?>" />
	<link rel="stylesheet" href="<?php bloginfo('wpurl'); ?>/wp-admin/wp-admin.css?version=<?php bloginfo('version'); ?>" type="text/css" />
</head>
<body>
<div>
  	<form method="post" action="">
<h2>WordPress Emergency PassWord Reset</h2>
<p><strong>Your use of this script is at your sole risk. All code is provided "as -is", without any warranty, whether express or implied, of its accuracy, completeness. Further, I shall not be liable for any damages you may sustain by using this script, whether direct, indirect, special, incidental or consequential.</strong></p>
<p>This script is intended to be used as <strong>a last resort</strong> by WordPress administrators that are unable to access the database.
Usage of this script requires that you know the Administrator's user name for the WordPress install. (For most installs, that is going to be "admin" without the quotes.)</p>
<?php
echo $answer;
?>
<p><input type="submit" name="update" value="Update Options" /></p>

<fieldset>
<legend>WordPress Administrator</legend>
<label><?php _e('Enter Username:') ?><br />
		<input type="text" name="e-name" id="e-name" value="<?php echo attribute_escape(stripslashes($_POST['e-name'])); ?>" size="20" tabindex="10" /></label>
</fieldset>
<fieldset>
<legend>Password</legend>
<label><?php _e('Enter New Password:') ?><br />
		<input type="text" name="e-pass" id="e-pass" value="<?php echo attribute_escape(stripslashes($_POST['e-pass'])); ?>" size="25" tabindex="20" /></label>
</fieldset>

	<p><input type="submit" name="update" value="Update Options" /></p>
  	</form>
	</div></body></html>

<pre>

Envoyez ce fichier à la racine de votre serveur – au même niveau que le célèbre fichier wp-config.php.

Ouvrez votre navigateur Internet puis lancez le script en indiquant http://monsite.com/emergency.php comme URL – prenez soin de remplacer le domaine par le votre.

Changez le mot de passe à l’aide du formulaire en spécifiant dans un premier temps l’identifiant administrateur.

En cas d'urgence, appelez le script PHP !

Indiquez le nouveau mot de passe puis faites Update Options.

Supprimez immédiatement le script emergency.php présent sur votre serveur. Notez que vous recevrez le nouveau de mot de passe sur la boite mail du compte administrateur – ce qui peut poser un risque de sécurité si votre compte a été piraté.

Si vous le préférez, le fichier PHP est disponible en téléchargement direct :

Avec les 3 techniques de remise à zéro de mot de passe WordPress évoquées ici, vous devriez être en mesure de faire face à toutes les situations. Vous connaissez d’autres méthodes alternatives de réinitialisation ? Partagez-les !

#1 – Sauvegarder intégralement et régulièrement votre site WordPress

Avant toute intervention, faites une sauvegarde régulière de votre site WordPress. Vous devez sauvegarder les éléments suivants :

• Votre base de données MySQL ;
• Votre compte FTP ;

Il se peut que votre hébergeur dispose d’un système de sauvegarde intégrale directement accessible via cPanel par exemple. Profitez-en pour obtenir un ZIP complet de votre site !

La plateforme d'administration de votre hébergeur peut disposer d'un outil de sauvegarde

Vous pouvez également avoir recours au système de sauvegarde dans le cloud proposé par Automattic – l’organisation en charge de WordPress, qui s’intitule VaultPress. Il permet de télécharger une sauvegarde intégrale ou partielle (plugins, thèmes, MySQL) à intervalles réguliers (plusieurs sauvegardes quotidiennes).

N’oubliez pas de mettre en place un système de sauvegarde automatique de votre base de données MySQL.

#2 – Tenez votre site WordPress à jour

85% des sites WordPress qui se font hackés sont des sites qui n’ont pas fait de mise à jour depuis plusieurs mois voire plusieurs années.

Chaque mise à jour du cœur de WordPress apporte des correctifs de sécurité. Il en va de même pour vos plugins !

Notez que WordPress bénéficie d’un système de mise à jour – et de réinstallation, entièrement automatisé. Il arrive qu’on me reporte régulièrement que cette fonctionnalité pose problème : la solution consiste à changer d’hébergeur. Je vous recommande celui que j’utilise depuis plusieurs années : Mavenhosting.

Je vous invite à visionner notre podcast pour savoir comment Effectuer une mise à jour de WordPress.

#3 – Utiliser des mots de passe sécurisés

Un compte administrateur disposant de privilèges élevés – que ce soit sur votre site WordPress ou votre ordinateur personnel, doit disposer d’un mot de passe d’au moins 8 caractères incluant :

1. Des chiffres ;
2. Des symboles spéciaux ;

Cela vous évitera de subir des attaques de hackers consistant à tester les mots du dictionnaire.

Évitez toute donnée faisant référence à votre vie personnelle comme une date de naissance, un numéro de département. De nos jours, la vie privée est très mal protégée sur Internet.

Bien entendu, utilisez des mots de passe uniques pour vos différents comptes. Un mot de passe pour les gouverner tous… et l’on voit comment ça finit (cf. Le Seigneur des Anneaux de Tolkien) !

#4 – Changer le préfixe de votre base de données

Lorsque vous procédez à l’installation de WordPress, le préfixe attribué à votre base MySQL est wp_

Si vous n’avez pas prêté attention à ce paramètre, il n’est pas trop tard. Pour ce faire, utilisez le plugin WP Security Scan.

#5 – Bloquer la navigation de vos dossiers WordPress

Par défaut, n’importe qui peut accéder au contenu de vos dossiers par défaut – comme /wp-content, via un simple navigateur.

Suivez ce podcast vidéo pour apprendre comment bloquer l’accès aux répertoires de votre installation de WordPress.

#6 – Supprimer le compte ‘admin’ par défaut

Par défaut, WordPress vous propose de créer un compte intitulé admin lors de l’installation. Si vous ne pensez pas à changer cet identifiant commun, un hacker n’aura plus qu’à trouver votre mot de passe.

Limitez les risques en visionnant ce podcast vidéo pour savoir comment supprimer le compte administrateur de WordPress.

#7 – Ajouter des clés de sécurité secrètes dans le fichier wp-config.php

Vérifiez que votre fichier de configuration wp-config.php – un fichier stratégique situé à la racine de votre installation WordPress contenant vos données de connexion à la base de données MySQL, contient bel et bien des clés de sécurité générées aléatoirement.

Pour en savoir plus, je vous recommande vivement de lire ce tutoriel vidéo pour configurer ces clés de sécurité.

#8 – Masquer la version de WordPress

Si vous affichez le code source de votre site WordPress, vous remarquerez la présence d’une balise meta indiquant la version de votre WordPress.

<meta name="generator" content="WordPress 3.0.5" />

Le problème réside dans le fait qu’un hacker pourra identifier facilement les failles relatives à la version que vous utilisez – d’où le conseil de mettre à jour votre installation WordPress.

Suivez le tutoriel intitulé Masquer le numéro de version de WordPress.

#9 – Protéger l’accès au wp-config.php via .htaccess

Ouvrez le fichier .htaccess situé à la racine de votre serveur FTP puis rajoutez la ligne suivante. Elle empêchera un hacker de récupérer votre identifiant et mot de passe en cas de problèmes avec PHP sur le serveur.

<FilesMatch ^wp-config.php$>
 deny from all
 </FilesMatch>

#10 – Bloquer les attaques de type « brute force »

Par défaut, il est possible de tester autant de couples identifiant / mot de passe que souhaitez pour se connecter à votre administration WordPress.

Installez donc le plugin Login LockDown pour restreindre le nombre de tentatives autorisées pour un certain laps de temps.

#11 – Utiliser un scanner de failles de sécurité

Le plugin WP Security Scan dispose d’outils très pratique pour identifier vos failles de sécurité. Il vous indiquera notamment le CHMOD de vos répertoires et le CHMOD conseillé. Si tout est vert, vos données sont en sécurité. Un point rouge, il vous faut intervenir avec un client FTP.

Ce plugin vous permet également de changer le préfixe de votre base de données WordPress et de générer des mots de passe costauds.

Un second plugin très complet est également disponible. Il s’agit de Better WP Security que vous pouvez télécharger ci-dessous :

N.B : toutefois, je vous mets en garde sur certaines actions qui pourraient causer des dommages sur votre site. Le fait de pouvoir modifier en quelques clics des paramètres sensibles peut constituer un risque pour les utilisateurs non initiés. Notez bien que ce plugin est aussi en version bêta. Les testeurs pourront donc s’amuser sur des installations de tests !

#12 – Masquer les erreurs de connexion

Lors du processus de connexion, WordPress affichera des messages d’erreurs explicites suite à une saisie. Il convient donc de masquer ces erreurs en intervenant dans le fichier functions.php de votre thème WordPress.

Il suffit ensuite de rajouter la ligne de code suivante :

add_filter('login_errors',create_function('$a', "return null;"));

Notez que cette sécurité est propre au thème utilisé et qu’il convient donc de la réitérer en cas de changement.

Une astuce tirée de l’excellent site WpRecipes.

#13 – Désactiver Windows Live Writer

Windows Live Writer est un logiciel Microsoft permettant de bloguer depuis une application de bureau. Or, pour des raisons de compatibilité, WordPress ajoute une ligne de code supplémentaire dans le header de votre blog. Inutile et source d’insécurité !

Consultez le tutoriel Désactiver Windows Live Writer sous WordPress.

#14 – Vérifiez la sécurité de votre hébergeur

Terminons par une astuce de sécurité d’ordre plus générale. Il est important que votre hébergeur vous propose des versions relativement récentes – on ne peut pas être à jour en permanence, de Apache, MySQL (base de données) et PHP.

Renseignez-vous auprès de votre hébergeur ou utilisez un fichier PHP pour obtenir ces informations cruciales.

Je vous recommande l’hébergeur Mavenhosting qui fait tourner WordPress Channel sans soucis depuis sa création !

#15 – Supprimer le fichier readme.html

Une nouvelle astuce communiquée dans ce commentaire. Il est important de supprimer le fichier readme.html situé à la racine de votre WordPress car il affiche le numéro de version de WordPress.

14 astuces de sécurité pour WordPress est un bon début pour commencer ! En effet, il est possible d’aller bien plus loin pour améliorer le niveau de sécurité de votre site. Libre à vous de me proposer vos trouvailles et autres hacks via les commentaires !

Crédits photo : alexpgp

Rajoutez ensuite cette ligne de code :

<?php remove_action('wp_head', 'wp_generator'); ?>

Retournez à présent sur votre site WordPress puis faites un clic droit Code source de la page dans Firefox ou tout autre navigateur.

Utilisez le raccourci clavier Ctrl + F sous Windows ou Cmd + F sous MacOS X, pour rechercher le mot-clé generator.

Si la présence d’une ligne de code ressemblant à <meta name="generator" content="WordPress 3.0.5" /> persiste, ouvrez donc le fichier header.php de votre thème.

Supprimez la ligne de code suivante :

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” />

Sauvegardez le fichier puis actualisez votre site.

Le numéro de version ne devrait plus apparaître dans votre code source. Les hackers ne pourront plus disposer de cette information utile pour détecter les failles potentielles de votre installation WordPress.

Crédits photo : Jon McGovern

N.B : notez que cette astuce fonctionne pour n’importe quel serveur Apache et que le choix du CMS – WordPress en l’occurrence, n’a aucun rapport.

Cette astuce va nous permettre d’interdire le listage d’un répertoire et donc de son contenu présent sur votre serveur FTP.

Notons toutefois que certains dossiers sensibles comme /wp-content/themes et /wp-content/plugins ne sont pas accessible via l’URL car ils contiennent un fichier index.html. Un fichier par défaut que lit en premier le navigateur.

Le principal inconvénient de cette méthode est qu’il nous faut ajouter un tel fichier dans chaque nouveau dossier : une opération fastidieuse que nous allons contourner en ajoutant une ligne de code dans le fichier .htaccess.

A l’aide d’un client FTP comme FileZilla, Cyberduck ou Transmit, connectez-vous à la racine de votre installation de WordPress.

Éditez ensuite le fichier .htaccess qui est un fichier caché. Utilisez donc les fonctions de votre client FTP pour afficher le contenu masqué.

En fin de fichier, rajoutez la ligne de code suivante :

Options All -Indexes

Sauvegardez le tout puis testez le bon fonctionnement de l’opération dans un navigateur.

Vos répertoires ne sont désormais plus accessibles en lecture et leur contenu est donc protégé de tout téléchargement. Le visiteur obtient donc une erreur 404 lui informant qu’aucune page de ce type n’existe. Votre sécurité s’en trouve renforcée !

Crédits photo : Jeremy Cherfas

Ces clés secrètes auront pour effet de crypter les cookies utilisateur  et de renforcer ainsi le niveau de sécurité de votre mot de passe.

Voici la définition officielle fournie par le codex WordPress :

In simple terms, a secret key is a password with elements that make it harder to generate enough options to break through your security barriers. A password like « password » or « test » is simple and easily broken. A random, unpredictable password such as « 88a7da62429ba6ad3cb3c76a09641fc » takes years to come up with the right combination.

En français :

En termes simples, une clé secrète est un mot de passe avec des éléments qui le rendent plus dur pour traverser vos barrières de sécurité. Un mot de passe comme « mot de passe » ou le « essai » est simple et facile à casser. Un combinaison imprévisible tel « 88a7da62429ba6ad3cb3c76a09641fc » que prend plusieurs années pour le cracker.

Ces fameuses clés secrètes peuvent générées aléatoirement à partir de cette URL : http://api.wordpress.org/secret-key/1.1/

Il n’est absolument pas nécessaire de les retenir. Copiez-les simplement dans le fichier wp-config.php présent à la racine de votre serveur FTP – par défaut, en recherchant les lignes de code suivante :

Vous l’aurez compris, il s’agit là d’un point crucial en termes de sécurité lequel est malheureusement très peu connu des blogueurs sous WordPress.

Pour des compléments d’informations en termes de sécurité sous WordPress, je vous recommande la lecture de l’article Sécuriser votre blog WordPress avec WP Security Scan sur Protuts.

Cette astuce est un élément de sécurité à ne pas négliger et je vous recommande fortement de la mettre en œuvre.

Crédits photo : EletronicFrontierFoundation

Le message d’erreur que j’ai obtenu fut le suivant :

Error 406, Not Acceptable. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server.

Pour empêcher qu’un tel problème ne survienne à nouveau, il suffit d’éditer le fichier .htaccess situé à la racine de votre serveur.

Ouvrez donc votre client FTP favori – par exemple, FileZilla, puis modifiez le fichier en question en rajoutant les lignes suivantes :

<IfModule mod_security.c>
<Files post.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>

Si la ligne :

<IfModule mod_security.c>

est déjà présente dans votre .htaccess, placez le contenu des balises :

<Files>?</Files>

à l’intérieur de ce bloc.

Sauvegardez le fichier puis écrasez l’ancien par le nouveau. Retournez dans l’édition de votre article WordPress, le bug a disparu !

Cette erreur très gênante appartient désormais au passé !

Crédits photo : Syl2m