Ce didacticiel vidéo détaille une méthode simple pour supprimer le compte Administrateur créé par défaut lors de l’installation de WordPress. Les articles attribués à l’utilisateur « admin » seront automatiquement transférés vers le nouveau compte, plus sécurisé.
Pour des compléments d’informations en termes de sécurité sous WordPress, je vous recommande la lecture de l’article Sécuriser votre blog WordPress avec WP Security Scan sur Protuts.
Cette astuce est un élément de sécurité à ne pas négliger et je vous recommande fortement de la mettre en œuvre.
Crédits photo : EletronicFrontierFoundation
Podcast: Télécharger (18.3MB)
Excellent podcast.
Une petite suggestion de podcast au passage : les MAJ WordPress. Perso j’ai toujours galéré donc je les faisait jamais.
Juste une petite question : mon nom d’utilisateur est le même que celui qui signe les articles non ? Si c’est le cas je ne vois pas trop d’interet au niveau sécurité, mais j’espère que je me trompe !
@Kev : merci !
Pour un prochain tuto sur les mises à jour, c’est noté.
@Mickael : il te suffit de changer ton pseudonyme dans ton profil utilisateur dans ce cas.
Bonjour,
Question : ce changement est-il vraiment utile lors qu’on laisse le mot de passe généré par WordPress contenant 12 caractères et mélangeant minuscules. majuscules, chiffres et caractères spéciaux?
Sinon petite précision comme l’a dit Mickaël, bien vérifier ensuite que l’auteur affiché sur le frontend est bien différent du login sinon la manipulation est inutile!
@Tafou : il est utile dans la mesure où cela complique toujours un peu plus la tâche d’un éventuel hacker qui devra ET trouver l’identifiant ET le mot de passe. Sinon, le mot de passe par défaut est très bien en effet.
Ai-je répondu à ta question ?
Tout à fait. Merci.
Personnellement, j’utilise une méthode tout aussi rapide et à mon avis plus efficace :
- Se connecter à sa base de données sous PhpMyAdmin
- Afficher la table wp_users
- Modifier la valeur « admin » de la ligne user_login pour y mettre le nouveau nom (« WordPress » dans cet exemple).
En faisant ça j’apparais toujours sous le pseudo « admin » avec le même mot de passe et je ne risque pas de perdre d’articles ou de pages ou autres mais pour me connecter je dois utiliser l’identifiant « WordPress », ce qui complique la vie des hackers.
En fait la seule chose qui change pour moi c’est pour me logger mais sinon il s’agit du même compte.
Bien évidemment il est conseillé de choisir un login un peu plus compliqué que « WordPress »
-
@Tafou : parfait !
@Doc : oui, c’est exactement le même principe via l’intervention dans la base de données. Cette seconde méthode n’est pas forcément très recommandée pour débuter par contre, car tout le monde n’a pas un accès facile à PHPMyAdmin et une erreur de clic dans la base est vite arrivée.
Sinon, c’est vrai que cette deuxième solution est tout aussi rapide, si ce n’est plus.
L’intérêt principal c’est surtout d’avoir un nom de login différent du nom de compte.
Ex : Je me loggue avec « WordPress » mais j’apparais sous « Admin », ce qui complique la vie des hackers sans rien changer pour les visiteurs.
A coupler avec un plugin pour masquer les erreurs d’identification pour une efficacité maximum.
Hello,
J’ai bien fait l’opération comme expliqué et cela s’est bien déroulé.
Par contre mes commentaires n’affichent plus mon gravatar perso.
Y-aurait-il une solution ?
Merci d’avance.
@guymauve : vérifies que l’adresse e-mail est bien celle associée au gravatar. La création d’un nouveau compte passe obligatoirement par une autre adresse e-mail, il te faut donc remettre celle qui convient.
Top comme d’hab. J’avais déjà essayé de détruire le compte admin mais en y restant connecté. Rire. COmme quoi c’est pas obligatoirement compliqué.
Bonne continuation
Bonjour et bravo pour votre travail de qualité !
Juste en passant : j’avais effectué cette astuce il y a quelque temps, mais mes anciens commentaires n’ont jamais ré-affichés mon avatar, même une fois l’e-mail mise à jour dans le profil.
Par contre pas de problèmes pour les commentaires laissés après.
Hello,
je confirme,Gaétan, jamais réussi à le faire non plus.
Bonjour et merci pour les infos. Je me suis toujours posé la question. Mais puisque le CMS WordPress prend des allures d’usine à Gaz parfois, ne pensez-vous pas que modifier le préfixe de de table _wp rendra votre site incompatible avec certains plugins ?
Aucun risque selon moi !
J’ai le pligin _wp scan sur mon blog mais je ne l’utilise pas encore 1% de ses possibilités. Mais pensez-vous que cela change grand chose au niveau sécurité comparé à « protéger l’accès au wp-config.php via .htaccess » ?