Supprimer le compte Administrateur de WordPress

Ce didacticiel vidéo détaille une méthode simple pour supprimer le compte Administrateur créé par défaut lors de l’installation de WordPress. Les articles attribués à l’utilisateur « admin » seront automatiquement transférés vers le nouveau compte, plus sécurisé.

Pour des compléments d’informations en termes de sécurité sous WordPress, je vous recommande la lecture de l’article Sécuriser votre blog WordPress avec WP Security Scan sur Protuts.

Cette astuce est un élément de sécurité à ne pas négliger et je vous recommande fortement de la mettre en œuvre.

Crédits photo : EletronicFrontierFoundation

43 commentaires

  1. Mickaël

    Juste une petite question : mon nom d’utilisateur est le même que celui qui signe les articles non ? Si c’est le cas je ne vois pas trop d’interet au niveau sécurité, mais j’espère que je me trompe !

  2. Tafou

    Bonjour,

    Question : ce changement est-il vraiment utile lors qu’on laisse le mot de passe généré par WordPress contenant 12 caractères et mélangeant minuscules. majuscules, chiffres et caractères spéciaux?

    Sinon petite précision comme l’a dit Mickaël, bien vérifier ensuite que l’auteur affiché sur le frontend est bien différent du login sinon la manipulation est inutile!

    1. Aurélien Denis

      @Tafou : il est utile dans la mesure où cela complique toujours un peu plus la tâche d’un éventuel hacker qui devra ET trouver l’identifiant ET le mot de passe. Sinon, le mot de passe par défaut est très bien en effet.

      Ai-je répondu à ta question ?

  3. Doc

    Personnellement, j’utilise une méthode tout aussi rapide et à mon avis plus efficace :
    – Se connecter à sa base de données sous PhpMyAdmin
    – Afficher la table wp_users
    – Modifier la valeur « admin » de la ligne user_login pour y mettre le nouveau nom (« WordPress » dans cet exemple).

    En faisant ça j’apparais toujours sous le pseudo « admin » avec le même mot de passe et je ne risque pas de perdre d’articles ou de pages ou autres mais pour me connecter je dois utiliser l’identifiant « WordPress », ce qui complique la vie des hackers.
    En fait la seule chose qui change pour moi c’est pour me logger mais sinon il s’agit du même compte.
    Bien évidemment il est conseillé de choisir un login un peu plus compliqué que « WordPress »

  4. Aurélien Denis

    @Tafou : parfait !

    @Doc : oui, c’est exactement le même principe via l’intervention dans la base de données. Cette seconde méthode n’est pas forcément très recommandée pour débuter par contre, car tout le monde n’a pas un accès facile à PHPMyAdmin et une erreur de clic dans la base est vite arrivée.

    Sinon, c’est vrai que cette deuxième solution est tout aussi rapide, si ce n’est plus.

  5. Doc

    L’intérêt principal c’est surtout d’avoir un nom de login différent du nom de compte.
    Ex : Je me loggue avec « WordPress » mais j’apparais sous « Admin », ce qui complique la vie des hackers sans rien changer pour les visiteurs.
    A coupler avec un plugin pour masquer les erreurs d’identification pour une efficacité maximum.

  6. guymauve

    Hello,

    J’ai bien fait l’opération comme expliqué et cela s’est bien déroulé.

    Par contre mes commentaires n’affichent plus mon gravatar perso.

    Y-aurait-il une solution ?

    Merci d’avance.

  7. Gaëtan

    Bonjour et bravo pour votre travail de qualité !

    Juste en passant : j’avais effectué cette astuce il y a quelque temps, mais mes anciens commentaires n’ont jamais ré-affichés mon avatar, même une fois l’e-mail mise à jour dans le profil.

    Par contre pas de problèmes pour les commentaires laissés après.

  8. Blog E-commerce

    Bonjour et merci pour les infos. Je me suis toujours posé la question. Mais puisque le CMS WordPress prend des allures d’usine à Gaz parfois, ne pensez-vous pas que modifier le préfixe de de table _wp rendra votre site incompatible avec certains plugins ?

  9. Blog E-commerce

    J’ai le pligin _wp scan sur mon blog mais je ne l’utilise pas encore 1% de ses possibilités. Mais pensez-vous que cela change grand chose au niveau sécurité comparé à « protéger l’accès au wp-config.php via .htaccess » ?

  10. So-Trendy fr

    Merci pour ces informations. J’ai fait d’une autre façon car là il manque une 301 si les pages utilisateurs sont indexées.

    Pour ma part j’ai modifié l’user_login de la table via la BDD. J’ai l’user_nicename et le display_name qui reste les mêmes donc les noms affichés sur mon site sont différents du login utilisé pour se connecter.

  11. PureNrgy

    Bonjour Aurélien,
    J’ai suivi ton procédé il y a quelques temps et tout s’est bien passé, merci!
    Toutefois je crois que j’ai aussi mis mon nouveau nom d’utilisateur sur la page « votre profil » (sous « utilisateurs ») là où l’identifiant était indiqué et où on peut indiquer son pseudo, son nom, etc. je vois maintenant qu’il est indiqué à côté de ce champ identifiant « Les identifiants ne peuvent être modifiés. » et vu que j’ai depuis régulièrement des bugs (des errors 403 et 404 quand je prévisualise un nouvel article par ex, des messages comme quoi je n’ai pas accès, etc) je me dis que là j’aurais probablement dû laisser « admin » non?
    merci si tu peux m’éclairer

    1. Aurélien Denis auteur de l’article

      Un identifiant ne peut pas être supprimé par défaut car cela impacte la base de données (sauf si on s’y connait pour intervenir dans phpMyAdmin). La méthode décrite ici est toujours fonctionnelle. Essaie de mettre à jour tes permaliens pour voir si tes bugs persistent et vérifies que tes contenus sont bien associés à ton compte utilisateur (nouvel administrateur).

      Et non, surtout pas garder « admin ».

      1. PureNrgy

        J’ai suivi à la lettre ton tuto et tout s’était bien passé Mon identifiant pour le login a été modifié ainsi que le nom d’auteur pour les articles.
        Ce que j’aimerais savoir c’est si sur la page « votre profil » (sous « utilisateurs ») là où l’identifiant était avant indiqué « admin », c’est donc logique qu’après avoir suivi la procédure de ton tuto, que le nouveau pseudo ait pris la place de admin dans le champ: identifiant. (OU bien est-ce que là ça resterait toujours le 1er identifiant choisi (soit « admin » si c’était admin lors de l’installation)

        Merci Aurélien

  12. franckwylliams

    Bonjour
    cela ressemble à du déterrage de topic, mais cela ne servira a rien en effet si on ne modifie pas le pseudo (dommage que ce ne soit pas dans la vidéo ! car beaucoup ne le feront pas ) Un tuto complémentaire est dispo dans ma signature.
    Amicalement

  13. huba

    Le problème c’est que l’identifiant reste accessible en affichant le code source de la page, avez vous une solution contre ça ?,
    j’ai essayé le plugin User Name Security mais l’identifiant s’affiche toujours dans le code de la page source.

  14. Damien

    Salut Aurélien à tous, j’aurais aimé voir cette vidéo avant de créer un nouvel admin…j’ai fait l’erreur de cliquer précipitamment en ommettant d’attribuer l’ancien contenu au nouvel admin… donc voila la boulette : mes pages ne sont plus visibles dans le back office, bien que visibles en lignes, ma rubrique Media est vide bien que les images soient toujours dans le http://FTP.. bon je vous cache pas que je suis désespéré et que j’ai passé la journée à essayer de trouver une solution.. Si vous savez comment je peux récupérer l’ancien contenu, vous me sauveriez… c’est une bouteille à la mer !!! HEeeeeelp T__T
    d’avance merci

  15. Senecuisine

    Bonjour Aurélien et bonjour à tous,
    J’avais initialement activé wp multisite. Ensuite je suis allée sur le site principal pour faire cette manip en créant un nouvel utilisateur avec les droits d’administration puis en supprimant admin après avoir transféré les articles sur le nouvel utilisateur.
    Par contre, j’ai par la suite désactivé mon WP Multisite (en enlevant les lignes concernées sur le fichier wp-config.php). Je pensais que j’en aurai pas besoin mais finalement si. Du coup j’ai refait l’installation.
    Et là je n’ai plus les droits de super admin! Je ne peux plus installer, activer des extensions. Je ne vois même plus de rubrique Extensions.
    Le nouvel utilisateur n’a apparemment accès qu’au site principal et pas au réseau.
    (ce qui paraît logique car j’étais sur le site principal quand je faisais la manip, et non sur le réseau).

    J’ai donc essayé de faire un retour arrière en faisant une restauration via OVH. Je retrouve donc mes fichiers wp-config.php et htaccess initiaux (donc avec WP Multisite). Par contre, je ne retrouve plus l’utilisateur admin initial. Apparememnt la restauration n’aurait pas changé les utilisateurs.

    Est-ce que quelqu’un saurait comment faire pour donner à ce nouvel utilisateur tous les droits?

    Je vous remercie infiniment.

  16. Michel

    Bonjour
    La manip a l’air très simple.
    Sur mon site, pas moyen d’y parvenir : Aucun problème pour créer le nouvel administrateur. Par contre impossible de se connecter avec la nouvelle identité. J’ai créé successivement plusieurs administrateurs pour vérifier qu’il n’y a pas de faute de frappe. Rien à faire.
    Michel

  17. Michel Estève

    Bonjour

    Même remarque que Michel : La manip est très simple mais quand je veux me connecter avec le nouveau compte, un message aparait « Vous n’avez pas les droits suffisants pour accéder à cette page ». Il ne s’agit pas d’une erreur de saisie, j’ai fait l’essai plusieurs fois. Je vais abandonner cette piste. J’ai « durci » le mot de passe, j’ai installé l’extension gratuite Wordfence qui entre autres fonctionnalités limite le nombre de tentatives de connexion. Le sujet est sérieux : sur mes deux sites WordPress, http://www.polychromes.eu a été carrément détruit par un hacker et http://www.methodo-projet.fr subit des attaques depuis plusieurs jours. Bravo Aurélien pour tes tutoriels qui m’ont grandement aidé à construire ces deux sites.

      1. Michel Estève

        Même phénomène sur Firefox et Google. Mais je viens de constater que malgré le message « Vous n’avez pas les droits suffisants pour accéder à cette page », si je fait « reculer d’une page » je suis malgré tout connecté avec la nouvelle identité. J’utilise WordPress 4.0.
        Bon, tout ceci n’est pas grave, je continue avec « admin », un mot de passe durci et Wordfence. Merci encore.

  18. vivian

    Salut Aurélien,
    J’ai supprimé un des utilisateurs et je voudrais le réintégrer. Mais impossible de le retrouver! Comment puis-je faire pour le retrouver?

  19. Catherine Garnier

    Bonjour, je souhaitais changer mon identifiant Admin surtout pour que l’expéditeur de mes newsletters ne soient plus signées Admin suivi de lettres et numéro… Mais ça ne change rien, j’ai supprimé le compte Admin et je l’ai remplacé par un nom propre mais l’expéditeur du courrier via Maipoet est toujours Admin via X00.mail-out. ovh.net
    Savez vous comment changer cette signature? Merci et bravo pour ce tuto très clair !

  20. Robert

    Bonjour,

    Actuellement je souhaiterais créer un rôle spécifique inférieur à l’admin mais supérieur à l’éditeur, appelons-le « super-éditeur ».
    Ce nouveau rôle doit avoir le droit de supprimer des utilisateurs.
    Ma question est la suivante, le nouveau rôle « super-éditeur » pourrait-il effacer un compte admin aussi ? Comment l’éviter si c’était le cas?

    Merci de ton aide!!

  21. Jordane

    Génial ! T’es un boss, grâce aux commentaires, j’ai pu récupérer des contenus qui s’était supprimé avec l’administrateur que j’avais supprimé !
    Merci, maintenant je saurais à l’avenir ce qu’il ne faut pas faire.
    Merci encore de ton tuto !
    A bientôt

    Jordane

  22. Cedric Morin

    Ça fonctionne super bien. Moi j’avais plusieurs utilisateurs. J’ai donc pu choisir dans le menu déroulant le bon utilisateur pour migrer les articles. Merci beaucoup pour tes conseils.
    Cédric

  23. John

    bonjour,
    J’ai changé mon accès en wp-admin pour autre chose. Cependant depuis ce changement, mes pages membres indiquent erreur 404 qd j’essaye d’y accéder par mon interface membre gérée par le plugin page restrict

Laisser un commentaire