Une question de sécurité

Une question de sécurité

Changeons un peu de registre et parlons sécurité.

Tout site Internet ou blog, qu’il soit développé avec WordPress ou un autre CMS (système de gestion de contenu), est susceptible d’être un jour piraté. Donc, il est impératif de faire en sorte de blinder autant que possible les aspects sécuritaires d’une installation.

Concernant WordPress, en dehors des extensions les plus essentielles permettant de protéger les dossiers et fichiers sensibles d’un site ou d’un blog (par .htaccess, par le fait de rendre invisible la version de WP utilisée, par le fait de modifier le préfixe des bases de données ou encore de bannir l’identifiant “admin”, etc.), il est absolument nécessaire de ne pas permettre aux pirates de tous poils de connaître votre identifiant. En effet, si vous laissez cette porte ouverte, vous lui mâcherez la moitié du travail pour démolir votre installation. Il n’aura plus qu’à chercher comment trouver votre mot de passe et le tour sera joué…

Quand vous publiez un article sur votre blog WordPress, des informations importantes apparaissent, telles que : la date de publication de l’article, la catégorie où est publié cet article, etc. Mais il n’y a pas que cela. Il y a aussi le nom de l’auteur (votre nom) qui apparaît. Et ce nom est un lien clivable qui peut mener les pirates tout droit vers votre identifiant (login) de connexion à votre espace d’administration de WordPress. Une faille souvent fatale si rien n’est fait pour la contrer…

Par exemple, imaginons que mon identifiant de connexion à mon espace d’administration WordPress soit “toto“. Je publie des articles (sur un blog, c’est logique), et mon nom apparaît comme ci-dessous :

 

Auteur d'un article

Vous voyez qu’en-dessous du titre “Mentions légales sur un site Web“, apparaissent la date de publication de l’article ainsi que mon nom. En cliquant sur mon nom, vous arrivez sur une page “Auteur” (Author en fait) où figure la liste de mes articles. Mais pas seulement… Avant que la modification que je vais expliquer ci-dessous soit faite, l’url de la page https://www.sevben-telesecretariat.com/author/severine-beney était quelque peu différente…

En effet, rappelez-vous : je suis partie sur l’hypothèse que mon identifiant était “toto”. Eh bien, en lieu et place de severine-beney (comme indiqué ci-dessus), l’url indiquait https://www.sevben-telesecretariat.com/author/toto. Ce qui est une grave faille de sécurité vu que cet identifiant était visible par tous.

Il existe un moyen efficace pour contourner cette faille et, en fait, l’éliminer. Cela demande quelques  manipulations directement dans PhpMyAdmin (qui est l’espace où sont stockées vos bases de données sur votre hébergement). Il faut modifier l’un des champs de la table users de WordPress (autrement dit, la table utilisateurs), qui contient les informations de connexion à votre tableau de bord WordPress.

Pour cela, connectez-vous à votre hébergement et ouvrez PhpMyAdmin. Certains hébergeurs ouvrent directement l’écran sans demander l’identifiant et le mot de passe permettant d’accéder à PhpMyAdmin, d’autres demandent ces informations de connexion à votre base de données. Donc, par mesure de précaution, munissez-vous de vos identifiants.

Une fenêtre s’ouvrira qui sera assez analogue à celle-ci puis cliquez sur le nom de la base de données gérant votre installation WordPress :

 

phpmyadmin0

Vous arriverez sur un nouvel écran détaillant l’ensemble des champs de cette base. A partir de là, recherchez la table contenant users

Le détail de la table users s’affichera ainsi :

 

phpmyadmin

Une fois que vous aurez cliqué sur le lien Modifier de la ligne contenant vos informations de connexion, un écran s’affichera qui comportera votre identifiant de connexion mais aussi votre pseudo qui… sera le même que l’identifiant de connexion à votre espace WordPress.

Vous aurez un champ à modifier : user_nicename. Mais surtout, ne touchez pas au champ user_login !!!
En procédant exactement comme sur les images ci-dessous, vous éviterez l’erreur.

 

usernicename

Une fois cette modification effectuée, plus personne ne connaîtra votre identifiant de connexion à l’espace d’administration de WordPress. La sécurité de votre installation en sera renforcée.

Partagez :

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.