Fin juillet, j’avais partagé avec vous une technique pour sécuriser votre page de connexion WordPress sans plug-in (extension). L’astuce passait par une page secrète et l’aide d’un petit cookie. Aujourd’hui, je vous propose une autre technique qui pourra bien entendu compléter la précédente méthode…
Sécuriser le compte admin de WordPress
Comme 80% des utilisateurs WordPress, vous avez changé le nom de votre identifiant par défaut. Vous avez changé admin par votre prénom ou un pseudo. Sauf que voilà, l’identifiant en lui-même (utilisé pour se connecter à WordPress) est toujours le même : admin… et ça les méchants pirates le savent trop bien. Impossible de le changer depuis l’interface d’administration de WordPress. Pour le changer, il va falloir le modifier en base de données. Je vous rassure, ce n’est pas très compliqué.
wp_users et user_login
Tout d’abord, il faut passer par PhpMyAdmin proposé par votre hébergeur. Si vous ne vous souvenez plus de vos paramètres, ouvrez le fichier wp-config.php à la racine de votre Blog. Une fois connecté à votre base de donnée, cherchez la table *_users (par défaut wp_users).
En face de la ligne admin, cliquez sur le bouton Modifier, changer la valeur du champ user_login pour avoir un identifiant que personne ne pourra deviner (éviter de mettre votre pseudo ou votre prénom). Ce dernier ne devra jamais être dévoilé. Il sera uniquement utilisé sur l’écran de connexion wp-login.php. Pour finaliser l’opération, vous n’oublierez pas de cliquer sur le bouton Exécuter en bas à droite de l’écran.
Conclusion
C’est simple et efficace. Avec les 2 méthodes, je suis passé d’une centaine d’attaque par jour (méthode brute-force) à zéro. Oui, vous avez bien lu 0. Attention, je ne dis pas que mon WordPress est inattaquable… bien au contraire.
Si vous souhaitez limiter certaines attaques et sécuriser assez simplement WordPress sans l’alourdir avec des extensions, il ne faut pas hésiter.