Cacher son vrai identifiant WordPress

10 3684
plugin securite

Lors d’un précédent billet, je vous expliquais comment sécuriser WordPress. Et l’une des étapes consiste à cacher son identifiant au « public » mal intentionné qui s’en servirai en priorité pour tenter un brute force.

Je vais donc vous expliquer comment vous allez pouvoir tromper l’ennemi avec un identifiant -disons- aléatoire.

User Name Security

Ça fait un moment que je dois vous en parler, un plugin va vous permettre de cacher/supprimer votre identifiant dans le code source de vos pages, comme par exemple dans la page author.php où l’on retrouve les classes suivantes dans le body de certains thèmes :

  • author-2
  • author-theadmin

Lorsqu’un administrateur WordPress créé son compte pour la première fois, son identifiant est systématiquement repris pour être affiché en tant qu’auteur de ses futurs articles, comme le dit Julio « Vous donnez votre login WordPress au public ».

Fonction de User Name Security

  • Un inscrit sur votre site = une valeur aléatoire donnée au Display Name et au Nickname
  • L’utilisateur est connecté, il vérifie que le login n’est pas égal à ces deux valeurs.
    • si les deux sont identiques, une valeur aléatoire est également donnée.
    • si une des deux est identique au login, il prendra la valeur de l’autre.

Vous n’afficherez plus jamais votre login officiel en publique.

Encore plus loin

La page auteur reprend elle aussi l’identifiant dans son URL, le plugin va alors modifier le nicename directement sur cette URL, et créera une redirection 301 de votre ancienne URL vers la nouvelle, si c’est pas beau ça.

Il me semble important, lors d’une bonne installation WordPress, de mettre en place ce type de plugin.

Bon, niveau sécurité, il ne faut pas s’en tenir uniquement à ce plugin, mais il fait parti de ceux qu’il vous faut posséder, une simple activation et il sera opérationnel.

Je le rappel, lisez mon article pour sécuriser WordPress si vous voulez être au taquet.

Disponible en FR et EN : User Name Security
Créateur : Julio & Daniel Roch

10 Commentaires

  1. Je ne savais même pas que l’on pouvait masquer son identifiant WordPress.
    Je vais installer cela rapidement pour éviter quelques soucis …

  2. Bonjour Rodrigue,

    C’est super intéressant ton tuyau, je viens de regarder dans le code source de ma page c’est vrai l’identifiant apparait à la fin de l’URL. WordPress devrait proposer ça par défaut.

    Amicalement

  3. C’est sur que WordPress devrait le proposer d’origine.
    Je viens de vérifier et de mon coté c’est pareil tout apparait à la fin.
    Merci pour l’astuce en tout cas.
    A bientôt sur ton blog.

  4. Salut Rodrigue,

    Heuuu, si tu le dis, c’est que c’est vrai mais , tu t’en doutes, je n’ai pas saisi toutes les subtilités.

    Mais quand je vois sécurité je me précipite, tu sais pourquoi :D

    Donc, j’adopte.

    Le seul truc qui me tracasse c’est le poids de tous ces plugins?

    @+
    Christian.

  5. Je me suis fait hacker en plus récemment, je ne pensais pas que c’était aussi facile de se faire piquer son ID. Après comme dit Christian, tous ces plugins ont un poids et on devient trop vite dépendant.

  6. Bonjour

    De mon coté, je ne vois pas mon identifiant en affichant le code source de ma page… Bizarre…

    Par ailleurs, j’utilise le plugin Limit Login Attempts qui permet de bloquer la saisie de l’admin et du mot de passe au bout de X tentatives durant Y minutes.
    Dans le même temps, il vous renvoie par mail les infos concernant les tentatives de connexion avec l’IP du fraudeur et surtout, l’identifiant qui a été utilisé !
    Ce matin, j’ai encore subi une tentative avec mon identifiant ! Savez-vous où est écrit mon identifiant ?

    Dans un deuxième temps, j’installerai User Name Security, ce qui me permettra de vérifier que la lisibilité a disparu.

    Merci d’avance
    Alain

  7. Bonjour Rodrigue
    je vous recommande extension Wp better security il permet de sécuriser facilement votre site worpress ,de cacher la page « login » de votre site…….

Réagis