Protégez votre blog WordPress des attaques de hackers : modifiez votre compte administrateur

Protéger WordPress des attaques de hackersDepuis quelques jours, une nouvelle vague d’attaques massive a lieu contre les blogs WordPress n’ayant pas changé le compte administrateur par défaut.

L’attaque des hackers consiste à prendre le contrôle de votre site en essayant de découvrir votre mot de passe, lié au compte Administrateur créé par défaut lors de l’installation de WordPress (compte d’origine dont l’identifiant est «admin»).

Notez que cette attaque n’a pas pour objectif de liquider les sites visés, mais de prendre le contrôle de leurs serveurs pour mener ensuite des attaques de plus grande envergure. Les victimes de cette attaque ne se rendront probablement pas compte qu’elles ont été touchées.

Bien qu’il soit fortement recommandé de créer un compte administrateur personnalisé une fois l’installation de WordPress finalisée, une grande majorité des utilisateurs de Worpdress oublient bien souvent cette précaution.

Cette vague d’attaques est donc l’occasion pour ceux et celles qui n’avaient pas jugé nécessaire de suivre ce conseil, de créer au plus vite un nouveau compte administrateur en utilisant un identifiant personnalisé couplé avec un mot de passe solide. Pour ce faire, suivez simplement la procédure qui suit:

1) Créez un nouveau compte Administrateur

Rendez-vous dans la section «Utilisateurs» puis, dans «Ajouter». Créez ensuite un nouveau compte Administrateur en renseignant l’ensemble des champs requis avant de sélectionner le rôle «Administrateur» dans le menu déroulant prévu à cet effet. Vous devez bien entendu attribuer un mot de passe très solide à ce nouvel utilisateur (utilisez majuscules, minuscules, caractères spéciaux) .

2) Supprimez le compte Administrateur par défaut

Une fois votre nouveau compte Administrateur créé, déconnectez et reconnectez vous en utilisant l’identifiant et le mot de passe que vous aurez préalablement choisi pour ce nouveau compte. Retournez ensuite dans la section «Tous les utilisateurs» et cliquez sur l’option «Supprimer» du compte administrateur par défaut soit le compte «admin».

ATTENTION !!! Avant de supprimer votre ancien compte administrateur, vous devez transférer l’ensemble des articles rédigés en utilisant le compte Administrateur par défaut vers le nouveau compte préalablement créé.

Pour ce faire, cochez l’option «Attribuer les articles à» et sélectionnez le nouveau compte Administrateur dans le menu déroulant avant de confirmer la suppression.

Et voilà ! vous êtes désormais à l’abri d’éventuelles attaques exploitant le compte Administrateur WordPress par défaut!

Autres précautions : Je vous conseille d’installer un anti-virus sur votre blog WordPress, tel que Wordfence, gratuit et très efficace !

PARTAGEZ !

Cet article vous a plu ? Offrez-nous un Like sur Facebook !

Like bisous

3 commentaires

  1. excellent article. Merci pour ces conseils mais malheureusement , il existe plus qu’une méthode pour hacker un blog WordPress mais il faut seulement rester a jour et effectuer les mise a jour nécessaire.

  2. Bonjour et merci pour ce rappel.
    Toutefois, vous dites que les hackers s’attaquent aux installations n’ayant pas changé le compte administrateur par défaut. Ce n’est pas tout à fait exact, puisque le site d’un de mes clients a été victime d’une intrusion il y a deux jours (en provenance d’Ukraine), malgré un nom d’administrateur et un mot de passe complexes.
    Le changement du nom d’utilisateur « admin » ne suffit plus à dissuader ces hackers de pénétrer les sites WP. La protection du wp-admin est donc devenue une priorité, soit par .htpasswd / htaccess, soit en modifiant l’URL de connexion. Pour ma part, j’ai restreins l’accès au wp-admin pour mon IP uniquement en ajoutant dans le .htaccess :

    order deny,allow
    allow from MON IP
    deny from all

    C’est efficace et plutôt dissuasif. Merci pour Wordfence que je ne connaissais pas, j’utilisai plutôt All in One WP Security mais je vais le tester.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *