[Wordpress] Connaitre le login admin

Tout se qui touche a la sécruité web. Des tuto sur les failles web, les derniers tools, les derniers techniques (ou les plus anciennes pourquoi pas :=) )
Avatar de l’utilisateur
Dothazard
Administrateur du site
Messages : 5
Enregistré le : lun. 18 janv. 2016 20:03

[Wordpress] Connaitre le login admin

Messagepar Dothazard » ven. 21 oct. 2016 07:10

Par défaut sur WordPress, il est très facile de connaitre le login de l’administrateur ou de n’importe quel utilisateur. Avant que certains ne crient au loup, je tiens à dire que ce n’est pas une faille de sécurité, c’est une fonctionnalité de base de Wordpress.

Vous serez heureux d’apprendre que ce problème n’existe plus dans les versions les plus récentes de WordPress
Le problème

Si vous avez activé les permaliens en mode /%postname%/ et que vous ajoutez à la fin de l’url de votre site
Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.
, WordPress va vous rediriger vers la page de profil de cet auteur et provoquer la réecriture d’URL qui donnera votresite.fr/author/admin/ où admin est le login (qui sert d’identifiant unique dans l’url).

En soi ce n’est pas plus génant que ça. Mais si vous n’utilisez pas les profils d’utilisateurs inscrits, je vous conseillerais d’empêcher quiconque de connaitre les logins admin et de tout autre personne qui a un compte sur le site.

Pourquoi renforcer la sécurité ?

Parce que cela compliquera singulièrement la tâche à un hacker : Il n’aura à sa disposition ni le login, ni le mot de passe. Si vous avez des utilisateurs inscrits, ou si vous avez fait des comptes à vos clients, il se peut fortement que leur mot de passe ne soit pas très sécurisé et donc facile à craquer.

La solution ?

Si vous souhaitez renforcer la sécurité, et que vous n’utilisez pas les profils utilisateurs, il suffit de créer dans votre thème une page author.php . C’est cette page de template qui est appelée lorsque l’on souhaite afficher les informations d’un auteur (voir sur le codex : Template hierarchy)

Dans cette page écrivez simplement :

<?php
header('Location: '.home_url('/'));
?>
Fondateur du site Dothazard.com

Retourner vers « Sécurité web »

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité