Faiblesse classique sur la plupart des CMS, la création, lors de l’installation, d’un compte d’administration disposant d’un identifiant générique.
Dans le cas de WordPress, le compte, nommé “admin” est présent par défaut et est incontestablement le plus attaqué (les pirates partant du principe que ce compte existe puisqu’il est créé à l’installation).
L’astuce consiste tout simplement à changer l’identifiant (le login) du compte d’administration par une valeur qui vous convient (exemple : “admin” devient “fhh”). Les attaques continueront sans doute, mais sur un compte inexistant.
Sous WordPress, cette valeur peut être changée dans la table “wp_users” de la base de données. Utilisez votre outil favori pour effectuer ce changement (phpmyadmin, etc) ou en ligne de commande :
Procédure si compte admin existant :
• Ce connecter au BO avec le login et Mpd du compte admin
• Aller dans la gestion des utilisateurs
• Créer un nouvel utilisateur avec les droits d’administrateur et un mot de passe complexe http://www.generateurdemotdepasse.com/
• Ce déconnecter du BO
• Ce reconnecter avec le nouveau compte
• Supprimer le compte admin