Changer votre identifiant Admin

Pourquoi remplacer l’identifiant “admin” sur WordPress ?

Changer l’utilisateur “admin” réduit une surface d’attaque très fréquente: les robots testent d’abord les identifiants connus (“admin”, “administrator”, “root”) puis lancent du bruteforce sur le mot de passe. Si “admin” n’existe pas, l’attaque échoue plus vite ou devient plus coûteuse.

En formation, retenez:

  • Moins de mots de passe à deviner = moins de risque. Un identifiant non trivial + un mot de passe robuste = combo gagnant.
  • “admin” est souvent l’ID 1 historique: c’est la première cible lors d’attaques.
  • La télémétrie de nombreux pare-feux montre que “admin” figure parmi les 3 logins les plus attaqués sur le web.

Attention: ce n’est pas une “armure magique”. Sous WordPress, on peut parfois énumérer les comptes (archives d’auteur, API REST, traces dans le code). Le changement d’identifiant doit s’inscrire dans un ensemble de bonnes pratiques.

Limites et points de vigilance

  • Énumération des utilisateurs: par défaut, /?author=1, les archives d’auteur, ou l’API REST peuvent révéler des logins. Il faut les limiter ou les masquer.
  • Ne confondez pas nom d’affichage et identifiant de connexion: le “Nom à afficher publiquement” peut être visible sur le site; l’identifiant doit rester discret.
  • Plugins anciens/scripts peuvent avoir codé en dur “admin” (rare aujourd’hui). Testez après modification.

Bonnes pratiques complémentaires (indispensables)

  • Mots de passe longs et uniques (12–16+ caractères, générés).
  • 2FA pour tous les comptes ayant des droits d’édition, a fortiori administrateurs.
  • Rôles et principes du moindre privilège: pas d’administrateur pour publier de simples articles.
  • Limitation des tentatives de connexion + reCAPTCHA/honeypot au besoin.
  • Pare-feu applicatif (WAF) et mises à jour cœur/thèmes/plugins.
  • Désactiver ou protéger xmlrpc.php si non utilisé.
  • Réduire l’énumération:
    • masquer les archives d’auteur,
    • supprimer le sitemap des auteurs si inutile,
    • empêcher la résolution /?author=ID,
    • restreindre les champs exposés par l’API REST aux non connectés.
  • Journaliser les connexions et alertes (plugin de sécurité).

Comment changer “admin” proprement

Option 1 — depuis l’interface

  1. Créez un nouvel utilisateur Administrateur avec un identifiant non trivial (ex: site-mgr_874) et un mot de passe fort.
  2. Déconnectez-vous puis reconnectez-vous avec ce nouveau compte.
  3. Supprimez l’ancien compte “admin” et réattribuez tous ses contenus au nouveau compte quand WordPress le propose.

Option 2 — via WP-CLI (recommandé en pro)

  • Créer un nouvel admin:wp user create site-mgr_874 vous@domaine.fr --role=administrator --user_pass=MotDePasseTresFort!
  • Transférer le contenu de l’ID 1 vers le nouveau (remplacez 1 par l’ID d’admin actuel):wp post list --author=1 --format=ids | xargs -I % wp post update % --post_author=$(wp user get site-mgr_874 --field=ID)
  • Supprimer l’ancien:wp user delete 1 --reassign=$(wp user get site-mgr_874 --field=ID)

Option 3 — si vous ne pouvez pas créer/supprimer

  • Renommez l’identifiant en base via phpMyAdmin/SQL (prudent, faites une sauvegarde):UPDATE wp_users SET user_login = 'site-mgr_874' WHERE user_login = 'admin';
    • Vérifiez aussi user_nicename (slug public) et mettez un “Display name” différent du login.

Durcir contre l’énumération des logins (exemples rapides)

  • Empêcher /?author=ID (Apache):RewriteEngine On RewriteCond %{QUERY_STRING} author=\d+ RewriteRule ^ - [F]
  • Masquer slug auteur public:
    • Utilisez un “Nom à afficher publiquement” différent de l’identifiant.
    • Redirigez /author/slug/ si inutile.
  • API REST: limiter les champs publics des users (via plugin de sécurité ou snippet qui retire l’endpoint users pour non authentifiés).

Message clé à transmettre à vos stagiaires

  • Changer “admin” diminue la probabilité d’intrusion par bruteforce ciblé.
  • Ce n’est efficace que combiné à mots de passe forts, 2FA, limitation des tentatives et réduction de l’énumération des comptes.
  • Procédez proprement (nouvel admin, transfert, suppression) et testez sur un environnement de préproduction quand c’est possible.
Retour à la/au Cours
Leçon Suivante