L’ID administrateur par défaut de WordPress, souvent 1, est une cible fréquente pour les attaquants cherchant à accéder à votre site. En effet, de nombreux scripts malveillants et attaques automatisées ciblent spécifiquement cet ID, rendant votre site vulnérable aux tentatives d’accès non autorisé. Changer cet ID est une mesure de sécurité simple mais efficace pour protéger votre site contre les attaques par force brute et autres tentatives de piratage. Cette modification complique le travail des attaquants en rendant plus difficile l’identification du compte administrateur principal.
Pourquoi Changer l’ID Administrateur ?
Sécurité
Les attaquants ciblent souvent l’ID 1 pour leurs attaques. Cet ID par défaut est bien connu des pirates informatiques, qui développent des scripts automatisés pour exploiter cette faiblesse. En modifiant cet ID, vous compliquez leurs tentatives, car ils devront deviner ou découvrir le nouvel ID, rendant leur tâche beaucoup plus difficile. Cette mesure réduit considérablement la probabilité de succès des attaques par force brute visant à obtenir les informations de connexion de l’administrateur.
Confidentialité
Un ID administrateur personnalisé rend plus difficile l’identification des comptes administratifs par les attaquants. Lorsque vous changez l’ID par défaut, vous ajoutez une couche supplémentaire de sécurité en rendant moins évidentes les informations structurelles de votre site. Les attaquants devront déployer plus d’efforts pour découvrir les comptes privilégiés, ce qui peut décourager les tentatives d’intrusion.
Prévention des Attaques
Modifier l’ID réduit les risques d’attaques automatisées qui ciblent spécifiquement les IDs par défaut. Les bots et scripts malveillants sont souvent programmés pour attaquer les sites WordPress en supposant que l’ID de l’administrateur est 1. En changeant cet ID, vous perturbez ces scripts, ce qui peut empêcher de nombreuses tentatives d’attaques automatisées avant même qu’elles ne commencent. Cela réduit la charge sur votre serveur et améliore la sécurité globale de votre site.
Étapes pour Changer l’ID Administrateur
Préparation
Avant de faire des modifications, assurez-vous d’avoir une sauvegarde complète de votre base de données.
Connectez vous à votre panneau de gestion d’hébergement et ouvrez phpMyAdmin. Choisissez la base de données utilisée par votre site WordPress.
Merci de noter que les requêtes ci dessous ne tiennent pas compte du cas où vous aurez défini un préfix des tables de la base de données personnalisé.
Étape 1 — Identifier l’administrateur principal
Exécutez la requête suivante pour trouver quel utilisateur possède actuellement l’ID 1 :
SELECT ID, user_login, display_name FROM wp_users WHERE ID = 1;
Si aucun résultat n’apparaît, votre ID administrateur a déjà été modifié — votre site est sécurisé sur ce point.
Si un résultat apparaît, vérifiez dans la table wp_usermeta que cet utilisateur est bien administrateur :
SELECT meta_value FROM wp_usermeta WHERE user_id = 1 AND meta_key = 'wp_capabilities';
Le résultat doit contenir administrator. Si c’est le cas, passez à l’étape suivante.
Étape 2 — Changer l’ID
Exécutez les requêtes suivantes dans l’ordre :
SET @NEW_ID = 1234; -- Remplacez par le nouvel ID souhaité -- Table des utilisateurs UPDATE wp_users SET ID = @NEW_ID WHERE ID = 1; -- Méta-données des utilisateurs UPDATE wp_usermeta SET user_id = @NEW_ID WHERE user_id = 1; -- Articles rédigés par cet utilisateur UPDATE wp_posts SET post_author = @NEW_ID WHERE post_author = 1; -- Commentaires publiés par cet utilisateur UPDATE wp_comments SET user_id = @NEW_ID WHERE user_id = 1;
Remplacez @NEW_ID par le nouvel ID souhaité.
La meilleure valeur pour @NEW_ID devrait être une valeur qui suit ces principes :
- Unique : L’ID doit être unique et ne doit pas entrer en conflit avec d’autres IDs existants dans la base de données.
- Haut : Utilisez un nombre élevé et aléatoire pour compliquer les attaques. Les attaquants s’attendent souvent à des IDs bas et séquentiels.
- Non-prédictible : Choisissez un numéro qui n’est pas facilement devinable. Évitez les séquences comme 123 ou 1000.
Étape 3 — Vérifier les références supplémentaires
Certains plugins stockent des ID utilisateurs dans la table wp_options ou dans leurs propres tables. Si votre site utilise des extensions de gestion d’utilisateurs, de e-commerce (WooCommerce) ou de formulaires, consultez leur documentation pour savoir si une mise à jour supplémentaire est nécessaire.
Remarque importante
Cette procédure cible l’utilisateur ayant l’ID = 1, quel que soit son nom d’utilisateur. Ne partez pas du principe que l’administrateur principal s’appelle « admin » — ce n’est généralement pas le cas sur les sites correctement sécurisés.
Après la modification
Videz le cache de votre site et de votre hébergeur, puis reconnectez-vous à votre interface WordPress pour vérifier que tout fonctionne correctement. Vérifiez également que le compte administrateur a accès à toutes les zones d’administration et que tous les contenus associés sont toujours en place.
Conclusion
Changer l’ID administrateur principal de votre site WordPress est une étape simple mais cruciale pour renforcer la sécurité de votre site. En suivant ce guide, vous protégerez votre site contre les attaques ciblées sur l’ID par défaut, réduisant ainsi les risques de piratage.
Si vous avez des questions ou des préoccupations, n’hésitez pas à nous contacter.
