L’énumération des utilisateurs sur WordPress est une technique utilisée par les pirates pour découvrir les noms d’utilisateur enregistrés sur votre site. Une fois ces informations obtenues, ils peuvent lancer des attaques par force brute pour tenter de deviner les mots de passe et accéder à votre site. Savoir comment empêcher l’énumération des utilisateurs est donc essentiel pour sécuriser votre site WordPress.
Pourquoi empêcher l’énumération des utilisateurs ?
Sécurité
L’énumération des utilisateurs peut exposer vos comptes à des attaques ciblées. En bloquant cette fonctionnalité, vous réduisez les risques que des pirates identifient vos noms d’utilisateur et tentent des attaques de connexion massives.
Confidentialité
Empêcher l’énumération protège non seulement les administrateurs, mais également les auteurs et contributeurs de votre site, garantissant que leurs identités ne soient pas accessibles publiquement.
Prévention des attaques automatiques
De nombreux bots scannent les sites WordPress à la recherche de noms d’utilisateur pour effectuer des attaques automatisées. Bloquer cette énumération permet de limiter la charge sur votre serveur et d’améliorer les performances globales.
Méthodes pour empêcher l’énumération des utilisateurs
Bloquer via le fichier .htaccess
Si vous utilisez Apache, vous pouvez ajouter une règle dans le fichier .htaccess pour bloquer les requêtes suspectes.
Voici un exemple de code à ajouter à la racine de votre site :
# Bloquer l'énumération des utilisateurs
RewriteEngine On
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]
Ce code redirige toute tentative d’accès via les URL du type ?author=1 vers la page d’accueil, empêchant ainsi les pirates de récupérer les identifiants.
Utiliser un plugin de sécurité
Des plugins comme Securicheck Pro permettent de bloquer l’énumération des utilisateurs facilement, sans toucher au code :
- Allez dans Securicheck > Réglages Sécurité.
- Activez l’option Bloquer l’énumération des utilisateurs.
- Enregistrez les modifications.
Le plugin gère automatiquement les règles nécessaires pour sécuriser votre site.
Désactiver l’API REST pour les utilisateurs
L’API REST de WordPress peut également exposer les noms d’utilisateur via les endpoints /wp-json/wp/v2/users. Pour limiter cet accès, vous pouvez ajouter ce code dans le fichier functions.php de votre thème enfant :
add_filter( 'rest_endpoints', function( $endpoints ) {
if ( isset( $endpoints['/wp/v2/users'] ) ) {
unset( $endpoints['/wp/v2/users'] );
}
return $endpoints;
});
Cela empêche l’accès public à la liste des utilisateurs via l’API REST.
Bloquer l’énumération via un plugin
La manière la plus simple de protéger votre site est d’utiliser un plugin de sécurité. Securicheck Pro propose cette fonctionnalité de manière intuitive :
- Allez dans Securicheck > Réglages Sécurité.
- Cochez l’option Désactiver l’Affichage des pages d’archive des auteurs.
- Enregistrez les modifications.
Le plugin applique automatiquement toutes les règles nécessaires pour empêcher les pirates de récupérer vos noms d’utilisateur, via les URL ?author= . Vous pouvez ainsi sécuriser votre site sans toucher au code.
Vérification et test
Après avoir mis en place ces mesures, il est important de tester votre site pour vous assurer que l’énumération des utilisateurs est bien bloquée :
- Essayez d’accéder à
https://votre-domaine.com/?author=1et vérifiez que vous êtes redirigé. - Testez l’endpoint
/wp-json/wp/v2/userspour vérifier qu’aucune donnée utilisateur n’est exposée. - Utilisez des outils comme cURL ou les logs du serveur pour confirmer que les requêtes suspectes sont bloquées.
Conclusion
Empêcher l’énumération des utilisateurs est une étape simple mais cruciale pour sécuriser votre site WordPress. En combinant des règles .htaccess, des réglages de plugin et des restrictions sur l’API REST, vous limitez considérablement les vecteurs d’attaque pour les pirates.
Protéger vos utilisateurs et vos administrateurs est un investissement en sécurité qui vaut la peine d’être mis en place dès aujourd’hui.
