Comment gérer ses utilisateurs WordPress ?

Suite des petits tutos simples et rapides liés à l’utilisation de WordPress. Intéressons nous maintenant à la gestion des utilisateurs (ajout, suppression, modification des droits ou des mots de passe…)

La gestion des utilisateurs est très pratique lorsque vous êtes plusieurs dans une entreprise à gérer le site. Il peut y avoir plusieurs profils avec des droits différents. Nous allons voir cela ensemble.

Ajouter un utilisateur

  1. Allez sur l’onglet mon site, puis tableau de bord
  2. Rendez-vous ensuite dans l’onglet Utilisateurs et cliquez sur Ajouter,
  3. Renseignez les différents champs proposés, Attention : Il est important de mettre un identifiant et un mot de passe fort pour diminuer le risque de piratage de votre site.
  4. Ajouter un rôle à votre nouvel utilisateur (voir plus loin les différents rôles et leurs droits),
  5. Cliquez sur le bouton « Ajouter un utilisateur »,
  6. Vérifiez que votre utilisateur soit bien créé.

Supprimer un utilisateur

Pour supprimer un utilisateur (lorsqu’un collaborateur quitte la société par exemple). Il n’y a rien de plus simple.

  1. Depuis votre tableau de bord, allez dans l’onglet Utilisateurs,
  2. Survolez le profil à effacer,
  3. Cliquez sur « Supprimer »,
  4. Cliquez sur le bouton « Confirmer cette action ».

Modifier un utilisateur

Vous aurez surement besoin de modifier un utilisateur pour lui changer son mot de passe, ajouter une photo ou renseigner diverses informations.

Voici comment faire :

  1. Toujours depuis votre tableau de bord, allez dans l’onglet Utilisateurs,
  2. Survolez le profil à modifier,
  3. Cliquez sur « modifier »,
  4. Renseignez les différentes modifications,
  5. Cliquez sur le bouton « Mettre à jour l’utilisateur ».

Quelles sont les différents rôles pour les utilisateurs ?

Les rôles et leurs droits respectifs ont une importance cruciale lors de la création des profils utilisateurs. En effet, vous n’allez pas donner les pleins pouvoirs sur le site au stagiaire qui devra seulement écrire un article sur le blog. Idem, vous n’allez pas restreindre les accès à la personne chargée de la sécurité du site.

Voyons ensemble les différents droits :

Les différents rôles des utilisateurs WordPress

Le rôle d’administrateur

L’administrateur a tous les droits. Il ne faut donc pas ajouter le rôle d’administrateur à n’importe qui. Pour faire simple : 2 personnes doivent avoir le rôle d’administrateur. La personne qui gère le site et un remplaçant (en cas de congés ou arrêt maladie dans votre entreprise). Et même dans ce cas-là, il vaut mieux faire une modification du profil le temps de l’absence de l’administrateur.

L’administrateur peut :

  • Gérer les autres utilisateurs (Ajouter, modifier et supprimer),
  • S’occuper de la maintenance et de la sécurité du site WordPress (Ajout, suppression et modification des plugins, des fichiers et du thème),
  • Gérer les pages du site internet et des articles,
  • Modérer les commentaires présents sur les articles,
  • Administrer les images.

Le rôle d’éditeur

C’est également un profil avec des responsabilités. L’éditeur à la main mise sur toute la partie édition de votre site internet. Il pourra :

  • Ajouter, supprimer ou modifier des pages ou des articles,
  • Gérer les commentaires,
  • Administrer les étiquettes et les catégories des articles,
  • Administrer les images.

Le rôle d’auteur

On baisse de plus en plus dans les permissions. L’auteur pourra gérer à sa guise tous les articles ou les pages créés à son nom. Il pourra bien sûr gérer la partie images afin d’illustrer ses articles. Enfin, il n’aura pas besoin d’une validation pour publier du contenu.

Le rôle de contributeur

Le contributeur est un auteur avec moins de droits. Il pourra écrire un article et ajouter du contenu comme des images ou des vidéos, mais il n’est pas maitre de la publication. Il ne pourra pas supprimer ses articles et bien entendu ceux des autres. Il n’aura pas la main sur la modération des commentaires, même ceux liés à ses articles.

Le rôle d’abonné

Ce profil n’a aucun droit « critique ». Il ne peut pas nuire à votre site. Ce rôle est parfois utilisé par certains sites pour publier du contenu exclusif ou pour modérer plus facilement les commentaires.

Rappelez-vous, faites attention aux rôles que vous attribuez à vos collaborateurs. Tout le monde n’a pas besoin de pouvoir gérer le site.

Renforcer la sécurité du site à travers les profils utilisateurs

Les sites basés sur les CMS (Content Management System) sont souvent la cible des hackers. Car ils savent pertinemment que beaucoup de propriétaires ne sont pas vigilants par rapport la sécurité des données présentes sur leur site. Il faut donc renforcer votre sécurité et cela passe aussi par les profils utilisateurs.

  1. Comme je l’ai cité plus haut, renseignez des identifiants et mots de passe forts. Évitez les profils du genre : Identifiant : admin Mot de passe : admin. Il vous faut au moins 8 caractères (tous différents) avec des minuscules, majuscules, caractères spéciaux et chiffres.
  2. Je le redis ici, car c’est primordial : faites attention aux rôles que vous attribuez. Si vous ajoutez à tout le monde le rôle d’administrateur du site et si un hacker trouve un mot de passe, c’est porte ouverte pour lui…
  3. Modifiez l’ID de vos utilisateurs dans la base de données. Par défaut, les ID liés aux profils sont dans l’ordre : id 1 pour le premier profil, id 2 pour le second, etc. Les pirates savent cela et peuvent s’en servir.
    • Téléchargez, installez et activez le plugin User ID Changer (faites une sauvegarde au préalable)
    • Allez ensuite dans l’onglet Utilisateurs / User ID Changer
    • Sélectionnez le profil à modifier
    • Mettez un ID aléatoire compris entre 1 et 9999999999
    • Cliquez sur le bouton « save change »
    • Vérifiez le changement de l’id ensuite
  4. Une fois les changements effectués, désinstallez le plugin qui ne sert plus à rien.
  5. Bloquez l’énumération des utilisateurs. Qu’est-ce l’énumération utilisateur ? En fait, lorsqu’une personne (un pirate en l’occurrence) saisit l’adresse de votre site en ajoutant l’argument ?author=1, elle est redirigée vers la page https://votre-site.fr/author/le-nom-d-un-profil. À partir de là, l’hacker dispose déjà de l’identifiant. Il ne lui reste plus qu’à forcer le mot de passe. C’est qu’une question de temps pour lui. Pour vous protéger de cela, ajouter ce petit bout de code au fichier function.php de votre thème :
add_filter( 'rest_endpoints', function( $e ){
		if (isset($e['/wp/v2/users'])) 
		{
			unset($e['/wp/v2/users' ]);
		}
		if (isset($e['/wp/v2/users/'(?P[\d]+)'])) {
			unset($e['/wp/v2/users/'(?P[\d]+)']);

		}
		return $e;
	});
	if (!is_admin()) {
		if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) 
		die();
		add_filter('redirect_canonical', 'shapeSpace_check_enum', 10, 2);
	}
	function shapeSpace_check_enum($redirect, $request) {
		if (preg_match('/\?author=([0-9]*)(\/*)/i', $request)) die();
		else return $redirect;
	}
		

Avec tout cela, vous serez déjà bien protégé contre ceux qui vous veulent du mal.

LinkedIn
Facebook
Twitter
Pinterest

Ces articles permet également vous intéresser.

Pas envie de lire ?

Tags