Comment gérer ses utilisateurs WordPress ?

Suite des petits tutos simples et rapides liés à l’utilisation de WordPress. Intéressons nous maintenant à la gestion des utilisateurs (ajout, suppression, modification des droits ou des mots de passe…)

La gestion des utilisateurs est très pratique lorsque vous êtes plusieurs dans une entreprise à gérer le site. Il peut y avoir plusieurs profils avec des droits différents. Nous allons voir cela ensemble.

Ajouter un utilisateur

  1. Allez sur l’onglet mon site, puis tableau de bord
  2. Rendez-vous ensuite dans l’onglet Utilisateurs et cliquez sur Ajouter,
  3. Renseignez les différents champs proposés, Attention : Il est important de mettre un identifiant et un mot de passe fort pour diminuer le risque de piratage de votre site.
  4. Ajouter un rĂ´le Ă  votre nouvel utilisateur (voir plus loin les diffĂ©rents rĂ´les et leurs droits),
  5. Cliquez sur le bouton “Ajouter un utilisateur”,
  6. Vérifiez que votre utilisateur soit bien créé.

Supprimer un utilisateur

Pour supprimer un utilisateur (lorsqu’un collaborateur quitte la société par exemple). Il n’y a rien de plus simple.

  1. Depuis votre tableau de bord, allez dans l’onglet Utilisateurs,
  2. Survolez le profil Ă  effacer,
  3. Cliquez sur “Supprimer”,
  4. Cliquez sur le bouton “Confirmer cette action”.

Modifier un utilisateur

Vous aurez surement besoin de modifier un utilisateur pour lui changer son mot de passe, ajouter une photo ou renseigner diverses informations.

Voici comment faire :

  1. Toujours depuis votre tableau de bord, allez dans l’onglet Utilisateurs,
  2. Survolez le profil Ă  modifier,
  3. Cliquez sur “modifier”,
  4. Renseignez les différentes modifications,
  5. Cliquez sur le bouton “Mettre Ă  jour l’utilisateur”.

Quelles sont les différents rôles pour les utilisateurs ?

Les rôles et leurs droits respectifs ont une importance cruciale lors de la création des profils utilisateurs. En effet, vous n’allez pas donner les pleins pouvoirs sur le site au stagiaire qui devra seulement écrire un article sur le blog. Idem, vous n’allez pas restreindre les accès à la personne chargée de la sécurité du site.

Voyons ensemble les différents droits :

Les différents rôles des utilisateurs WordPress

Le rĂ´le d’administrateur

L’administrateur a tous les droits. Il ne faut donc pas ajouter le rĂ´le d’administrateur Ă  n’importe qui. Pour faire simple : 2 personnes doivent avoir le rĂ´le d’administrateur. La personne qui gère le site et un remplaçant (en cas de congĂ©s ou arrĂŞt maladie dans votre entreprise). Et mĂŞme dans ce cas-lĂ , il vaut mieux faire une modification du profil le temps de l’absence de l’administrateur.

L’administrateur peut :

  • GĂ©rer les autres utilisateurs (Ajouter, modifier et supprimer),
  • S’occuper de la maintenance et de la sĂ©curitĂ© du site WordPress (Ajout, suppression et modification des plugins, des fichiers et du thème),
  • GĂ©rer les pages du site internet et des articles,
  • ModĂ©rer les commentaires prĂ©sents sur les articles,
  • Administrer les images.

Le rĂ´le d’Ă©diteur

C’est Ă©galement un profil avec des responsabilitĂ©s. L’éditeur Ă  la main mise sur toute la partie Ă©dition de votre site internet. Il pourra :

  • Ajouter, supprimer ou modifier des pages ou des articles,
  • GĂ©rer les commentaires,
  • Administrer les Ă©tiquettes et les catĂ©gories des articles,
  • Administrer les images.

Le rĂ´le d’auteur

On baisse de plus en plus dans les permissions. L’auteur pourra gĂ©rer Ă  sa guise tous les articles ou les pages crĂ©Ă©s Ă  son nom. Il pourra bien sĂ»r gĂ©rer la partie images afin d’illustrer ses articles. Enfin, il n’aura pas besoin d’une validation pour publier du contenu.

Le rĂ´le de contributeur

Le contributeur est un auteur avec moins de droits. Il pourra écrire un article et ajouter du contenu comme des images ou des vidéos, mais il n’est pas maitre de la publication. Il ne pourra pas supprimer ses articles et bien entendu ceux des autres. Il n’aura pas la main sur la modération des commentaires, même ceux liés à ses articles.

Le rĂ´le d’abonnĂ©

Ce profil n’a aucun droit “critique”. Il ne peut pas nuire Ă  votre site. Ce rĂ´le est parfois utilisĂ© par certains sites pour publier du contenu exclusif ou pour modĂ©rer plus facilement les commentaires.

Rappelez-vous, faites attention aux rôles que vous attribuez à vos collaborateurs. Tout le monde n’a pas besoin de pouvoir gérer le site.

Renforcer la sécurité du site à travers les profils utilisateurs

Les sites basés sur les CMS (Content Management System) sont souvent la cible des hackers. Car ils savent pertinemment que beaucoup de propriétaires ne sont pas vigilants par rapport la sécurité des données présentes sur leur site. Il faut donc renforcer votre sécurité et cela passe aussi par les profils utilisateurs.

  1. Comme je l’ai cité plus haut, renseignez des identifiants et mots de passe forts. Évitez les profils du genre : Identifiant : admin Mot de passe : admin. Il vous faut au moins 8 caractères (tous différents) avec des minuscules, majuscules, caractères spéciaux et chiffres.
  2. Je le redis ici, car c’est primordial : faites attention aux rôles que vous attribuez. Si vous ajoutez à tout le monde le rôle d’administrateur du site et si un hacker trouve un mot de passe, c’est porte ouverte pour lui…
  3. Modifiez l’ID de vos utilisateurs dans la base de données. Par défaut, les ID liés aux profils sont dans l’ordre : id 1 pour le premier profil, id 2 pour le second, etc. Les pirates savent cela et peuvent s’en servir.
    • TĂ©lĂ©chargez, installez et activez le plugin User ID Changer (faites une sauvegarde au prĂ©alable)
    • Allez ensuite dans l’onglet Utilisateurs / User ID Changer
    • SĂ©lectionnez le profil Ă  modifier
    • Mettez un ID alĂ©atoire compris entre 1 et 9999999999
    • Cliquez sur le bouton “save change”
    • VĂ©rifiez le changement de l’id ensuite
  4. Une fois les changements effectués, désinstallez le plugin qui ne sert plus à rien.
  5. Bloquez l’énumération des utilisateurs. Qu’est-ce l’énumération utilisateur ? En fait, lorsqu’une personne (un pirate en l’occurrence) saisit l’adresse de votre site en ajoutant l’argument ?author=1, elle est redirigée vers la page https://votre-site.fr/author/le-nom-d-un-profil. À partir de là, l’hacker dispose déjà de l’identifiant. Il ne lui reste plus qu’à forcer le mot de passe. C’est qu’une question de temps pour lui. Pour vous protéger de cela, ajouter ce petit bout de code au fichier function.php de votre thème :
add_filter( 'rest_endpoints', function( $e ){
		if (isset($e['/wp/v2/users'])) 
		{
			unset($e['/wp/v2/users' ]);
		}
		if (isset($e['/wp/v2/users/'(?P[\d]+)'])) {
			unset($e['/wp/v2/users/'(?P[\d]+)']);

		}
		return $e;
	});
	if (!is_admin()) {
		if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) 
		die();
		add_filter('redirect_canonical', 'shapeSpace_check_enum', 10, 2);
	}
	function shapeSpace_check_enum($redirect, $request) {
		if (preg_match('/\?author=([0-9]*)(\/*)/i', $request)) die();
		else return $redirect;
	}
		

Avec tout cela, vous serez déjà bien protégé contre ceux qui vous veulent du mal.

LinkedIn
Facebook
Twitter
Pinterest

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ces articles permet également vous intéresser.

Catégories