Comment supprimer les utilisateurs administrateurs invisibles de WordPress ?

Tout le monde apprécie WordPress pour sa simplicité d'utilisation, ses options de personnalisation, ses nombreux plugins et ses thèmes originaux. Cependant, la maintenance d'un site WordPress peut s'avérer complexe en cas de problème. 

Chaque responsable de site web doit, à un moment ou à un autre, faire face à divers problèmes liés à son site, tels que :

1. Écran blanc de la mort
2. Erreur de syntaxe
3. Erreur interne du serveur
4. Problème d'actualisation/de redirection
5. Problème d'accès verrouillé à la zone d'administration, etc.

Cependant, ces situations peuvent parfois résulter d'une attaque de pirate informatique. Si votre site web est piraté, vous devez avoir suivi les instructions générales pour supprimer les logiciels malveillants et les scripts nuisibles. 

Et lors du nettoyage de votre site web, il vous est peut-être arrivé de découvrir des utilisateurs supplémentaires jouant le rôle d'administrateurs et restant invisibles sur votre site. 

Ces profils d'administrateurs invisibles sont la cause principale de l'injection de logiciels malveillants sur votre site web.

Alors pourquoi ne pas vérifier votre site web de temps en temps lors de vos activités de maintenance mensuelles et supprimer les administrateurs invisibles ?

Suivez ce guide pour protéger votre site web préféré contre les activités contraires à l'éthique.

Types d'utilisateurs sur WordPress

Avant de supprimer les profils invisibles, il est utile de connaître le type d'utilisateurs que WordPress prend en charge pour chaque site web.

WordPress propose six rôles d'utilisateur différents. Examinons chacun d'eux individuellement. Pour protéger votre site et optimiser le travail de votre équipe, il est essentiel de bien comprendre chaque rôle.

• Super administrateur : Personne ayant accès aux paramètres d’administration du réseau de blogs et disposant d’un contrôle total sur celui-ci. Cet utilisateur peut gérer plusieurs sites à partir d’une seule installation WordPress.
• Administrateur : Vous avez un contrôle total sur les paramètres d'administration du site web.
• Éditeur : Vous pouvez créer, modifier et publier du contenu et des pages, ainsi que contrôler les contributions et les pages d’autres utilisateurs.
• Auteur : Vous ne pouvez publier et contrôler que vos propres articles.
• Contributeur : En tant que contributeur, vous pouvez créer et gérer vos propres articles, mais vous ne pouvez pas les publier.
• Abonné : Vous ne pouvez contrôler que votre profil.

Comment supprimer les administrateurs invisibles de votre site WordPress ?

Il n'existe actuellement aucun mécanisme automatisé pour supprimer ces utilisateurs WordPress. L' utilisation de phpMyAdmin est nécessaire pour les supprimer. Cet article vous montrera comment supprimer les comptes d'administrateur cachés dans WordPress qui peuvent persister dans la base de données même après une injection MySQL.

L'illustration ci-dessous montre l'apparence des administrateurs invisibles dans le tableau de bord « Utilisateurs ». Ce tableau de bord peut varier selon la présence de l'utilisateur invisible sur le site web, mais il est unique en son genre.

Néanmoins, l'attitude louche et imprévisible est la tactique ultime des hackers !

Pour supprimer les utilisateurs cachés de votre site web, suivez les étapes ci-dessous :

Étape 1 : Créer une sauvegarde

Effectuez une sauvegarde de votre base de données à l'aide d'un plugin de sauvegarde tel que Backup Buddy ou Updraft Plus .

Ces plugins de sauvegarde vous aideront non seulement à créer une sauvegarde en quelques secondes, mais aussi à récupérer votre base de données précédente en quelques clics. 

Alors, ne paniquez pas si vous pensez que « modifier quelques tables de base de données permettra de garder votre site web propre »

Étape 2 : Créer un nouveau compte administrateur

Utilisez-vous le nom d'administrateur comme nom d'utilisateur ? Si c'est le cas, il serait judicieux d'opter pour un nom d'utilisateur plus difficile à pirater. Cette étape n'est pas obligatoire, mais elle mérite d'être soulignée.

Après avoir créé votre profil utilisateur, déconnectez-vous puis reconnectez-vous en tant que nouvel utilisateur.

Étape 3 : Connectez-vous à phpMyAdmin

phpMyAdmin peut paraître intimidant au premier abord. Vous vous en sortirez facilement si vous le considérez comme un éditeur de texte pour bases de données. 

phpMyAdmin est sans aucun doute l'interface de connexion et le tableau de bord les plus intimidants que vous rencontrerez dans votre expérience WordPress. De prime abord, il peut paraître complexe. Pourtant, son utilisation n'est pas si compliquée.

Consultez le code de votre fichier wp-config.php pour obtenir le nom d'utilisateur et le mot de passe de votre compte phpMyAdmin

Étape 4 : Consultez votre base de données

Une fois connecté, repérez votre base de données dans la colonne de gauche et cliquez dessus.

Une liste de tables apparaîtra à la suite de cette action. 

Seules deux tables sont importantes pour nous : 

1. wp_users
2. wp_usermeta

• Rechercher wp_users :

Commençons par la table wp_users. Cette table nous donne la liste des utilisateurs administrateurs autorisés.

Ce sont les chiffres de la colonne « ID utilisateur » qui importent ici. Notez les noms d'utilisateur. Dans notre installation, il s'agit d'utilisateurs légitimes.

• Rechercher wp_usermeta

Désolé, mais vous devrez me croire sur parole. Nous allons utiliser une requête de base de données pour trouver les personnes invisibles. Rendez-vous dans l'onglet SQL.

Ensuite, copiez et collez le texte ci-dessous dans la zone de texte, puis cliquez sur le bouton « Go » en bas à droite.

SELECT * FROM wp_usermeta WHERE meta_value LIKE '%administrator%';

Étape 5 : Identifier et supprimer les utilisateurs

Supprimez maintenant tous les utilisateurs qui ne figurent pas dans la table wp_users. Enfin, accédez à votre site web et vérifiez le nombre d'administrateurs affiché dans la liste « Tableau de bord des utilisateurs ».

La différence devrait ressembler à ceci :

Avant:

Après:

Pour résumer:

La première étape consiste à protéger votre site web, mais il est tout aussi crucial de le surveiller régulièrement. Malheureusement, de nombreux propriétaires de sites web n'ont ni le temps ni les connaissances nécessaires pour ce faire. 

C’est pourquoi, chez Seahawk Media , nous vous fournirons tous les services WordPress à notre plein potentiel.

Donc, si vous choisissez de vous débarrasser des utilisateurs désagréables qui ne font que laisser des spams, il vaut mieux les éviter pour ne pas avoir à les combattre. 

Utilisez ensuite tous les plugins et scanners pour vous assurer que les bots sont rapidement détectés et ne parviennent pas à atteindre leurs objectifs malveillants.

Enfin, si les mesures préventives ne suffisent pas à les empêcher d'infester votre installation WordPress, il est temps de les supprimer en suivant les instructions fournies ci-dessus.