Sur de nombreux sites web, les administrateurs rédigent et publient directement leurs articles depuis leur compte principal.
C’est pratique, rapide… mais aussi risqué.
En agissant ainsi, vous exposez votre site à des erreurs humaines, à des attaques, et parfois même à des informations sensibles visibles publiquement, comme le nom exact de votre compte administrateur.
Publier un article depuis un compte administrateur, c’est un peu comme laisser les clés de votre entreprise sur le comptoir : ça simplifie le quotidien, mais ça ouvre la porte à tous les risques.
🔑 Le rôle de l’administrateur
Un compte administrateur a tous les pouvoirs sur votre site : modifier le contenu, gérer les utilisateurs, changer la configuration, installer des extensions… En clair, c’est la clé de la maison, du coffre-fort et du système d’alarme.
Ce niveau d’accès doit être réservé à des tâches d’administration :
- création de comptes utilisateurs,
- mises à jour techniques,
- configuration du site.
Rédiger ou publier du contenu n’en fait pas partie.
⚠️ Les risques concrets
Utiliser le compte administrateur pour des tâches du quotidien, c’est exposer inutilement votre site à plusieurs menaces :
- Erreur humaine : une mauvaise manipulation (suppression, plugin mal activé, mauvaise mise à jour) peut casser le site en quelques secondes.
- Compromission : si le mot de passe ou la session est volé (phishing, malware, navigateur compromis), l’attaquant a le contrôle total du site.
- Absence de traçabilité : si plusieurs personnes utilisent le même compte admin, impossible de savoir qui a fait quoi en cas d’incident.
- Fuite d’informations : sur certains CMS comme WordPress, le nom du compte auteur est visible publiquement dans l’URL ou le profil.
→ Si vous publiez avec un compte administrateur, vous divulguez son identifiant à n’importe quel visiteur… et facilitez le travail d’un pirate.
Exemples concrets :
- L’URL de l’article peut contenir “/author/admin/”.
- L’auteur affiché sous l’article peut révéler un nom d’utilisateur réel.
Ces petits détails suffisent à un attaquant pour cibler directement le compte administrateur.
🛠️ Les bonnes pratiques
Heureusement, la solution est simple :
- Utilisez un compte “éditeur” ou “auteur” pour créer et publier vos articles.
→ Ces rôles permettent de rédiger, corriger et publier du contenu, sans toucher à la configuration du site. - Gardez le compte administrateur pour la maintenance et les changements techniques.
- Créez des comptes séparés pour chaque collaborateur, avec les droits adaptés à leurs besoins.
- Activez la double authentification (MFA) sur tous les comptes à privilèges.
- Ne publiez jamais sous un identifiant sensible (“admin”, “root”, “webmaster”…). Ces noms sont les premiers testés par les attaquants.
Séparer les rôles, c’est une mesure simple qui renforce durablement la sécurité de votre site.
👉 Prenez quelques minutes aujourd’hui pour vérifier les comptes visibles sur votre site web et créer un profil “éditeur” pour vos publications.
Ce petit changement peut éviter une compromission majeure demain.