WordPress : comment récupérer la liste des utilisateurs d'un blog et comment s'en prémunir ?

WordPress : comment récupérer la liste des utilisateurs d'un blog et comment s'en prémunir ?

Publié par le dans WordPress
2 minutes de lecture — 116 vues — 0 commentaire

Vous cherchez à récupérer la liste des utilisateurs inscrits d'un blog WordPress ? Sachez que c'est possible ! En effet, un site permet de récupérer la liste entière des utilisateurs d'un blog WordPress et affiche leur nom d'utilisateur, ainsi que leur adresse email (dans certains cas).

Comment récupérer la liste des utilisateurs d'un blog WordPress ?

Pour récupérer la liste des utilisateurs d'un blog WordPress, il vous suffit de vous rendre sur WordPressExposé, et de saisir l'URL du blog à crawler (action d'explorer le site automatiquement).

L'application Web se chargera de récupérer les utilisateurs, et de les afficher sous forme d'une liste exploitable. Nous avons essayé avec le site WordPress de nos confrères : LeJournalDuGeek.

Résultat de l'expérience : 305 lignes dans le tableau, donnant le nom d'utilisateur et pour certains cas, l'adresse email de l'utilisateur.

Comment protéger son blog WordPress ?

Il existe des solutions pour se prémunir de ce genre de faille de sécurité, à appliquer directement sur votre blog WordPress, en installant un plugin, ou en désactivant une fonctionnalité native.

Pour commencer, vous pouvez désactiver les avatars provenant de Gravatar.com. En effet, l'application présentée précédemment utilise les avatars de Gravatar pour récupérer le hash de l'email dans l'URL de l'image, elle peut ensuite comparer ce hash avec une chaîne de caractère connue (ici, l'email), et retourner l'email de l'utilisateur.

https://www.gravatar.com/avatar/1b11f093c07875772b072cadb4179bb7

Ici, 1b11f093c07875772b072cadb4179bb7 est le hash MD5 de notre adresse email de contact officiel. Si ce hash est connu, il peut effectivement être utilisé pour être comparé.

L'API REST de WordPress, installée maintenant par défaut sur le moteur de blog, peut aussi jouer dans cette faille de sécurité, il vaut mieux la désactiver. Pour ce faire, vous pouvez utiliser cette extension WordPress (plugin) : Disable REST API.

Vous pouvez également utiliser un système de commentaire tierce pour votre blog, comme Disqus, ou le système de commentaire de Facebook (un widget à installer sur votre blog).

Pensez à protéger vos rédacteurs !

Commentaires

Ne ratez plus notre actualité

Recevez notre actualité directement dans votre boîte aux lettres électronique. Nous n'enverrons aucun spam, et votre adresse email ne sera jamais partagée.