Ajouter un administrateur WordPress fait partie des petites actions qui ont un impact énorme sur la vie d’un site. Un clic mal placé, un rôle mal attribué, et tout un projet peut se retrouver bloqué, voire exposé à des risques inutiles.
À l’inverse, une bonne gestion des utilisateurs, avec les bons droits pour les bonnes personnes, transforme ton tableau de bord en un outil de travail d’équipe. Qu’il s’agisse de confier les clés du site à un client, d’intégrer un nouveau développeur, ou de te créer un second compte d’urgence, tout se joue dans ces réglages parfois sous-estimés.
Ce guide décortique les étapes concrètes pour ajouter un utilisateur administrateur, transformer un simple abonné en super admin, et surtout éviter les erreurs classiques qui font grimacer les hébergeurs et les experts sécurité. Tu vas voir comment fonctionne la hiérarchie des rôles, comment paramétrer proprement la création de compte, quel mot de passe choisir, quelles permissions WordPress accorder, et quand il vaut mieux dire non à une demande de droits « juste pour voir ».
Le tout avec des exemples de cas réels : site vitrine, e‑commerce, blog multi-auteurs, projet client.
- Comprendre les rôles utilisateurs WordPress pour éviter de donner trop (ou pas assez) de pouvoirs.
- Créer un compte administrateur étape par étape depuis le tableau de bord.
- Passer un abonné en administrateur en restant du côté safe de la force.
- Sécuriser ton site en limitant le nombre d’admins, en durcissant les mots de passe et en ajoutant une 2FA.
- Dépanner les cas tordus : utilisateur introuvable, rôles en masse, plugins de gestion avancée.
Rôles et permissions WordPress : la base avant d’ajouter un administrateur
Avant de cliquer sur « Administrateur » dans un menu déroulant, mieux vaut comprendre ce que cela implique. WordPress repose sur un système de rôles utilisateurs qui contrôle qui fait quoi dans le back‑office.
Ce n’est pas juste du confort, c’est une brique clé de la sécurité du site et de son organisation au quotidien.
Pour rendre ça concret, prenons l’exemple d’un petit site d’actualités. Elle écrit des articles, fait relire certains textes, confie la mise en page à un collègue et laisse la partie technique à un freelance. Si tout le monde est administrateur, chaque erreur peut avoir des conséquences sur l’ensemble du site. Si chacun a un rôle adapté, les dégâts potentiels se limitent à son périmètre.
Panorama des rôles utilisateurs WordPress par défaut
WordPress propose plusieurs rôles natifs. Chacun cumule un ensemble de capacités, ce qu’on appelle les permissions WordPress. En simplifiant, voilà comment ils se répartissent.
| Rôle | Niveau d’accès | Cas d’usage typique |
|---|---|---|
| Abonné | Très limité | Lecteur, client qui gère son compte |
| Contributeur | Rédige sans publier | Rédacteur débutant, invité ponctuel |
| Auteur | Gère ses propres contenus | Blogueur régulier, freelance éditorial |
| Éditeur | Gère tout le contenu | Responsable éditorial, chef de rubrique |
| Administrateur | Accès complet | Propriétaire du site, lead technique |
Le rôle d’abonné sert surtout aux visiteurs qui ont besoin d’un compte : membres de communauté, clients d’une boutique en ligne, utilisateurs d’un espace privé. Ils peuvent généralement consulter leur profil, changer leur mot de passe et éventuellement suivre certains contenus, mais ils ne touchent pas à la structure du site.
Le contributeur commence à mettre les mains dans le contenu. Il rédige ses propres articles, peut les modifier tant qu’ils ne sont pas publiés, mais ne les met jamais lui-même en ligne. C’est parfait pour un stagiaire éditorial ou un invité qui propose un billet à valider.
Un auteur va plus loin : rédaction, mise à jour, publication, suppression de ses propres contenus, gestion de ses médias. C’est le rôle classique d’un rédacteur confirmé qui gère sa rubrique sans dépendre d’un supérieur pour chaque clic.
L’éditeur supervise l’ensemble du contenu, peu importe qui l’a écrit. Il peut corriger, publier, dépublier, modérer les commentaires, gérer les catégories et les étiquettes. Il n’approche pas les réglages sensibles du site, mais il a la main sur tout ce qui est éditorial.
Et puis arrive le fameux rôle administrateur. Celui qui peut installer ou supprimer des extensions, changer de thème, modifier des réglages critiques, créer ou effacer des comptes, y compris ceux des autres administrateurs. En gros, cette personne peut casser le site ou le sauver. D’où la nécessité d’être très sélectif quand tu veux ajouter un administrateur WordPress.
Pourquoi un simple abonné ne doit pas devenir administrateur à la légère
La plupart des nouveaux comptes créés via un formulaire d’inscription public arrivent avec le rôle d’abonné. C’est une protection contre les abus. Si au moindre clic d’inscription quelqu’un obtenait un accès complet au tableau de bord, les attaques automatisées auraient la vie beaucoup trop facile.
Quand tu te demandes si tu dois faire évoluer un abonné en administrateur, pose toi deux questions simples. Est-ce que cette personne a vraiment besoin de gérer les extensions, les thèmes ou les réglages du site au quotidien. Et si ce compte se fait pirater demain, jusqu’où les dégâts peuvent aller.
Dans beaucoup de cas, un rôle d’éditeur suffit largement pour un profil qui « gère le contenu ». Les extensions d’e‑commerce ajoutent souvent un rôle de gestionnaire de boutique qui permet de traiter les commandes sans toucher au reste. Monter un abonné au sommet de la pyramide doit rester une exception, pas la règle.
Si tu veux creuser la logique de protection autour de WordPress, un détour par un comparatif comme cette analyse sécurité entre CMS montre bien comment le contrôle des rôles fait partie de la défense globale d’un site.
Retenir la hiérarchie des rôles et leurs limites te donne une boussole claire avant d’attaquer la partie purement pratique : la création de compte administrateur et le changement de rôle.
Ajouter un utilisateur administrateur depuis le tableau de bord WordPress
Passons au concret. La méthode la plus propre pour ajouter un administrateur WordPress, c’est tout simplement d’utiliser l’interface prévue pour ça. Pas besoin de toucher à la base de données ni au code, tant que tu as déjà un compte admin fonctionnel.
Accéder au tableau de bord et à la gestion utilisateurs
Tout commence par la connexion. Ouvre ton navigateur et visite l’URL de connexion du site, en général /wp-admin à la fin du nom de domaine. Tu arrives sur la page avec les deux champs classiques : identifiant ou adresse e‑mail, et mot de passe.
Tu te connectes avec un compte qui possède déjà le rôle administrateur. Si tu as un doute, regarde simplement le menu à gauche une fois dans le back‑office. Si tu vois « Extensions », « Outils », « Réglages » et surtout « Utilisateurs », tu es au bon niveau. Sinon, c’est que le compte est limité.
Dans la barre latérale, clique sur Utilisateurs, puis sur « Tous les utilisateurs ». Tu arrives sur l’écran central de la gestion utilisateurs WordPress : liste des comptes, rôles actuels, filtres, recherche.
Création d’un nouveau compte administrateur étape par étape
Pour ajouter un utilisateur, repère le bouton « Ajouter » ou « Ajouter un utilisateur » en haut de cette page. Tu bascules sur un formulaire assez simple, mais chaque champ compte.
Tu dois renseigner au minimum :
- Nom d’utilisateur unique, sans espace, qui ne soit pas « admin » ou le nom de domaine.
- Adresse e‑mail valide, accessible par la personne à qui tu donnes le compte.
- Éventuellement un prénom, un nom, un site web, pour garder une base propre.
WordPress peut générer un mot de passe solide automatiquement. Ne le remplace pas par quelque chose de simpliste. Un bon mot de passe admin mélange lettres minuscules, majuscules, chiffres et caractères spéciaux, avec une longueur d’au moins 12 caractères. C’est un des piliers de la sécurité du site.
La partie critique se trouve dans le menu déroulant Rôle. Tu sélectionnes « Administrateur ». Tu vérifies une dernière fois que tu n’es pas en train de faire ça pour un compte générique ou une personne dont tu n’es pas sûr. Ensuite seulement, tu valides en cliquant sur « Ajouter un utilisateur ».
WordPress enregistre la création du compte dans la base de données, et la personne peut se connecter immédiatement avec ses identifiants. Une fois loguée, elle voit le même type d’accès admin que toi.
Tester et sécuriser le nouveau compte
Un réflexe utile consiste à te déconnecter, puis à te reconnecter une fois avec ce tout nouveau compte administrateur. Tu confirmes que tout fonctionne, que le mail n’est pas bloqué par un filtre, et qu’il n’y a pas d’erreur de saisie. Sur un site client, cette vérification évite des allers‑retours inutiles.
Dès que ce nouveau compte admin est opérationnel, encourage son propriétaire à activer une authentification à deux facteurs via une extension dédiée. Une simple app mobile d’OTP ou une clé physique ajoute une barrière très efficace contre les tentatives d’intrusion.
Si tu veux optimiser au passage d’autres aspects du site, c’est souvent le bon moment pour t’intéresser à des points comme la structure des URLs, le SEO ou la pagination. Par exemple, l’article sur les astuces de pagination WordPress montre à quel point les règles techniques et éditoriales s’entremêlent dans le back‑office.
Au fond, cet ajout d’administrateur doit s’inscrire dans une vision d’ensemble : qui gère quoi, qui a quelle responsabilité, et comment tout ça se traduit en permissions réelles dans WordPress.
Transformer un abonné en administrateur : méthode guidée et risques à connaître
Dans beaucoup de cas, la personne à qui tu veux confier des droits avancés a déjà un compte sur le site. C’est typique d’un client qui s’est inscrit en tant qu’abonné pendant la phase de test, ou d’un membre d’équipe qui commentait les articles avant de prendre du galon.
La bonne nouvelle, c’est que la procédure pour faire évoluer un abonné en administrateur est très simple. La mauvaise, c’est qu’elle peut être utilisée à la légère si tu ne poses pas un minimum de cadre.
Retrouver l’utilisateur et modifier son rôle
Retourne dans le menu Utilisateurs du tableau de bord, sur la vue « Tous les utilisateurs ». Si la liste est longue, utilise le champ de recherche en haut à droite. Tu peux taper le nom d’utilisateur, l’e‑mail ou même une partie de l’un des deux.
Une fois la ligne repérée, survole-la avec la souris. Des actions rapides apparaissent : « Modifier », « Supprimer », parfois d’autres selon les extensions installées. Clique sur Modifier pour ouvrir la fiche complète de l’utilisateur.
Tu arrives sur un formulaire avec plusieurs sections. Descends jusqu’au champ « Rôle », sous forme de menu déroulant. La valeur actuelle est probablement « Abonné ». Tu sélectionnes alors Administrateur dans la liste.
Tu peux profiter de cette page pour vérifier deux ou trois détails : adresse e‑mail encore valide, choix d’une langue correcte pour le back‑office, éventuels raccourcis clavier ou préférences visuelles. Une fois satisfait, clique sur « Mettre à jour l’utilisateur » tout en bas.
À partir de ce moment, cet ancien abonné dispose des droits complets d’admin. La manipulation est réversible : tu peux, plus tard, redescendre son rôle vers éditeur ou auteur si besoin.
Situations typiques où ce changement a du sens
Ce changement de rôle administrateur répond à plusieurs scénarios assez fréquents.
Premier cas : tu as livré un site à un client, tu as tout géré pendant la phase de construction, et tu veux lui donner le contrôle complet une fois le projet stabilisé. Plutôt que de créer un nouveau compte, tu passes simplement son compte existant en admin afin qu’il garde son historique (commentaires, éventuels brouillons, etc.).
Deuxième cas : un collègue qui suivait le projet en tant qu’observateur rejoint officiellement l’équipe technique. Son compte abonné devient un compte administrateur pour lui permettre de gérer les extensions, les mises à jour du thème, ou la configuration de certains plugins critiques.
Troisième cas : dans une organisation associative ou une petite structure, un bénévole de longue date prend un rôle de référent numérique. Là aussi, la promotion de son compte existant donne de la continuité sans multiplier les identifiants.
Les précautions à prendre avant de cliquer
Avant de valider, pose toi quand même quelques questions de bon sens. Cette personne sait-elle ce que signifie installer ou supprimer une extension, modifier un thème, ou toucher à un réglage de permaliens. A-t‑elle déjà cassé un site « par curiosité » par le passé.
Si l’objectif est seulement de gérer le contenu, un rôle d’éditeur reste nettement plus sage. Il donne beaucoup de liberté sans exposer les couches profondes du site. Pour les boutiques en ligne, les rôles dédiés au commerce (shop manager, selon les plugins) couvrent tout ce qui concerne les commandes, les produits et les clients.
Une autre bonne pratique consiste à faire une sauvegarde complète du site avant de distribuer de nouveaux droits administrateurs. Beaucoup d’hébergeurs modernes proposent une restauration en un clic. En cas de mauvaise manipulation, tu reviens à un état propre en quelques minutes.
Modifier un rôle ne prend que quelques secondes, mais c’est un geste à impact élevé. Tu gagnes du temps en comprenant bien ce que tu autorises, et tu évites les regrets plus tard.
Bonnes pratiques de sécurité quand tu ajoutes un administrateur WordPress
Dès que tu crées ou modifies un compte administrateur, tu touches à la surface la plus sensible de ton site. Les attaques et les scripts automatiques visent en priorité cette porte d’entrée. Du coup, chaque choix de gestion des utilisateurs a une conséquence directe sur la robustesse du site.
Limiter le nombre d’administrateurs et définir les bons périmètres
Premier principe simple : moins il y a d’admins, mieux le site se porte. Sur un petit site vitrine, un seul compte administrateur suffit souvent. Ajoute un second compte, distinct, uniquement si tu as un vrai besoin de délégation ou un scénario de secours en cas de perte d’accès au premier.
Sur un site plus gros, avec une équipe élargie, l’objectif reste le même. Deux ou trois admin maximum, identifiés, responsables, avec des personnes clairement formées. Pour le reste de l’équipe, tu joues avec les autres niveaux de rôle. Un site éditorial gagne souvent à avoir plusieurs éditeurs, mais très peu d’administrateurs.
J’ai vu des cas où chaque rédacteur avait un compte admin « au cas où ». Résultat : un mot de passe faible qui fuite, et c’est tout le site qui part en vrille. À l’inverse, une équipe où seuls deux profils avaient les clés complètes s’en est sortie bien mieux lors d’un incident, car le périmètre à surveiller était réduit.
Renforcer les identifiants et ajouter de la 2FA
Un compte administrateur avec un mot de passe basique revient à laisser la porte ouverte. Tu peux éviter ça en posant quelques règles de base. Interdiction des mots de passe trop courts, des combinaisons évidentes, des mots liés directement au projet ou au nom de domaine.
Les gestionnaires de mots de passe modernes génèrent des combinaisons solides et permettent de les stocker sans les retenir par cœur. Tu gagnes en confort et en sécurité. De ton côté, n’affiche jamais ces mots de passe dans un document partagé en clair, encore moins dans un e‑mail.
L’authentification à deux facteurs (2FA) vient compléter ce dispositif. Même si un mot de passe fuit, un attaquant bloquera sur le second facteur : code temporaire, app mobile, clé physique. Sur un site où plusieurs comptes administrateurs existent, imposer la 2FA devient presque non négociable.
Nettoyer régulièrement la liste des utilisateurs WordPress
La gestion des utilisateurs ne s’arrête pas le jour où tu crées le compte. Un bon réflexe consiste à faire tous les quelques mois un tour dans « Utilisateurs » pour vérifier qui a encore besoin de ses droits.
Un prestataire qui n’intervient plus, un stagiaire parti depuis un an, un client qui a migré vers un autre prestataire… Tous ces profils n’ont plus de raison de garder un rôle puissant. Tu peux soit les rétrograder (de admin à éditeur par exemple), soit les supprimer en réassignant leurs contenus à un compte toujours actif.
Ce ménage régulier fait une différence réelle. Dans beaucoup de failles exploitées sur des sites en production, l’attaque est passée par un vieux compte oublié plutôt que par le propriétaire principal du site.
Aller plus loin dans la protection
Une fois ces bases posées, tu peux t’intéresser à des protections complémentaires : limitation du nombre de tentatives de connexion, masquage d’une partie des informations techniques, contrôle des extensions installées. Par exemple, certaines approches pour cacher les plugins WordPress permettent de réduire les informations visibles par un visiteur mal intentionné.
Au final, chaque nouveau compte administrateur doit être vu comme un « contrat de confiance » entre toi et la personne concernée. Tu lui donnes le pouvoir de maintenir le site en bonne santé, mais aussi la capacité d’y faire du dégât. Tout l’enjeu est de maximiser le premier aspect et de contenir le second.
Dépanner les problèmes fréquents lors de l’ajout d’un administrateur
Sur le papier, tout est simple : formulaire, clic, validation. Dans la réalité, quelques grains de sable viennent parfois bloquer la machine. Surtout quand le site tourne depuis longtemps, avec des plugins qui modifient les droits, des inscriptions en masse, ou des migrations successives.
Utilisateur introuvable, e‑mail qui ne part pas, rôle grisé
Parfois, la personne que tu veux promouvoir n’apparaît tout simplement pas dans la liste des utilisateurs WordPress. Premier réflexe : vérifier que tu n’as pas appliqué un filtre en haut de la page (par rôle par exemple). Si tu affiches uniquement les auteurs, l’abonné que tu cherches ne se montrera jamais.
Si tu ne vois toujours rien, confirme avec la personne qu’elle s’est bien inscrite, ou tente une recherche par e‑mail exact. En cas de doute, tu peux créer un nouveau compte proprement plutôt que de perdre du temps à traquer une inscription fantôme.
Autre souci courant : le mail de création de compte ou de réinitialisation de mot de passe qui n’arrive pas. Là, on sort un peu du sujet « roles et permissions », mais la conséquence est la même. Sans accès e‑mail, la personne ne peut pas sécuriser son compte. Un plugin SMTP ou une configuration correcte côté hébergeur résout souvent ce genre de blocage récurrent.
Enfin, il arrive que le champ « Rôle » soit figé ou limité. Certains plugins de sécurité ou de gestion avancée des droits peuvent restreindre qui a le droit de changer les rôles. Dans ce cas, vérifie la configuration de ces extensions depuis un compte vraiment admin, ou désactive‑les temporairement pour tester.
Modifier plusieurs rôles d’utilisateurs en une seule fois
Sur un petit site, gérer les comptes un par un suffit largement. Sur un projet plus gros, avec des dizaines ou des centaines d’abonnés, la donne change. Si tu dois promouvoir ou rétrograder toute une série de comptes, les options natives de WordPress restent limitées.
C’est là que des plugins dédiés à la gestion des utilisateurs et des rôles prennent tout leur sens. Des outils comme User Role Editor ou Members te permettent de sélectionner plusieurs comptes d’un coup, puis de modifier leur rôle en quelques clics. Tu peux aussi créer des rôles personnalisés avec des combinaisons de permissions plus fines que les rôles standards.
Attention tout de même à ne pas compliquer la grille de lecture. Trop de rôles différents finissent par perdre tout le monde, surtout si la documentation interne n’est pas à jour. Mieux vaut deux ou trois rôles bien configurés qu’une jungle de profils à demi utilisés.
Quand l’accès au tableau de bord admin est perdu
Cas un peu plus extrême, mais qui arrive : plus aucun compte administrateur accessible. Mot de passe perdu sans e‑mail fonctionnel, admin supprimé par erreur, ou site récupéré suite à un changement de prestataire sans les accès d’origine.
Dans ces situations, la solution ne passe plus par l’interface classic. Il faut recréer un compte avec rôle administrateur soit via phpMyAdmin (en insérant directement l’utilisateur dans la base de données), soit via un petit script temporaire connecté à WordPress, soit encore via l’interface de certains hébergeurs qui proposent une fonction de « compte admin d’urgence ».
Ce genre de manipulation dépasse le cadre d’une simple prise en main, mais l’idée reste la même : tu reconstruis un compte admin, puis tu reviens aux bonnes pratiques décrites plus haut pour ne pas retomber dans la même situation. Là encore, un suivi propre de qui a quel compte et comment y accéder évite ce genre de stress.
Tomber sur ces problèmes rappelle qu’un site WordPress n’est pas juste une addition de pages, mais bien un système vivant où la couche « utilisateurs » joue un rôle central, au même niveau que le contenu ou la technique.
Comment ajouter rapidement un administrateur sur WordPress ?
Pour ajouter un administrateur WordPress, connecte-toi d’abord au tableau de bord avec un compte qui possède déjà les droits admin. Dans le menu latéral, ouvre la section Utilisateurs puis Tous les utilisateurs. Clique sur Ajouter, remplis les champs obligatoires (nom d’utilisateur, e‑mail, mot de passe) et choisis le rôle Administrateur dans le menu déroulant. Valide en enregistrant le nouvel utilisateur, puis teste la connexion avec ce compte pour vérifier que tout fonctionne correctement.
Quand vaut-il mieux éviter de donner le rôle administrateur ?
Tu peux éviter le rôle administrateur dès que la personne n’a pas besoin de toucher aux réglages du site, aux extensions ou aux thèmes. Pour un profil centré sur le contenu, un rôle d’éditeur est suffisant. Pour un rédacteur seul, le rôle d’auteur suffit. Pour un membre de la boutique, le rôle de gestionnaire de boutique proposé par certains plugins e‑commerce est plus adapté. Le rôle administrateur doit rester réservé au propriétaire du site et à un nombre très limité de personnes de confiance.
Comment transformer un abonné en administrateur sur WordPress ?
Va dans Utilisateurs, puis Tous les utilisateurs. Repère l’abonné grâce à la recherche si besoin, survole sa ligne et clique sur Modifier. Dans la fiche utilisateur, trouve le champ Rôle, qui indique actuellement Abonné, et remplace-le par Administrateur dans le menu déroulant. Enregistre les modifications avec Mettre à jour l’utilisateur. L’ancien abonné a désormais un accès complet au tableau de bord, donc assure-toi que ce changement est justifié et que le compte est sécurisé.
Combien d’administrateurs un site WordPress devrait-il avoir ?
Sur un petit site vitrine ou un blog personnel, un seul administrateur bien sécurisé suffit généralement, avec éventuellement un second compte de secours. Sur un site d’équipe, deux ou trois administrateurs au maximum restent raisonnables. Au-delà, les risques augmentent : erreurs humaines, mots de passe négligés, comptes oubliés. Pour l’essentiel des tâches éditoriales, privilégie les rôles auteur ou éditeur, qui réduisent la surface d’attaque sans bloquer la production.
Existe-t-il des plugins pour mieux gérer les rôles et permissions WordPress ?
Oui, plusieurs extensions permettent d’affiner les permissions WordPress et de mieux organiser la gestion des utilisateurs. Des plugins comme User Role Editor ou Members ajoutent une interface graphique pour créer de nouveaux rôles, ajuster finement les capacités de chaque profil et modifier plusieurs rôles d’un coup. Ils sont utiles pour les sites complexes ou les organisations avec de nombreux utilisateurs, à condition de documenter les choix effectués pour ne pas rendre la grille de droits illisible.
