Testez la sécurité de votre WordPress avec WPScan

1 785

Article rédigé par Étienne, rédacteur sur la plateforme Soumettre.fr


Ces dernières semaines ont vu un vent de panique s’abattre sur la communauté WordPress. En cause : une faille de sécurité découverte au niveau de l’API REST introduite avec la version 4.7 de WordPress (API activée par défaut avec la réécriture d’URLs). S’en est alors suivi une vague d’attaques permettant à leurs auteurs de modifier le contenu des sites ciblés par injection de code. Bien que ce problème ait été rapidement corrigé fin janvier avec l’arrivée de la mise à jour 4.7.2 de WordPress, certains blogs restent malgré tout encore vulnérables face aux risques de piratage.

Vérifiez régulièrement la sécurité de votre installation WordPress

Victime de son succès, WordPress est l’une des cibles privilégiées des hackers sur le net. Chaque nouvelle mise à jour, ou presque, intègre des correctifs de sécurité venant combler des failles découvertes quelques jours auparavant. Il est ainsi essentiel de toujours disposer de la dernière version pour sécuriser au mieux votre installation. Toutefois, la mise à jour de WordPress à elle seule ne suffit pas. Les thèmes et plugins installés sont eux aussi potentiellement vulnérables face aux assaillants. Leur mise à jour doit également être effectuée avec le plus grand soin.

faille sécurité WordPress

Malgré ces quelques conseils basiques en matière de sécurité, les pirates informatiques auront néanmoins toujours un temps d’avance. Et si, les correctifs sont en général disponibles rapidement, certaines failles restent plus critiques que d’autres. Le meilleur moyen de se protéger est donc de savoir à quel risque on s’expose en prenant les devants de manière proactive. En effet, pourquoi attendre qu’un plugin sensible soit corrigé quand il suffit de le désactiver temporairement pour sécuriser son WordPress ? A ce sujet, nous ne saurions trop vous inciter de limiter au maximum le nombre de plugins présents sur votre blog.

WPScan : un outil Black Hat au service des White Hats

Bien souvent, la barrière entre White Hat et Black Hat est infime. Tout dépendra de l’utilisation que vous ferez des outils de pénétration (pentest tools) mis à votre disposition. Mais en ce qui nous concerne, nous nous contenterons de rester du côté lumineux de la force en employant WPScan à des fins de sécurisation. Notre but étant ici de déceler les failles de notre installation WordPress et de les éradiquer avant que d’autres utilisateurs moins bien intentionnés ne les trouvent.

Disponible au téléchargement sous Linux et Mac OS X, WPScan est un outil en ligne de commandes très simple à utiliser. Cependant, si vous ne disposez pas de machine sous l’un de ces OS, sachez que cet outil est présent sur différents live CDs dédiés à la sécurité : Kali Linux, BackBox Linux, Pentoo, SamuraiWTF ou encore BlackArch. Il vous suffit alors de copier l’une de ces images sur une clef USB bootable ou de la faire tourner dans une machine virtuelle pour utiliser WPScan.

Fonctionnement du scanner de vulnérabilité WPScan

Comme nous vous l’expliquions précédemment, l’utilisation de WPScan est d’une facilité déconcertante. Il vous suffit pour cela d’ouvrir une fenêtre de terminal et de saisir la commande suivante : « wpscan –update ». Cette première commande procédera à la mise à jour de la base de données des vulnérabilités WordPress. Ensuite, il vous faudra saisir la commande « wpscan –url urlDeVotreBlog » pour lancer le scan de votre WordPress (urlDeVotreBlog étant bien entendu à remplacer par votre propre URL sous la forme www.exemple.com ou exemple.com). S’en suit alors la procédure de scan à proprement parler.

 

 

WPScan va dans un premier temps s’attarder sur la recherche d’informations concernant votre installation de WordPress (présence d’un fichier robots.txt, numéros de versions de WordPress, d’Apache et de PHP, répertoires accessibles en lecture, etc.). Puis, dans un second temps, il se chargera de lister toutes les failles connues de votre version de WordPress ; ainsi que celles de vos thèmes et plugins installés. Il vous sera alors très aisé d’identifier visuellement les faiblesses de votre installation et de mener les actions correctives nécessaires pour en sécuriser l’ensemble.

A noter, pour finir, que WPScan dispose d’autres options plus poussées que vous pouvez consulter en invoquant l’aide avec la commande « wpscan –help ». Nous laissons donc à votre discrétion le choix de les découvrir et de les utiliser de manière éthique.

Un commentaire

  1. Je l’ai testé sur mon blog il y a 2 semaines j’ai pu découvrir que j’avais deux dossiers plugins qui affichaient la liste des dossiers ( corrigé depuis )

    Ca permettait de connaître les versions des plugins
    Je me suis aperçu aussi que certains plugins laissaient des infos sur leur version ( avec un fichier genre readme plugins v2.3.txt) donc fichier à virer mais qui peuvent réapparaître avec une mise à jour du plugins

    En tout cas je recommande de faire l’essai au moins 1x sur votre site vous pouvez être surpris

Réagis