Détecter Les Vulnérabilités WordPress Comme Un Pirate

minutes de lecture

janvier 22, 2019

1

Text Only 03

Quelques Statistiques Pour Commencer

Selon les statistiques présentées par le site W3Tech , près de 27,6% des sites sur Internet utilisent WordPress.

stat_wordpress


Un autre rapport venant de Sucuri confirme que les attaques de sites WordPress ont vraiment explosé en début 2017.

C'est un des groupes de pirates appelés "w4l3XzY3" qui serait responsable de ces attaques.

Pour vous en rendre compte par vous même, essayez de lancer une recherche Google avec le mot "by w4l3XzY3" :

Il y a environ 336 000 sites déjà attaqués.

En plus, toujours selon Sucuri, ce nombre est en constante évolution :

Toutes ces statistiques n'ont qu'un seul but :

Vous faire réaliser qu'il existe une très grande probabilité pour que votre site WordPress soit aussi victime d'une attaque ciblée !

Ces attaques sont très variées mais ne sont pas toutes efficaces.

La plupart des pirates se concentre sur ce qu'on appelle "failles" ou encore "vulnérabilités" .

Parmi ces vulnérabilités, certaines sont plus exploitées d'autres. Ce qui nous amène à la question :

Quelles Sont Les Vulnérabilités WordPress Les Plus Exploitées ?

D'après Wpwhitesecurity , les statistiques des attaques par taux de vulnérabilités sont les suivantes

Comme vous pouvez le constater :

  • 41% ont été piratés par une vulnérabilité de sécurité présente sur le serveur de l'hébergeur.
  • 29% ont été piratés par un problème de sécurité dans le thème WordPress qu'ils utilisaient
  • 22% ont été piratés par un problème de sécurité dans un des plugins WordPress qu'ils utilisaient.

Ces statistiques montrent surtout qu'il ne suffit pas de se fier à 100% aux plugins installés ou ne jamais mettre en cause les paramètres de sécurité offerts par un hébergeur.

On tombe tous dans le piège du "Qui pourrait avoir envie de pirater mon site ?" .

En fait, votre"petit coin web" est autant vulnérable que tous les autres sites dans le dédale du Web.

Personne n'est à l'abri !

Même si votre site ne contient pas de données personnelles (ce qui est généralement le cas), une attaque pourrait bien cibler vos visiteurs (ce qui pourrait anéantir totalement tout votre travail) .

Que ce soit pour le fun ou pour un piratage de données, vous êtes exposés !

Il est essentiel de connaitre les failles de son site pour pouvoir y remédier !

C'est ce dont traite cet article.

Comment Connaitre Les Vulnérabilités De Mon Site WordPress ?

Une telle tâche ne nécessite pas (du moins jusqu'à un certain niveau) un outil professionnel ou payant !

Il existe en fait plusieurs scanners permettant de réaliser un Audit complet de votre site.

Ils sont aussi capables de détecter les différentes vulnérabilités WordPress éventuellement présentes.

Les Meilleurs Outils Pour Scanner Votre Site WordPress

Les scanners suivants auditent votre site et vous donne une idée claire des failles et vulnérabilités qui vous font défaut.

Certains de ces outils vous proposent aussi des solutions afin de maximiser et fortifier votre protection.

Voici une liste des meilleurs scanners capables de détecter des vulnérabilités WordPress :

WordPress Security Scan

WordPress Security Scan est l'un des outils les plus performants pour détecter les failles de sécurité.

En fait, il permet de vérifier plusieurs aspects de la sécurité de votre site dont :

  • La Navigation Sécurisée Google
  • La sécurité des différents comptes administrateurs de votre site et leurs états (connectés ou déconnectés)
  • La sécurité des sites principaux liés à votre page principale
  • La vulnérabilité du thème utilisé
  • Niveau de résistance à une intrusion par force brute

Il suffit de saisir l'URL du site concerné puis d'appuyer sur le bouton "Free WordPress Security Check" pour commencer l'analyse .

Si votre site web est sécurisé, la mention "PASSED" en vert devrait s'afficher sinon ce sera "FAILED" .

Le rapport est disponible en déroulant la page.

WPscans

WPscans consulte la base de données de vulnérabilité WPScan pour comparer la version de WordPress détectée et signaler si un noyau est vulnérable ou pas.

La même procédure est utilisée pour analyser les plugins et les thèmes détectés par l'analyse.

Pour commencer l'analyse, il suffit de saisir l'URL du site et d'appuyer sur le bouton "START SCAN NOW" :

WPscans permet d'analyser et de trouver les failles (si elle existent) concernant :

  • Votre thème
  • Les plugins installés
  • Les entêtes HTML
  • Les Liens principaux référant

Si le test est favorable vous aurez la mention suivante :WPScan permet de détecter  plus de 6100 vulnérabilités de base de données. Il est donc très pratique et très performant.

Le seul défaut est qu'il utilise un système de crédit qui le rend limité en utilisation.

SUCURI

SUCURI est un site qui offre une solution complète de sécurité qui inclut le contrôle, le nettoyage et la protection.

Cette solution comporte un antivirus et un pare-feu pouvant remédier aux failles et aux vulnérabilités WordPress.

En plus, SUCURI vous offre la possibilité d'analyser votre site afin de détecter les différentes lacunes. 

Le Sitecheck est totalement gratuit. Il vérifie les logiciels malveillants, le statut de votre site, les technologies utilisées et les erreurs.

L'utilisation de ce scanner en ligne suit le même principe que les précédents.

Il suffit de saisir l'URL du site concerné puis d'appuyer sur le bouton "SCAN WEBSITE" .

Si le test est favorable vous devriez avoir la mention suivante.

Il est bon de savoir, qu'il existe un Plugin de ce même outil permettant de lancer une analyse complète depuis votre tableau de bord WordPress.

Vous pouvez l'installer à partir de ce lien : Sucuri Security.

PenTest-Tools

Pentest Tools est aussi un outil très pratique capable de détecter les vulnérabilités WordPress.

En plus, il permet de générer un rapport complet téléchargeable en format PDF.

Après avoir saisi l'URL du site cliquez sur le bouton "START" :

Le seul inconvénient de cet outil est qu'il utilise un système de crédit un tantinet ennuyeux !

Exploit Scanner

Exploit Scanner est en fait un Plugin WordPress à installer qui permet d'analyser les fichiers, la base de donnée ainsi que les commentaires.

Après avoir installer et activer ce plugin, allez au menu "Outils"  puis "Exploit Scanner" et enfin lancez l'analyse grâce au bouton "Run the scan"

L'avantage d'utiliser ce plugin est qu'il est très précis et très rapide.

WP Loop

WP Loop est un scanner qui effectue plusieurs tests, notamment sur votre base de donnée, les différentes échanges d'informations ainsi que les versions de WorDPress et de PHP.

L'utilisation est la même :

Le rapport est directement affiché en dessous.

Acunetix

Acunetix est une plate-forme complète capable de trouver toutes les vulnérabilités WordPress.

Acunetix teste votre site pour les attaques XSS, SQLi, SSL, DOS, Header, SSRF, XXE avec plus de 1200 plugins WordPress supportés.

Il teste aussi les fichiers de votre base de données, les mots de passe administrateur ,wp-config.php et bien plus encore.

Pour pouvoir utiliser l'analyse en ligne, il est indispensable de s'inscrire.

Quttera

Quttera est aussi un plugin WordPress très efficace.

Il se concentre sur les menaces venant des Malware et autres fichiers malveillants.

Vous pouvez l'utiliser en allant à l'option "Quttera" du menu principal de WordPress.

Vous avez la possibilité d'utiliser deux modes d'analyse qui sont chacun très précis.

Le mode "Internal Scanner" teste la stabilité de votre site ainsi que sa structure interne.

Le mode "External Scanner" teste votre site depuis le serveur de Quttera

Diagnostic Google

Ce diagnostic n'est pas une analyse des vulnérabilités WordPress mais plutôt un vérificateur de la fiabilité d'un site selon les critères de Google.

Il suffit de saisir l'adresse d'un site pour le vérifier

Conclusion

Voilà, j’espère que tous ces outils vous permettrons de bien sécuriser vos sites Web. Surtout que les vulnérabilités WordPress et les failles sont de plus en plus exploitables.

Pour vous protéger, je vous suggère de bien adapter votre stratégie en concordance avec les différentes analyses que vous aurez réalisé.

Parmi les outils les plus performants, je peux vous citer SUCURI, Incapsula ou encore Wordfence Security.

  • {"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
    >