Audit de sécurité WordPress et test de pénétration
Updated on: June 27, 2023
Aakanchha Keshri
8 mins read
WordPress est l’un des CMS les plus utilisés dans le monde. Cependant, plus de 70% des sites Web WordPress sont vulnérables aux attaques. Étonnamment, la plupart des gens ne savent pas s’ils sont vulnérables ou non. La majorité des propriétaires de sites Web passent des années sans jamais vérifier l’état de sécurité de leur site Web. Pas étonnant qu’ils soient les premiers à être piratés. Connaître vos vulnérabilités est la première étape pour les corriger. C’est là que l’audit de sécurité WordPress entre en jeu.
Les nouvelles d’exploitation sur les sites Web WordPress ont cessé de nous surprendre, c’est tellement courant. Matt Mullenweg le développeur de WordPress commentant la sécurité de WordPress écrit dans son blog :
Un point à temps en vaut cent. C’est également un vrai conseil pour les blogueurs – un peu d’effort sur une mise à niveau au moment opportun peut faire économiser beaucoup de travail pour réparer quelque chose plus tard.
Très souvent, une mise à jour manquante, un correctif de sécurité ou une vulnérabilité de plugin peut aboutir sur un piratage. En fait, selon les statistiques de piratage de WordPress, plus de 64 % des utilisateurs exécutent des versions obsolètes.
Avez-vous déjà vérifié les vulnérabilités de votre site Web ? Si ce n’est pas le cas, utilisez ce scanner de vulnérabilité pour les vérifier maintenant.
Continuez à lire cet article pour savoir ce qu’est un audit de sécurité WordPress et pourquoi votre site Web en a besoin. Lisez jusqu’à la fin pour y trouver des outils pour effectuer un audit de sécurité WordPress.
Qu’est-ce que l’audit de sécurité WordPress ?
Un audit de sécurité WordPress est une évaluation minutieuse de votre site Web et de ses actifs (y compris les plugins, les thèmes, etc.). Un audit viable utilise à la fois des outils automatisés et l’intelligence humaine pour porter un jugement précis sur la structure de sécurité actuelle de votre site Web. L’objectif principal d’un audit de sécurité est d’identifier tout problème de sécurité WordPress sous-jacent.
Un audit de sécurité WordPress est suivi de près par un test de pénétration WordPress. Celui-ci vise à exploiter les vulnérabilités trouvées lors de l’audit pour avoir une image réelle de la situation et du risque. Le test de pénétration permet également de séparer les faux positifs des menaces réelles.
Pourquoi avez-vous besoin d’un audit de sécurité WordPress ?
Il n’y a pas besoin de beaucoup réfléchir pour comprendre pourquoi vous avez besoin d’un audit de sécurité WordPress. La logique est simple si vous avez un site Web et qu’il est vulnérable, n’importe qui peut le pirater.
Par conséquent, un audit de sécurité WordPress devient nécessaire pour trouver et corriger ces vulnérabilités pendant qu’il est encore temps. Sinon, si les pirates les trouvent avant vous, ils peuvent :
- Supprimer toutes les données de votre site WordPress ou les crypter et vous demander une rançon.
- Vendre les données de votre site Web ou de vos utilisateurs sur le dark web.
- Injecter du spam dans les pages de votre site WordPress menant à une liste noire des moteurs de recherche.
- Voler les informations de carte de crédit de votre site WordPress, entraînant des poursuites et de lourdes amendes contre vous.
- Utiliser votre site Web pour infecter les autres et bien pire encore !
Also Read: 7 Top Cyber Security Auditors for SaaS Companies [Reviewed]
Comment effectuer un audit de sécurité WordPress ?
Pour un audit de sécurité WordPress, vous avez d’abord besoin du bon ensemble d’outils. Le téléchargement et l’installation manuels de chaque outil peuvent devenir fastidieux. Ainsi, la meilleure option à disposition est d’utiliser Kali Linux . Il s’agit d’un type de système d’exploitation spécial fourni avec une grande variété d’outils de sécurité.
Pour utiliser Kali Linux sur votre appareil, vous avez de nombreuses options. Pour la commodité des débutants, nous suivrons l’approche de l’utilisation de la virtualisation. Cela peut être fait par un logiciel appelé Virtual Box sous le système d’exploitation Windows. Pour connaître tout le processus de configuration allant du téléchargement de Virtual Box jusqu’à l’installation de Kali Linux, suivez ce lien. Maintenant que notre configuration est prête, nous allons jeter un œil aux outils et à leur utilisation.
1. WPScan
En ce qui concerne l’audit de sécurité WordPress, il n’y a peut-être pas d’outil plus spécialisé que WPScan. Ce scanner de vulnérabilité peut analyser votre site WordPress et déterminer des éléments tels que les plugins que vous utilisez, le numéro de version de WordPress, etc. Ensuite, il utilise une base de données de vulnérabilités pour vous informer si l’un de ces plugins, etc., contient une vulnérabilité. Pour utiliser cet outil, ouvrez le terminal dans votre Kali Linux et tapez :
wpscan --url https://www.wordpress.org
2. PHPStan
PHPStan est un outil qui peut faire une analyse complète du code de votre site WordPress et découvrir tous les bugs cachés. Il se présente également sous la forme d’une extension PHPStan spécifiquement pour WordPress. Cet outil peut ne pas être fourni avec le pack Kali par défaut, vous devrez donc le télécharger séparément. Pour télécharger et installer, suivez ce lien. Une fois que vous aurez effectué quelques ajustements supplémentaires pour utiliser cet outil, ouvrez le terminal dans Kali et tapez la commande suivante :
vendeur / bin / phpstan analyser Dir1 Dir2
Remplacez Dir1 et Dir2 par les répertoires contenant le code WordPress dont vous souhaitez rechercher les bogues.
3. Sqlmap
L’une des vulnérabilités les plus courantes trouvées sur les sites Web est une injection SQL. Bien qu’il y ait moins de chances que le cœur de WordPress soit exposé, un grand nombre de modules peuvent être vulnérables à SQLi. Sqlmap est le bon outil pour vérifier ce type de vulnérabilité lors de l’audit de sécurité WordPress. Il peut non seulement énumérer les bases de données, mais aussi aider à obtenir des shells inversés ! Pour utiliser Sqlmap, ouvrez votre terminal et tapez :
sqlmap -u "www.your-site.com/module?param=" --random-agent --dbs
Ici, remplacez l’URL par celle que vous souhaitez tester et fixez les paramètres que vous souhaitez tester. L’option –random-agent signifie que l’agent utilisateur sera choisi au hasard. Alors que l’option –dbs indique d’énumérer les bases de données.
4. XSSer
Une autre vulnérabilité la plus courante trouvée dans les sites Web est le scriptage intersite. XSSer est simplement le meilleur framework pour trouver et exploiter les bugs XSS sur votre WordPress. En utilisant cet outil, même les modules de WordPress peuvent être vérifiés. De plus, cet outil vous permet également de contourner certains filtres de sécurité. Pour utiliser la version graphique de cet outil, ouvrez le terminal dans Kali et tapez :
xsser --gtk
Par la suite, il ouvrira une interface graphique. Définissez simplement les options nécessaires et commencez !
5. WPSpoilt
WPSpoilt est une personnalisation du célèbre framework Metasploit spécialement pour WordPress. Par conséquent, il contient une collection d’exploits spécifiques à WordPress. Ils sont actuellement au nombre de 15. Pour utiliser cet outil, téléchargez les exploits et les auxiliaires puis exportez-les dans le répertoire Metasploit comme ceci. Ensuite, ouvrez le terminal à Kali et tapez :
msfconsole
Cette commande ouvrira le framework Metasploit. À partir de là, ces exploits sont accessibles et exécutables pour effectuer un audit de sécurité WordPress.
Test de pénétration WordPress professionnel avec Astra
Les étapes mentionnées ci-dessus ne sont que la surface de l’audit de sécurité WordPress. Une approche plus détaillée dépasserait le cadre de cet article. Ainsi, les débutants trouveront facile de suivre les procédures mentionnées ci-dessus. Bien que ce soit la meilleure option pour commencer, elle n’est pas infaillible. Ainsi, une approche plus détaillée est nécessaire pour sécuriser votre site Web.
Cet audit détaillé ne peut être effectué que par des professionnels comme ceux d’Astra. L’audit de sécurité réalisé par Astra peut identifier les failles de sécurité que les utilisateurs moyens comme vous n’auraient pas remarquées. Le test d’évaluation et de pénétration des vulnérabilités d’Astra couvre des vulnérabilités telles que :
- Mauvaise configuration.
- Vulnérabilités spécifiques à WordPress Core, Plugins & Theme.
- Authentification cassée ou incorrecte.
- Identification des vulnérabilités techniques et logiques d’entreprise.
- 1250+ tests de sécurité active.
Et le meilleur dans tout cela est un prix abordable.
N’oubliez pas de télécharger notre liste de contrôle de sécurité WordPress complète développée par nos experts en sécurité.
if(window.strchfSettings === undefined) window.strchfSettings = {}; window.strchfSettings.stats = {url: “https://astra-security.storychief.io/wordpress-security-audit?id=1763296389&type=2”,title: “How to Do a WordPress Security Audit?”,id: “8584b87e-9542-4b5e-bebf-59f4ae0db88b”}; (function(d, s, id) { var js, sjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) {window.strchf.update(); return;} js = d.createElement(s); js.id = id; js.src = “https://d37oebn0w9ir6a.cloudfront.net/scripts/v0/strchf.js”; js.async = true; sjs.parentNode.insertBefore(js, sjs); }(document, ‘script’, ‘storychief-jssdk’))
Aakanchha Keshri
