Security Audit

Audit de sécurité WordPress et test de pénétration

Updated on: March 29, 2020

Audit de sécurité WordPress et test de pénétration

WordPress est l’un des CMS les plus utilisés dans le monde. Cependant, plus de 70% des sites Web WordPress sont vulnérables aux attaques. Étonnamment, la plupart des gens ne savent pas s’ils sont vulnérables ou non. La plupart des propriétaires de sites Web passent des années sans jamais vérifier l’état de sécurité de leur site Web. Pas étonnant qu’ils soient les premiers à être piratés. Connaître vos vulnérabilités est la première étape pour les corriger. C’est là que l’audit de sécurité WordPress entre en jeu.

Les nouvelles d’exploitation sur les sites Web WordPress ont cessé de nous surprendre, c’est tellement courant. Commentant la sécurité de WordPress Matt Mullenweg, le développeur de WordPress écrit dans son blog :

Un point à temps en vaut neuf. Je ne pouvais pas me sortir d’un sac, mais c’est aussi un vrai conseil pour les blogueurs – un peu de travail sur une mise à niveau économise maintenant beaucoup de travail pour réparer quelque chose plus tard.

Plus souvent qu’autrement, il y a une mise à jour manquante, un correctif de sécurité ou une vulnérabilité de plugin qui aboutit à un piratage. En fait, selon les statistiques de piratage de WordPress , plus de 64% des utilisateurs exécutent des versions obsolètes.

Avez-vous déjà vérifié les vulnérabilités de votre site Web? Sinon, utilisez ce scanner de vulnérabilité pour vérifier maintenant.

Continuez à lire cet article pour savoir ce qu’est un audit de sécurité WordPress et pourquoi votre site Web en a besoin. Lisez jusqu’à la fin pour trouver des outils pour effectuer un audit de sécurité WordPress.

Qu’est-ce que l’audit de sécurité WordPress?

Un audit de sécurité WordPress est une évaluation minutieuse de votre site Web et de ses actifs (y compris les plugins, les thèmes, etc.). Un audit viable utilise à la fois des outils automatisés et l’intelligence humaine pour porter un jugement précis sur la structure de sécurité actuelle de votre site Web. L’objectif principal d’un audit de sécurité est d’identifier tout problème de sécurité WordPress sous-jacent .

Un audit de sécurité WordPress est suivi de près par le test de pénétration WordPress. Ce qui vise à exploiter les vulnérabilités trouvées lors de l’audit pour avoir une image réelle de la situation et du risque. Le test de pénétration permet également de séparer les faux positifs des menaces réelles.

Pourquoi avez-vous besoin d’un audit de sécurité WordPress?

Il n’y a pas beaucoup de roquettes pour savoir pourquoi vous avez besoin d’un audit de sécurité WordPress. La logique est simple si vous avez un site Web et qu’il est vulnérable, n’importe qui peut le pirater.

Par conséquent, un audit de sécurité WordPress devient nécessaire pour trouver et corriger ces vulnérabilités pendant qu’il reste du temps. Sinon, si les pirates les trouvent avant vous, ils peuvent:

  • Supprimez toutes les données de votre site WordPress ou cryptez-les et demandez une rançon.
  • Vendez les données de votre site Web ou de vos utilisateurs sur le dark web.
  • Injectez du spam dans les pages de votre site WordPress menant à une liste noire des moteurs de recherche.
  • Volez les informations de carte de crédit de votre site WordPress, entraînant des poursuites et de lourdes amendes contre vous.
  • Utilisez votre site Web pour infecter les autres et bien pire!

Comment effectuer un audit de sécurité WordPress?

Pour un audit de sécurité WordPress, vous avez d’abord besoin du bon ensemble d’outils. Le téléchargement et l’installation manuels de chaque outil peuvent devenir fastidieux. Ainsi, la meilleure option à notre disposition est d’utiliser Kali Linux . Il s’agit d’un type de système d’exploitation spécial fourni avec une grande variété d’outils de sécurité.

Pour utiliser Kali Linux sur votre machine, vous avez de nombreuses options. Pour la commodité des débutants, nous suivrons l’approche de l’utilisation de la virtualisation. Cela peut être fait par un logiciel appelé Virtual Box sur le système d’exploitation Windows. Donc, tout le processus de configuration allant du téléchargement de Virtual Box à l’installation de Kali Linux dessus, suivez ce lien . Maintenant que notre configuration est prête, nous allons jeter un œil aux outils et à leur utilisation.

1. WPScan

En ce qui concerne l’audit de sécurité WordPress, il n’y a peut-être pas d’outil spécialisé que WPScan . Ce scanner de vulnérabilité peut analyser votre site WordPress et déterminer des éléments tels que les plugins que vous utilisez, le numéro de version de WordPress, etc. Ensuite, il utilise une base de données de vulnérabilités pour vous informer si l’un de ces plugins, etc., contient une vulnérabilité. Pour utiliser cet outil, ouvrez le terminal dans votre Kali Linux et tapez:

wpscan --url https://www.wordpress.org
Outil Wpscan d'audit de sécurité WordPress

2. PHPStan

PHPStan est un outil qui peut faire une analyse complète du code de votre site WordPress et découvrir tous les bugs cachés. Il se présente également sous la forme d’une extension PHPStan spécifiquement pour WordPress . Cet outil peut ne pas être fourni avec le pack Kali par défaut, vous devrez donc le télécharger séparément. Pour télécharger et installer, suivez ce lien . Une fois quelques ajustements supplémentaires effectués, pour utiliser cet outil, ouvrez le terminal dans Kali et tapez cette commande:

vendeur / bin / phpstan analyser Dir1 Dir2

Remplacez Dir1 et Dir2 par les répertoires contenant le code WordPress que vous souhaitez rechercher les bogues.

3. Sqlmap

L’une des vulnérabilités les plus courantes trouvées sur les sites Web est une injection SQL. Bien qu’il y ait moins de chances que le cœur de WordPress soit vulnérable, un grand nombre de modules peuvent être vulnérables à SQLi. Sqlmap est le bon outil pour vérifier ce type de vulnérabilité lors de l’audit de sécurité WordPress. Il peut non seulement énumérer les bases de données, mais aussi aider à obtenir des shells inversés! Pour utiliser Sqlmap, ouvrez votre terminal et tapez:

sqlmap -u "www.your-site.com/module?param=" --random-agent --dbs

Ici, remplacez l’URL par celle que vous souhaitez tester et paramétrez les paramètres que vous souhaitez tester. L’option –random-agent signifie que l’agent utilisateur sera choisi au hasard. Alors que l’option –dbs signifie énumérer les bases de données.

Audit de sécurité WordPress SQLMAP

4. XSSer

Une autre vulnérabilité la plus courante trouvée dans les sites Web est le scriptage intersite. XSSer est juste le bon framework pour trouver et exploiter les bugs XSS sur votre WordPress. En utilisant cet outil, même les modules de WordPress peuvent être vérifiés. De plus, cet outil vous permet également de contourner certains filtres de sécurité. Pour utiliser la version graphique de cet outil, ouvrez le terminal dans Kali et tapez:

xsser --gtk

Par la suite, il ouvrira une interface graphique. Définissez simplement les options nécessaires et commencez!

Audit de sécurité WordPress XSSer

5. WPSpolit

WPSpoilt est une personnalisation du célèbre framework Metasploit spécialement pour WordPress. Par conséquent, il contient une collection d’exploits spécifiques à WordPress. Ils sont actuellement au nombre de 15. Pour utiliser cet outil, téléchargez les exploits et les auxiliaires puis exportez-les dans le répertoire Metasploit comme ceci . Ensuite, ouvrez le terminal à Kali et tapez:

msfconsole

Cette commande ouvrira le framework Metasploit. À partir de là, ces exploits sont accessibles et exécutables pour effectuer un audit de sécurité WordPress.

Test de pénétration WordPress professionnel avec Astra

Les étapes mentionnées ci-dessus touchent la surface de l’audit de sécurité WordPress et du test de plume. Une approche plus détaillée dépasse le cadre de cet article. Ainsi, les débutants trouveront facile de suivre les procédures mentionnées ci-dessus. Bien que cela soit bon pour commencer, ce n’est pas infaillible. Ainsi, une approche plus détaillée est nécessaire pour sécuriser votre site Web.

Cet audit détaillé ne peut être effectué que par des professionnels comme ceux d’ Astra . L’audit de sécurité réalisé par Astra peut identifier les failles de sécurité que les utilisateurs moyens comme vous auraient manqué. Le test d’évaluation et de pénétration des vulnérabilités d’Astra couvre des vulnérabilités telles que:

  • Mauvaise configuration et configuration.
  • Vulnérabilités spécifiques à WordPress Core, Plugins & Theme.
  • Authentification cassée ou incorrecte.
  • Identification des vulnérabilités techniques et logiques d’entreprise.
  • 1250+ tests de sécurité active.
Évaluation de la vulnérabilité et tests de pénétration par Astra
Évaluation de la vulnérabilité et tests de pénétration par Astra

Et la meilleure partie est que tout cela a un prix abordable .

N’oubliez pas de télécharger notre liste de contrôle de sécurité WordPress complète développée par nos experts en sécurité

Was this post helpful?

Sai Krishna

Sai Krishna is a Product Specialist & Support Engineer at Astra. Sai had spent a few years at Amazon. Inc as a Digital Associate before starting here, and worked on a number of Machine Learning projects. He was led by his passion for Cloud Computing & Information Security to engage across several workshops and seminars while pursuing his Bachelor's. He is fond of gadgets, technology, and cybersecurity. He keeps updating himself and others by reading and writing about these regularly. Besides, he loves planting trees, meditating, and playing video games.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany