Qu'est-ce qu'un scanner de vulnérabilité WordPress et en avez-vous besoin ?
Publié: 2023-03-08Il est assez sûr de dire que tous les logiciels ont une sorte de vulnérabilités. Cela ne signifie pas nécessairement que le logiciel est mauvais ou inférieur aux normes - des vulnérabilités peuvent survenir pour toutes sortes de raisons - des processus d'assurance qualité échoués aux incompatibilités environnementales ou aux mauvaises configurations.
Les vulnérabilités peuvent être classées en deux catégories : connues et inconnues. Les vulnérabilités connues, telles que XSS (Cross-site scripting) et l'injection SQL, sont des vulnérabilités connues de tous. Les éditeurs de logiciels réputés vérifieront toujours ces vulnérabilités et les élimineront lors des processus d'assurance qualité et de test.
D'autre part, les vulnérabilités inconnues sont les vulnérabilités qui ne sont pas connues. Ceux-ci peuvent être causés par des bogues dans le code ou quelque chose dans l'environnement. Grâce à WordPress ayant une base d'utilisateurs aussi importante, les vulnérabilités ne restent pas longtemps inconnues. Une fois qu'une vulnérabilité est découverte, on l'appelle une vulnérabilité zero-day jusqu'à ce qu'un correctif soit publié.
Dans cet article, nous examinerons en profondeur les vulnérabilités de WordPress, les différents types de scanners disponibles et ce à quoi vous devez faire attention lorsque vous cherchez à sécuriser votre WordPress.
Table des matières
- Qu'est-ce qu'une vulnérabilité WordPress ?
- Comprendre la différence entre un scanner de vulnérabilité et un scanner de sécurité
- Comprendre la différence entre les tests en boîte noire et en boîte blanche
- Test de la boîte noire
- Essais en boîte blanche
- Vulnérabilités courantes de WordPress
- Noyau WordPress obsolète
- Mots de passe faibles
- Plugins et thèmes vulnérables
- Attaques par force brute
- Injection SQL
- Pourquoi devriez-vous rechercher les vulnérabilités
- Meilleurs scanners de vulnérabilité WordPress
- WPScan
- WPSec
- Sucuri
- Acunetix
- Sécurisez votre WordPress
- Questions fréquemment posées
- Quel outil puis-je utiliser pour rechercher les vulnérabilités de WordPress ?
- Comment analyser les vulnérabilités de mon site WordPress ?
Qu'est-ce qu'une vulnérabilité WordPress ?
Une vulnérabilité WordPress est une vulnérabilité logicielle dans WordPress qui peut être connue ou inconnue.
WPScan, un scanner de vulnérabilité WordPress open-source gratuit dont nous parlerons plus en détail plus loin dans cet article, a près de 40 000 vulnérabilités WordPress dans sa base de données. Ils offrent également des statistiques intéressantes :
WPScan a trouvé 4 069 plugins premium présentant une sorte de vulnérabilité. Ce chiffre monte à 98 241 pour les plugins gratuits. Cela ne signifie pas que les plugins gratuits sont mauvais - les plugins premium ont plus de ressources à leur disposition pour tester et vérifier les plugins avant leur sortie - c'est pourquoi ils coûtent sans surprise de l'argent. De manière générale, lorsque vous payez pour un plugin, vous bénéficiez en retour d'une sécurité et d'une sécurité supplémentaires (en plus des fonctionnalités supplémentaires).
Les vulnérabilités des plugins représentent le plus grand pourcentage de vulnérabilités à 92 %, les vulnérabilités des thèmes se classant loin derrière à 5 % et WordPress lui-même à 3 %.
Comprendre la différence entre un scanner de vulnérabilité et un scanner de sécurité
Un scanner de vulnérabilité WordPress est un outil dédié capable de rechercher des vulnérabilités – des bogues logiciels ou des erreurs de configuration qui créent une faille de sécurité.
Le scanner de sécurité est un terme général qui peut inclure des analyses de vulnérabilités, bien qu'à proprement parler, les scanners de sécurité aient tendance à vérifier les erreurs de configuration, les mises à jour manquées, les mots de passe faibles, les logiciels malveillants, etc.
Cette distinction est importante car vous devez savoir ce que vous recherchez et ce que vous ne recherchez pas. Puisqu'aucune loi n'indique aux fournisseurs quel terme utiliser ou non, assurez-vous de prendre le temps de lire la documentation fournie avec le scanner de votre choix. Cela vous aidera à vous assurer que vous obtenez la couverture dont vous avez besoin.
Comprendre la différence entre les tests en boîte noire et en boîte blanche
En ce qui concerne les tests de vulnérabilité, il existe deux approches principales : les tests en boîte noire et les tests en boîte blanche. Les deux méthodes ont leurs avantages et leurs inconvénients. Comprendre les différences entre eux est essentiel car cela vous permettra de comprendre ce qui est couvert et ce qui ne l'est pas par un scanner de vulnérabilité particulier.
Test de la boîte noire
Le test de vulnérabilité de la boîte noire de WordPress est une technique dans laquelle la personne qui effectue le test ne suppose pas qu'elle connaît le fonctionnement interne de WordPress. Pendant le test, le testeur n'a accès qu'aux entrées et aux sorties et ne se préoccupe pas de la façon dont les sorties sont produites. En d'autres termes, le testeur traite WordPress comme une "boîte noire" et le teste de l'extérieur.
L'un des avantages du test boîte noire est qu'il peut être réalisé par des testeurs qui n'ont aucune connaissance en programmation ou en architecture interne du logiciel. Cela rend les tests de la boîte noire accessibles à un plus large éventail de testeurs.
Le principal inconvénient des tests de boîte noire est qu'ils peuvent ne pas être en mesure de découvrir certains types de vulnérabilités liées au fonctionnement interne de WordPress.
Essais en boîte blanche
Le test de la boîte blanche WordPress est une technique de test dans laquelle la personne effectuant le test a accès à l'architecture, au code et à la conception de WordPress. Ce type de test est également connu sous le nom de test de boîte transparente ou test structurel.
L'un des avantages des tests en boîte blanche est qu'ils permettent au testeur de découvrir les bogues liés à WordPress. Il peut également être utilisé pour tester la maintenabilité et l'évolutivité du logiciel, ce dont les développeurs WordPress et les développeurs de plugins peuvent tirer parti.
Le principal inconvénient des tests en boîte blanche est qu'ils nécessitent que les testeurs aient des connaissances en programmation et en architecture interne du logiciel.
Vulnérabilités courantes de WordPress
Bien que les vulnérabilités de WordPress puissent prendre toutes les formes et toutes les tailles, il convient de noter certaines des plus courantes – qui, comme nous le verrons, sont faciles à prévenir. D'autres ne peuvent être résolus que par les développeurs qui ont accès au code, comme le montre le dernier exemple ci-dessous :
Noyau WordPress obsolète
L'une des vulnérabilités les plus courantes de WordPress est un noyau WordPress obsolète. Des mises à jour pour WordPress sont régulièrement publiées pour résoudre les problèmes de sécurité, corriger les bogues et améliorer les performances et les fonctionnalités. Les pirates peuvent exploiter les vulnérabilités connues si vous ne mettez pas à jour vers la dernière version.
Que faire : Avoir une politique de mise à jour WordPress peut vous aider à mieux gérer les mises à jour WordPress et à vous assurer que vous utilisez toujours la dernière version de WordPress.
Mots de passe faibles
Les mots de passe faibles peuvent être une autre vulnérabilité de sécurité majeure de WordPress. De nombreux utilisateurs ont tendance à utiliser des mots de passe faibles qui sont faciles à deviner ou à déchiffrer, car ils sont plus susceptibles de s'en souvenir. Cela peut permettre aux pirates d'obtenir facilement un accès non autorisé aux sites Web.
Que faire : Utilisez une politique de mot de passe WordPress pour vous assurer que les utilisateurs utilisent des mots de passe forts et encouragez l'utilisation d'un gestionnaire de mots de passe.
Plugins et thèmes vulnérables
Les thèmes et plugins WordPress peuvent sérieusement améliorer la fonctionnalité et l'apparence de WordPress. Cependant, certains de ces plugins et thèmes peuvent contenir des vulnérabilités qui peuvent être exploitées par des pirates.
Que faire : Utilisez des plugins et des thèmes de fournisseurs de confiance qui publient des mises à jour régulières et gardez tout à jour à tout moment.
Attaques par force brute
Les attaques par force brute sont un type d'attaque où des acteurs malveillants tentent de deviner les identifiants de connexion d'un utilisateur en essayant différentes combinaisons de nom d'utilisateur et de mot de passe.
Que faire : Ajoutez WordPress 2FA pour arrêter les attaques par force brute dans leur élan et limiter le nombre de tentatives de connexion infructueuses.
Injection SQL
Lors de l'injection SQL, les pirates injectent du code malveillant dans la base de données d'un site Web via des champs de saisie utilisateur tels que les entrées de la barre de recherche, les formulaires et les commentaires. Cela peut entraîner l'exposition de données sensibles telles que les noms d'utilisateur, les mots de passe et les détails de la carte de crédit.
Que faire : Les développeurs de plugins réputés élimineront cela pendant le développement. Si vous trouvez cette vulnérabilité, vous devez désactiver le composant qui en est à l'origine, si possible, jusqu'à ce qu'un correctif soit disponible.
Pourquoi devriez-vous rechercher les vulnérabilités
Comme le montrent les statistiques que nous avons partagées au début de l'article, des vulnérabilités peuvent être présentes dans n'importe quel logiciel. Si vous avez une politique de mise à jour WordPress solide et que vous vous limitez aux thèmes et plugins de développeurs réputés, il y a de fortes chances que vous soyez en sécurité – cependant, ce n'est pas une garantie. À cette fin, vous souhaiterez peut-être exécuter une analyse de vulnérabilité.
Une analyse de vulnérabilité peut vous aider à découvrir des problèmes que vous avez peut-être négligés et des vulnérabilités qui ont pu être introduites dans une mise à jour ou un changement de configuration.
Meilleurs scanners de vulnérabilité WordPress
Dans cette section, nous examinerons certains des meilleurs scanners de vulnérabilité WordPress disponibles sur le marché aujourd'hui.
WPScan
WPScan est un scanner de sécurité gratuit spécialement conçu pour WordPress. Il vérifie les vulnérabilités, avec près de 40 000 vulnérabilités dans sa base de données. De nouvelles entrées sont ajoutées à sa base de données de vulnérabilités de manière très cohérente.
WPScan est disponible en tant qu'outil CLI (Command Line Interface). Cela signifie qu'il n'y a pas d'interface graphique et qu'il doit être exécuté à partir d'un terminal. WPScan était auparavant disponible en tant que plugin gratuit, mais ce n'est plus le cas. Vous pouvez également utiliser JetPack, qui exploite l'API WPScan.
Entre autres choses, WPScan recherche :
- Vulnérabilités associées au noyau, aux plugins et aux thèmes WordPress
- Énumération des noms d'utilisateur et des fichiers multimédias
- Mots de passe faibles (via des attaques par force brute)
- Fichiers wp-config accessibles
- Vidages de la base de données
- Journaux d'erreurs exposés
WPSec
WPSec est un scanner de vulnérabilité WordPress. Il est géré via un tableau de bord à partir duquel vous pouvez exécuter des analyses, configurer des notifications et émettre des rapports avancés. En ce qui concerne l'analyse, WPSec utilise ce qu'il appelle la technologie d'analyse avancée, qui utilise WPScanner et une technologie personnalisée propriétaire.
Entre autres choses, WPSec recherche :
- Bogues WordPress connus
- Les problèmes de sécurité
Sucuri
Bien connu pour son WAF (Web Application Firewall), Sucuri propose également un certain nombre de scanners différents qui analysent différentes choses, offrant une portée plus large qui n'est pas nécessairement aussi profonde que ce que proposent les autres scanners.
Entre autres choses, Sucuri recherche :
- Logiciels malveillants
- CIO (indicateurs de compromis)
- Pages d'hameçonnage
- Script DDoS
- Certificats SSL
Acunetix
Acunetix est une solution de test de sécurité des applications Web qui peut également être utilisée comme scanner de sécurité WordPress. Comme il n'est pas spécifique à WordPress, il peut être utilisé sur différents sites Web, applications et API. Il peut faire à la fois SAST (Static Application Security Testing) et DAST (Dynamic Application Security Testing).
Entre autres choses, Acuntiex recherche :
- Cœur et plugins WordPress obsolètes
- Logiciels malveillants
- Mots de passe faibles
- Noms d'utilisateur WordPress vulnérables
- Vulnérabilités XML-RPC
Sécurisez votre WordPress
Un scanner de sécurité WordPress peut vous aider à identifier les menaces de sécurité sur votre site Web WordPress. Cependant, la prise de mesures de sécurité proactives reste importante. Bien que vous deviez toujours traiter les résultats d'une analyse de sécurité WordPress, les administrateurs WordPress et les propriétaires de sites Web doivent également comprendre que la sécurité WordPress est un processus itératif qui offre un énorme retour sur investissement.
Garder tout à jour est l'un des moyens les plus accessibles dont disposent les administrateurs pour limiter les vulnérabilités. WordPress, les thèmes, les plugins et PHP doivent être à jour à tout moment. N'oubliez pas de faire des sauvegardes et d'utiliser un environnement de staging WordPress pour limiter les risques.
Les plugins de sécurité WordPress peuvent également offrir protection et tranquillité d'esprit. Les pare-feu sont toujours une bonne option ; cependant, avoir un journal d'activité WordPress peut vous aider à en faire plus. De même, sécuriser votre installation WordPress avec 2FA peut vous aider à rester encore plus sécurisé avec un minimum d'effort.
Questions fréquemment posées
Quel outil puis-je utiliser pour rechercher les vulnérabilités de WordPress ?
Un scanner de vulnérabilité WordPress est l'un des meilleurs outils que vous pouvez utiliser pour rechercher des vulnérabilités. Nous avons couvert un certain nombre de scanners différents dans l'article. Une chose importante à noter est que différents scanners peuvent rechercher différentes choses. Assurez-vous de lire la documentation pour comprendre ce que vous recherchez et ce que vous ne recherchez pas. Cela vous aidera à éviter d'avoir un faux sentiment de sécurité du site Web.
Comment analyser les vulnérabilités de mon site WordPress ?
Cela dépend du scanner de vulnérabilité que vous choisissez. Certains scanners proposent des analyses automatisées et vous enverront même un rapport des résultats directement dans votre boîte de réception. D'autres peuvent nécessiter une analyse manuelle, dans certains cas via une CLI - Interface de ligne de commande.