Environ 90 % des systèmes de gestion de contenu (CMS) piratés sur lesquels la plateforme de sécurité Sucuri a enquêté étaient des sites WordPress. En deuxième, troisième et quatrième place, on trouve Magento (4,6 %), Joomla (4,3 %) et Drupal (3,7 %). WordPress, qui est à l'origine de la création de 59,3% des sites web à ce jour, est donc la cible privilégiée des pirates informatiques, qui profitent de certaines vulnérabilités rencontrées dans ses plugins et ses thèmes, de sa configuration ou de son manque de maintenance de la part des webmasters qui oublient souvent de le mettre à jour. Dans cette perspective, Digital Insiders vous propose aujourd'hui un guide des meilleurs outils pour scanner votre portail WordPress et le protéger.
#1 WPScan
Permettant de tester les vulnérabilités d’un site WordPress à distance, WPScan est l’un des meilleurs scanners de vulnérabilité disponibles sur le marché. Parmi les fonctionnalités que cet outil propose, nous retrouvons :
- La détection des vulnérabilités du noyau WP, ainsi que des thèmes et plugins ;
- La détection des mots de passe faibles ;
- La vérification de la configuration de sécurité générale du WP ;
- Des tests d’intrusion pour mettre à l’épreuve la robustesse du site.
Cette solution répertorie les vulnérabilités détectées grâce à la base de données wpvulndb.com, et dispose également d’une documentation très complète pour les développeurs souhaitant la mobiliser.
#2 Pentest-Tools WP Scanner
Pour rechercher les vulnérabilités d’un site WordPress, cet utilitaire simule une attaque d'un tiers contre celui-ci. Il effectue également plusieurs tests à distance en arrière-plan avec WPScan pour détecter d'éventuelles failles de sécurité. Il présente en outre d'autres avantages, notamment l’analyse des versions du noyau WP, des thèmes et des plugins, la détection des utilisateurs du site, sans oublier la possibilité de télécharger les résultats sous format PDF. Pour analyser avec cet outil, il suffit d'aller sur la page de test WP de Pentest Tools et d'acheter des crédits pour effectuer l'analyse.
#3 FirstSiteGuide WP Scanner
Ce scanner est l'un des meilleurs scanners de sécurité en ligne gratuits pour WordPress. Il effectue un grand nombre de contrôles de sécurité pour déterminer si votre installation WP est vulnérable ou non. Les principaux contrôles effectués sont :
- Détection de la version de WP ;
- Vérification si les fichiers readme.html, install.php et upgrade.php sont accessibles via HTTP ;
- Vérification des en-têtes HTTP pour voir si le serveur affiche des informations sensibles.
- Obtention de la liste complète des noms d'utilisateurs WordPress.
Facile d’utilisation, pour mobiliser cette solution il faut aller à la page test, saisir l’URL du site WordPress à analyser et d’interpréter ensuite les résultats.
