Votre site WordPress est-il suffisamment sécurisé ? Trouvez les failles de votre site web et corrigez-les avant que quelqu’un ne l’utilise à mauvais escient.
Les dernières recherches menées par SUCURI montrent que plus de 92 % des sites WP analysés étaient infectés par une ou plusieurs vulnérabilités.
Il existe de nombreux scanners en ligne pour vérifier les vulnérabilités web courantes, mais cela peut ne pas suffire car un risque de sécurité peut provenir du noyau de WordPress, d’un plugin, d’un thème ou d’une mauvaise configuration.
Pour cela, vous avez besoin d’un scanner de sécurité spécialisé qui détecte non seulement les vulnérabilités courantes, mais aussi les vulnérabilités particulières de WordPress.
Le scanner suivant peut vous aider à auditer votre site web et vous informer des risques de sécurité. Vous pourrez ainsi prendre les mesures nécessaires pour éviter d’être piraté.
SUCURI
SiteCheck de SUCURI permet de savoir rapidement si le site est sur liste noire, s’il est infecté par des logiciels malveillants connus ou s’il utilise une pile de logiciels obsolètes.
Vous pouvez également installer leur plugin pour lancer l’analyse à partir de votre tableau de bord WordPress.
Et si vous ne recherchez pas seulement une protection ponctuelle mais une protection continue et des performances, je vous recommande de vérifier les services de SUCURI. Leur WAF populaire est deux en un. Vous bénéficiez d’un CDN global et d’un pare-feu d’application web basé sur le cloud pour vous protéger contre les DDoS, le top 10 de l’OWASP, et bien plus encore.
Intruder
Intruder est un puissant scanner de vulnérabilités qui effectue des contrôles continus et complets pour détecter les faiblesses de l’ensemble de votre site web et de son infrastructure sous-jacente. Il recherche notamment les services d’administration non cryptés, les bases de données exposées, les problèmes de sécurité de la couche web tels que l’injection SQL et le cross-site scripting, ainsi que d’autres problèmes de sécurité.
Il vous alertera même lorsque les certificats SSL ou TLS sont sur le point d’expirer, afin de vous aider à maintenir la sécurité et à éviter les temps d’arrêt.
Outre l’analyse des serveurs, des systèmes en nuage, des sites web et des terminaux, Intruder s’applique aux sites gérés par WordPress, Drupal, Joomla et SharePoint. Il est livré avec de nombreuses intégrations, telles que Jira, Slack, GitHub, et plus encore, pour aider à accélérer la détection des problèmes et la remédiation.
Vous pouvez essayer Intruder gratuitement pendant 30 jours.
Hacker Target
L’analyse de sécurité de WordPress par Hacker Target teste la présence d’un plugin vulnérable (1800), d’une version obsolète de WordPress, de la configuration du serveur web et des éléments suivants.
- Test Google Safe Browsing
- Indexation de l’annuaire
- Statut du compte administrateur (activé/désactivé)
- iFrames
- Réputation de l’hébergeur
- JavaScript lié
- Thèmes vulnérables (2600 )
- Niveau de base de la force brute
Hacker Target télécharge quelques pages de l’URL et examine l’en-tête HTTP et le code HTML.
Detectify
Detectify est un scanner de vulnérabilités prêt pour l’entreprise qui teste plus de 500 vulnérabilités, y compris le top 10 de l’OWASP et les vulnérabilités spécifiques à WordPress.
Si vous gérez une entreprise sur WordPress et que vous recherchez un scanner de vulnérabilités complet, Detectify est un bon choix.
Detectify offre une période d’essai de 14 jours, alors explorez leur plateforme pour voir si elle vous convient.
WPSEC
WPSEC utilise la base de données de vulnérabilités de WPScan pour comparer les versions et signaler si un noyau, un plugin ou un thème vulnérable a été trouvé.
WPScan couvre plus de 18000 vulnérabilités. Si vous souhaitez utiliser WPScan sur votre serveur/PC, vous pouvez vous référer à ce guide pour savoir comment l’installer et l’utiliser.
Ninja Security
Ninja Security est un plugin, donc un test est fait à partir de votre administration WordPress. Il vérifie plus de 50 métriques en un seul clic, et vous obtenez un rapport détaillé comprenant le nom du test, l’état, la façon de corriger et les résultats.
Il m’a fallu moins de 2 minutes pour analyser mon site et j’ai obtenu un excellent rapport couvrant la dernière version, l’exposition de la connectivité de la base de données, une connexion sur SSL, etc.
Pentest-Tools
L’analyse de vulnérabilité de WordPress par Pentest-Tools est un autre outil qui utilise WPScan et vous donne la possibilité de télécharger le rapport au format PDF.
Unexemple de rapport est disponible ici.
Il énumère le plugin, le thème, les utilisateurs et prend l’empreinte de la version de WordPress.
WP Neuron
L’outilWP Neuron analyse les vulnérabilités de WordPress dans les fichiers principaux, les plugins et les bibliothèques. Il énumère également les mots de passe faibles pour tester les attaques par force brute et analyse tout le code pour s’assurer qu’aucun des scripts n’est exposé aux menaces en ligne.
Quttera
Leplugin Quttera analyse votre site WordPress à la recherche de logiciels malveillants connus et inconnus et d’activités suspectes. Vous pouvez lancer l’analyse à partir de votre tableau de bord d’administration WordPress, et il fera un appel HTTP à Quttera pour analyser et obtenir les résultats.
Outre la recherche de logiciels malveillants, il effectue également les opérations suivantes.
- Vérifier si l’URL est sur liste noire
- Pas de détection de signature ou de modèle
- Détection d’injection de shells PHP
- Détection des liens externes
- Recherche dans les fichiers centraux de WordPress
Conclusion
J’espère que le scanner WP ci-dessus vous aidera à trouver la menace en ligne afin que vous puissiez empêcher le piratage de votre site. Si vous constatez que votre site est piraté ou qu’il contient un code malveillant et que vous ne savez pas comment y remédier, vous pouvez demander l’aide professionnelle de SUCURI.